2024-03-28 18:40 (목)
[기자의 눈] 보안사고 책임...누가 져야 하나
상태바
[기자의 눈] 보안사고 책임...누가 져야 하나
  • 길민권
  • 승인 2014.03.10 03:50
이 기사를 공유합니다

부족한 보안투자에 묵묵히 일한 보안담당자에게 책임전가는 안되
개인정보보호에 대한 사회적 요구가 증가하고 법과 제도가 강화되면서 개인정보에 대한 각급 기관의 감사도 더욱 강화되고 있다. 안전행정부 관계자도 “요즘 개인정보 유출 사고가 자주 발생하는 것은 그 전에 유출됐던 정보들이 이제야 밝혀지고 있기 때문이다. 즉 경찰에서도 개인정보 유출 범죄에 신경을 쓰고 있고 관계 기관의 관리와 감독이 강화되면서 그동안 몰랐던 사고들이 속속 들춰지기 때문”이라고 말했다. 그동안 곪아있던 부분들이 이제야 터져 나오기 시작했기 때문이라는 것이다.
 
그렇다면 개인정보 유출 사고 및 기업의 보안사고에 대한 책임은 누가 져야할까. 당연히 보안담당자가 책임을 져야 한다는 시각도 있다. 하지만 곰곰이 생각해보면 보안사고의 책임은 해당 기업의 CEO가 져야 마땅하다.
 
그 전 정보유출 사고나 해킹사고들을 제쳐두고서라도, 지난 2011년 9월 30일 개인정보보호법 시행 이후, 얼마나 많은 개인정보 유출사고와 해킹사고가 발생했을까.
 
2011년 11월, 넥슨 메이플스토리 1천320만건 유출, 2012년 2월 KT 873만건 유출, 2012년 5월 EBS 422만5천건 유출, 2014년 1월 국민-롯데-농협카드 3사에서 1억400만건 유출, 2월 대한의사협회, 대한치과의사협회, 한의사협회등 국내 인터넷 사이트 225개 1천700만건, 3월 KT 1천200만건 유출, 티켓몬스터 113만명 유출. 개인정보보호법 시행 이후에도 이렇게 많은 사고들이 터져 나오고 있다. 앞으로 얼마나 더 많은 사고들이 터질지 아무도 모른다.
 
그럼에도 기업들은 어땠나. 지난 2011년 10월 16일부터 12월 27일까지 KISA가 조사한 정보보호실태조사를 보면, 정보화 투자 대비 정보보호 투자 비율이 0% 기업이 64%에 달하는 것으로 조사됐다. 또한 1% 미만 기업은 20.3%에 달했다. 즉 우리나라 기업 중 정보보호 투자에 1%도 돈을 쓰지 않는 기업이 85%에 육박하고 있다는 것이다.
 
또한 정보보호에 투자를 하지 않는 이유에 대해 기업들 54% 가량이 “정보보안 사고로 인한 피해가 없어 필요성을 느끼지 못하고 있기 때문”이라고 응답했다. 또 26%는 “정보보호에 관심이 없다”고도 답했다. 즉 필요성도 느끼지 못하고 있고 관심도 없다는 기업이 대부분인 것이다.
 
이러한 답변이 개인정보보호법이 시행된 이후 조사였음에도 불구하고 이런 조사 결과가 나온 것이다.
 
또 2012년 7월부터 9월까지 조사한 결과를 보면, 정보보호 전담조직을 운영하고 있는 기업이 8.5%에 불과한 것으로 조사됐고 정보보호 지출이 없는 기업이 73%가 넘는 것으로 조사됐다. 물론 업종별로는 다른 결과가 나왔지만 전체 통계를 기준으로 한 것이다.
 
이와 더불어 2013년 정보보안 산업 매출 증가율은 전년 대비 2.5% 증가한 1조 6천168억원에 불과했다. 다시말해 개인정보보호법이 시행되고 기업들의 개인정보 유출 사고가 계속 터져도 기업들의 정보보호 예산증가나 정보보호에 대한 의지는 전혀 변동이 없었다는 것을 나타내고 있다.
 
이 모든 결과는 누가 만든 것일까. 보안팀 혹은 보안담당자가 만든 것일까. 아니다. 바로 CEO가 결정한 것들이다. 따라서 정보유출이나 해킹의 책임은 CEO가 지는 것이 맞다.
 
보안사고가 발생했다고 해서 보안담당자를 징계하고 퇴사시킨다는 것은 불합리할 뿐만 아니라 담당자만 알 수 있는 사고원인과 대응 방안에 대한 노하우를 활용할 수 없다는 문제점도 발생한다.
 
최근 일련의 개인정보 유출 사건이 경영진의 낮은 관심과 투자 하에서 묵묵히 일해 왔던 보안담당자에 대한 과도한 책임전가와 징계로 이어져서는 안된다. 또한 향후 경찰과 감독기관은 보안담당자에 대한 사고 책임을 묻기 전에 해당 조직에서 적절한 관심과 인적, 금전적 투자를 지원했는지 확인하고 누가 책임을 져야 하는지 판단해야 한다고 생각한다. 
 
또 보안담당자에게 챔임을 부과하고 싶다면 그들에게 책임에 부합한 권한을 주었는지도 확인해야 하며 보안담당자와 CIO 조직이 분리되어 실질적인 감사 능력과 견제기능이 살아있는 조직구조가 되어있는지도 확인해야 한다. 그럼에도 불구하고 보안담당자가 잘못을 했다면 그때 문책하는 것이 맞지않을까.
 
법과 제도가 마련되어도 사고가 나지 않았다고 정보보호 투자를 하지 않는 CEO, 보안팀에게 책임에 따른 권한을 주지않으면서 사고가 터지면 책임을 지라고 강요하는 CEO, 그들에게 실제로 모든 보안책임이 있는 것이다. 이런 파리목숨 같은 상황에 누가 보안업무를 담당하려고 할까. 보안인재 양성 보다 이 부분에 대한 기업의 인식이 우선 개선되어야 한다. 양성만 해 놓고 갈 곳이 없다면 양성할 필요가 없는 것이다. 보안사고에 대한 CEO의 책임이 더욱 강화되길 희망해 본다. 그렇게된다면 정보보호에 대한 투자와 인식에서 많은 변화가 있지 않을까.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★