코로나19로 비대면 서비스가 일상화되고 기업의 디지털 전환도 빠른 속도로 진행되고 있다. 이와 비례해 사이버 위협도 다양한 형태로 늘고 있는 추세를 보이고 있다. 사이버 보안에 대한 관심이 어느 때보다 높아지자 정부 역시 지난해 7월 K-사이버방역 체계를 발표하며 정부 차원의 사이버 보안 생태계 구축에 박차를 가하고 있다.
갈수록 사이버 위협이 높아지는 환경 속에서 기업은 어떤 자세로 임해야 할까. 첨단 보안 기술에 적극 투자하는 것은 물론 동시에 보안 리더십을 갖춰 나가는 것 역시 중요하다.
여기서 말하는 기업에 요구되는 보안 리더십이란 기술적인 차원을 넘어 보안이 기업과 사용자에 미칠 수 있는 직간접 영향을 함께 고려해서 포괄적인 보안 로드맵을 그려 갈 수 있는 능력이다. 가장 기본은 사용자에게 보안 현황에 대해 투명하게 밝힘으로써 신뢰 관계를 형성하는 것에 있다.
그러나 대다수 기업은 이 부분을 놓치고 있는 것 같아 안타까운 마음이다. 이 때문에 사용자들이 기업의 구체적인 개인정보 관리와 보안 방식을 모르고 있다가 문제가 터지고 나서야 알게 되는 뒤늦은 사례도 적지 않다. 이러한 경험의 반복은 보안 자체를 넘어 기업 신뢰도에 상당한 영향을 미친다.
보안기술이 아무리 발전해도 이를 뛰어넘는 새로운 보안 위협은 항상 나오기 마련이다. 이에 따라 어떠한 기업도 모든 위협을 완전히 막을 수 있다고 장담할 수 없다. 그럼에도 기업이 잘 대응하리라는 확신과 믿음이 사용자에게 있다면 어떻게 될까. 사용자에게 신뢰받는 기업과 그렇지 못한 기업은 같은 문제가 발생하더라도 분명 다른 여론을 마주하게 될 것이다.
기업이 특정 시기뿐만 아니라 평소 사용자의 신뢰를 얻기 위해 노력해야 하는 이유가 여기에 있다고 할 수 있다. '소 잃고 외양간 고치기' 식이 아니라 평상시에, 지속적인 소통이 필요하다.
모름지기 사용자와 기업 간 신뢰는 대인 관계에서와 마찬가지로 정보의 투명성과 소통에 달려있다. 평소 속 깊은 얘기 한 번 없이 데면데면하게 굴던 사람에게 신뢰를 기대하기란 어려운 일이다. 많은 글로벌 정보통신(IT) 기업은 기업의 보안 프로세스를 사용자에게 투명하게 알리고, 개인정보 보호 기능의 사용을 적극 장려하는 등 사용자가 보안의 주체가 되는 경험을 하도록 하는데 앞장서고 있다.
지난 3월 열린 글로벌 콘퍼런스(IDG SecurIT 2021)에 연사로 참석한 틱톡의 최고정보보호책임자(CSO) 롤랑 클루티에 역시 기업 투명성 제고를 위한 다섯 가지 원칙을 밝히며 사용자와의 신뢰 형성을 거듭 강조했다.
25년 경력의 보안 전문가가 밝힌 다섯 가지 원칙은 높은 보안 품질, 보안 프로세스에 대한 사용자 교육과 소통, 개인정보 보호를 설정할 수 있는 사용자 권한 제공, 기업 정보 접근성 향상, 보안 기능에 대한 일관된 경험이다.
이러한 원칙 아래 틱톡은 지난해 개관한 투명성책임센터와 미국, 아일랜드, 싱가포르 등에 설립 예정인 글로벌 퓨전센터를 통해 보안 현황을 비롯한 광범위한 기업 정보를 투명하게 공개할 예정이라고 밝혔다. 개인정보 보호에 대해서는 전 세계 사용자의 개인정보가 미국과 싱가포르에 저장된 가운데 엄격히 관리되고 있다는 사실을 강조하며 우려를 일축했다.
틱톡 사례에서 힌트를 얻는다면 각 기업의 보안 담당자는 기업 규모나 사업 형태, 상황을 고려하면서도 상시 사용자들과 보안과 관련해 소통할 수 있는 기회를 늘려야 한다. 신뢰를 얻기 위해 지속적이고 일관성 있게 접근하는 것은 기본이다. 기업이 지키는 데이터 뒤에는 결국 사람이 있다는 사실을 잊지 말길 바란다.
손승우 중앙대 산업보안학과 교수 gwoo@cau.ac.kr