[프리즘]사고 경험

많은 기업이 신입보다 경력사원 채용을 선호한다. 다른 기업에서 갈고닦은 노하우와 경험은 어떤 것과도 바꿀 수 없는 자산이기 때문이다. 대학을 갓 졸업한 신입사원은 기업에서 바로 쓸 수 있는 지식도 기술도 부족하다. 그들이 기업이 원하는 수준의 업무를 하는 데 최소 1년 이상이 걸린다.

많은 기업이 경험치를 높게 평가하지만 유독 경험을 등한시하는 분야가 있다. 바로 보안 사고다. 최근 사이버 테러는 기업의 존폐를 위협할 정도로 강도가 세졌다. 이제 그 어떤 기업도 사이버 공격 위험에서 자유로울 수 없다. 해커는 돈을 만들 수 있는 모든 곳에 공격을 감행한다. 전자금융부터 개인정보 탈취까지 해커의 공격에 경계는 없다.

하지만 보안 전문가에게 사고 이력은 주홍글씨다. 오히려 최고로 자랑스러운 경력이 돼야 하는데 현실은 반대다. 직접 사고를 겪어보지 않은 사람은 실제 상황이 발생하면 우왕좌왕하기 일쑤다. 사고 원인을 파악할 수 있는 분석은커녕 표면적으로 나타난 장애 대응에만 급급하다. 원인을 찾지 못해 또다시 위협에 노출된다.

대형 정보 유출이나 사이버 테러가 발생한 기업 대부분은 후속 조치로 새로운 정보보호 대책을 수립한다. 이때 기존 담당자를 다른 분야로 보내는 사례가 많다. 기업 보안에 엄청난 도움이 될 사고를 겪은 전문가를 이용하지 않는 셈이다. 사고 당시 담당자는 기업 보안에서 어디가 취약한 지점인지 그 누구보다 잘 알고 있다. 최근 사이버 사고는 손해배상 소송으로도 이어진다. 사고 경험자는 법적 대응에도 전문가가 된다. 물론 당시 보안담당자에게 전혀 책임을 묻지 말라는 것은 아니다.

이기든, 지든 실제 전장에서 싸워본 군인이 향후 전투에 전략과 전술을 보다 효율적으로 마련한다. 이제 보안 담당자 이력서는 자격증이 아니라 사고 경험으로 채워져야 한다. ‘춤을 글로 배웠어요.’ 한때 유행했던 광고 문구다. 글로 배운 춤은 한계가 있다. 사고 대응 경험 가치가 인정받는 문화가 정착돼야 정보보호 수준도 함께 향상된다.

김인순기자 insoon@etnews.com