[이강신 김·장 법률사무소  전문위원. 사진] 고객들의 요청으로 모의감사를 하는 경우가 종종 있다. 정보보호관리체계(ISMS)인증, 개인정보보호관리체계(PIMS)인증 등을 받은 고객들인 경우 정보보호에 대한 관심과 투자가 높을 것이라는 점을 직감적으로 알 수 있다. 이런 고객들이 모의감사를 요청하는 이유는 주로 충분히 대비를 했기 때문에 별 문제는 없겠지만 혹시나 하는 마음에서다. 한편으로 모의감사를 해야 하는 필자는 잘하고 있을 기업일 것이기 때문에 지적할 사항이 없으면 어떡하나 하는 부담을 가질 수 밖에 없다.
 
모의감사 결과는 잘 되어 있을 거라는 생각과는 상당히 다른 경우가 종종 있다. 통상 3일정도 개인정보보호 관련 법령에 따른 감사만 해도 수십여개의 지적 사항이 나오고 이 중 수십여개는 법률을 직접적으로 위반하는 것들인 경우들이 있다. 모의감사를 실시한 필자도 놀라지만 의뢰한 고객은 더더욱 당황스러워 한다.
 
지적된 사항들을 살펴보면 형식은 갖추어져 있으나 누락된 것, 이행이 안되고 있는 것들이 대부분이었다. 마치 건물을 짓는 것에 비유한다면 건물의 기둥은 세웠으나 벽체가 일부 완성되지 않았고 건물관리도 안되고 있는 것과 같다. 어쨌든 건물의 기둥을 세웠다는 점은 일단 기초가 있으므로 발전 가능성이 있어 희망적인 면으로 보이기도 한다.
 
이러한 사례를 머리에 떠 올려보니 궁금해지기 시작했다. 기둥을 세웠음에도 불구하고 수 많은 지적 사항이 나오는 것이 당연한 결과일까, 혹시 썩은 기둥은 아닐까, 기둥이 너무 빈약하지는 않았는가 등 여러 고민을 한 끝에 기업에서는 결국 사람(People)이 정의되어진 절차(Process)를 따라 효율적인 수단(Product)을 활용하여 일을 함으로서 생산성을 높인다는 경영 원리를 적용하여 문제점을 짚어본다.
 
규모가 큰 기업인데도 정보보호를 전담하는 인력으로 1~2명을 두고 있으며 전문성도 높지는 않은 경우가 있다. 또한 최고정보관리책임자(CIO)가 정보보호최고책임자(CISO)를 겸직하고 개인정보보호최고책임자(CPO)의 역할 중 기술적인 부분까지 맡고 있는 경우가 있다.
 
CIO는 회사의 경영전략과 연계되는 정보전략계획을 수립하여 이행하는 책임을 맡고 있기 때문에 효율성이 높은 쪽으로 의사결정을 할 수 밖에 없는 지위이다. 그럼에도 불구하고 정보보호 또는 개인정보보호를 겸직하는 것은 마치 CIO 자신이 한 일에 대하여 스스로 감사하라는 이율배반적인 기둥을 세워놓은 것과 같다.
 
정보보호 분야는 IT를 기본으로 전제하기 때문에 전문가가 되기 위해서는 많은 시간을 투자하여 익혀야 하고 항상 새로운 공격이 나오기 때문에 부지런히 배워야 한다. 이런 전문가 여러 명이 혹시 새로운 취약점이 나타날지 모르기 때문에 크로스 체크를 하면서 업무를 수행하여야 리스크 관리가 된다. 그러나 비전문가 1~2명이 정보보호와 개인정보보호를 위한 안전조치 의무를 수행할 경우 전문성이 없는 담당자가 효율성을 추구하는 CIO 아래서 과연 무엇을 할 수 있을지 짐작이 된다.
 
ISMS 또는 PIMS 인증을 받은 경우 체계를 도입하였다고 볼 수 있어 긍정적인 측면이라고 하겠다. 그런데 개인정보보호법, 정보통신망법, 전자금융거래법, 신용정보법 등 법적인 요구사항을 보면 이행에 대한 사항들도 많다. ISMS, PIMS에서도 이행을 매우 중시하고 있는데 인증만 받고 이후 이행을 하지 않고 있는 경우가 있다. 또한 그 밖에도 법률적인 요구사항을 가지고 상시 모니터링을 하여 컴플라이언트해야 하나 이 또한 이행하지 않는 경우가 있다. 프로세스는 있으나 프로세스를 이행하지 않기 때문에 사실상 프로세스가 없는 것과 진배 없다고 할 것이다.
 
정보보호를 위한 수단은 다양하고 풍부하게 적용하고 있는 경우도 많았었다. 방화벽, 침입방지시스템, DRM, DLP, VPN 등 최소한 법률적으로 적용하여야 하는 제품 이외에도 더러는 추가로 적용하고 있었다. 정보보호에 관심과 투자가 있었던 만큼 수단을 적용하고자 하는 의지는 인정된다. 그러나 이 또는 운영상에서 효율성을 추구하기 위해 정책을 해제하는 등의 문제점들이 종종 드러난다. 사이버에 대한 공격과 방어는 새로운 취약점과 공격 기법이 연속적으로 나타나고 있기 때문에 시장에 출시된 정보보호 제품들 중에서 이에 걸맞는 정보보호 제품들을 선택하기 위해서 항상 관심을 가지고 기능과 성능면에서 우리가 가지고 있는 제품과 비교분석을 하여야 한다. 그러나 이러한 활동을 하기에는 인력면에서 역부족인 경우가 종종 있다.
 
종합해보면 사람/조직(People), 프로세스(Process), 정보보호 제품/서비스(Product) 3요소를 갖추기는 하였지만 올바르게 갖추지 못했다. 건물을 짓기 위해 세워놓은 기둥이 외관상으로는 있어 보이나 실상은 제대로 된 기둥들이 아닌 셈이다.
 
아직도 많은 기업들에서는 올바른 기둥을 세우지 못하고 흉내만 내는 경우가 허다하다. 기업에서 CISO를 공모하여 뽑는데 실무경험은 거의 없음에도 불구하고 유명세만을 보고 뽑는 경우, CIO가 CISO를 겸직하는 경우, 전문가가 아닌 사람이 정보보호 업무를 수행하는 경우, 주먹구구식 정보보호를 하는 경우가 대표적인 예라 할 수 있다.
 
기업의 경영자들은 기업의 이익을 창출하기 위해 뛴다. 이런 분들에게 정보보호가 당장 눈에 들어올 리가 없다. 그러나 창출된 이익을 지키기 위해서는 리스크를 잘 관리하여야 한다. 정보보호 또는 개인정보보호는 기업뿐만 아니라 경영자 자신도 위험으로 몰아 넣을 수 있기 때문에 핵심 관리대상 중의 하나여야 한다.
 
효율성을 추구하는 입장에서 정보보호만을 강조할 수는 없겠지만 적정한 선을 유지할 필요는 있다. 이러한 적정한 선이 바로 경영자 입장에서는 프레임워크에 대한 승인이며 적극 후원하는 것이다. 그래야 정보보호책임자는 충실히 프레임워크 안에서 컨텐츠를 실행하게 될 것이고 이렇게 함으로써 리스크를 관리할 수 있게 될 것이기 때문이다.
 
[글. 이강신 김·장 법률사무소 전문위원 / gangshin.lee@kimchang.com]
 
<★정보보안 대표 미디어 데일리시큐!★>