경영진 위한 보안 가이드라인 시급
[데이터넷] 우리나라의 개인이나 기업의 보안 인식이 높다고 자신있게 말할 수 없다. 과거보다 나아졌지만 여전히 비밀번호 미설정, 최신 패치 미설치 등 기본적인 보안조차 제대로 이뤄지지 않아 발생하는 사고가 잇따르는 것을 보면 보안인식 개선에 진전이 있다고 보기 어렵다. 특히 기업들은 스스로를 보호하기 위해 보안에 투자하기보다 정부 규제 때문에 마지못해 투자하는 경향이 있다.
1년 간의 임원 회의에서 단 한 건의 정보보호 안건도 논의되지 않을 정도로 경영진은 보안에 무관심하다. 정보보호최고책임자(CISO), 보안 담당자에게만 맡기는 것도 개선되었다고 보기 어렵다. 자신의 조직은 해커의 표적이 되지 않으며, 공격을 당해도 보안이 잘 되어있어 큰 피해는 없을 것이라는 안이한 생각도 자리하고 있다. 사이버 보안을 리스크 관리 차원에서 관리하기보다 비용 부담이 크고 생산성을 저하시키는 활동으로 인식하는 경영자도 있는 것으로 보인다.
기업 스스로 적극적인 보안 태세 나서야
기업의 보안은 누군가가 대신해 주는 것이 아니며, 기업 스스로 적극적인 보안 태세에 나서야 한다. 보안은 경영자의 강력한 의지에 달려있으며, 경영진이 보안의 큰 원칙을 수립하고 이끌어가야 한다. 그러나 우리나라 기업 경영진 중 보안에 대한 바른 인식과 의지를 가진 사람을 만나기 쉽지 않다.
경영자의 보안 관심이 높은 조직일수록 그 조직의 보안 역량이 뛰어나다. 이는 많은 보안 전문가들의 공통된 의견이다. 국내 경영자의 보안인식이 높지 않은 이유는 분명히 있다. 너무 많은 업무와 바쁜 스케줄, 많은 규제로 인한 비즈니스 활동의 제약, 과도한 책임과 연임을 위한 실적 개선 등에 매진해야 한다. 생산성을 떨어뜨리는 보안 투자를 진행하기 보다 비용을 줄이고 실적을 올리는 방향을 택하는 것도 이해는 간다.
그러나 보안을 당장의 실적만을 위해 접근하거나, 규제준수 등 타의에 의해 결정해서는 안된다. 보안은 기업 스스로 의지를 갖고 접근해야 하며, 보안이 기업 경영에 도움이 되는 생산적인 방향으로 전개되도록 경영자와 보안 조직이 협력해야 한다.
경영자 위한 사이버 보안 가이드라인 필요
일본 경제산업성은 2015년 경영자가 인식해야 하는 ‘사이버 보안에 관한 3원칙’, 경영자 리더십에 의해서 추진되어야 하는 사이버 보안 중요 10 항목’ 등을 담은 ‘경영자를 위한 사이버 보안 가이드라인’을 제정한 바 있다. 최근에는 각 기업의 보안 대책 실시 상황을 경영자들이 한 눈에 파악할 수 있도록 가시화한 ‘사이버 보안 경영 가시화 툴을 만들어 제공하고 있다.
우리나라도 경영자를 위한 사이버 보안 가이드 라인이나 보안 경영 가시화 툴 등을 경영자에게 제공해 기업의 보안 실태를 파악하고 다른 기업과의 비교할 수 있도록 하기를 바란다.
이러한 툴은 경영진들이 보안 실무자와 보안 대책 마련 등을 위해 소통창구로 사용되고, 경영자의 적절한 보안 투자 판단 도구로도 활용될 수 있을 것이다. 경영자의 보안 인식 제고와 기업 보안을 전반적으로 강화할 수 있을 것이다. 기업의 보안 역량 강화는 국가의 보안 역량 강화에도 크게 도움이 될 것으로 생각한다.
