[정용민의 위기관리] 기업정보보안 위기, 한국에서 진정한 위기가 될 수 있을까?

최근 들어 기업정보보안 전문가 분들과 이야기를 나누고, 또 몇몇 대기업 CISO분들의 이야기들을 들을 소중한 기회가 있었다. 이를 기반으로 기업 위기관리 컨설팅을 하는 중립적인 시각에서 ‘기업정보보안 위기’와 관련 해 몇 가지 인사이트들을 정리해 본다.

과연 Corporate Korea에서 기업정보보안 위기는 진정한 위기일까?

결론부터 말하면 ‘아직 모르겠다’ 또는 ‘다른 기업 위기류처럼 진정한 위기로 받아들여지지 않을 가능성이 많다’는 느낌이다.

사용자 삽입 이미지
source : http://www.flickr.com/photos/purpleslog/2870445260/

이렇게 생각하게 된 이유는 무얼까?

1. 기업 위기라는 것이 내부적으로 공통된 정의(definition)을 전제로 하는데 기업정보보안에 대한이 전제가 아직은 미비하다. 기업정보보안을 IT팀 또는 정보보안팀의 소관일 ‘뿐’이라는 뿌리 깊은 전제가 존재한다. 이는 Bad Press가 홍보팀의 소관일 ‘뿐’ 나의 이슈나 전사적인 이슈는 아니다라는 오래된 전제와 유사하다.

2. 정보보안에 대한 내부 구성원, 특히 의사결정의 주체가 되는 CEO 또는 C-suite의 이해와 경험이 상당히 희박하다. 간단하게 말해서 CEO와 C-suite이 알아야 위기를 관리하는 데 정확하게 알지 못하고, CISO/CIO의 의견과 평가가 곧 초기 상황파악과 의사결정으로 연결되는 구조다. 크로스체킹이나 전문가들의 조언이 절실하지만 그 누구도 이에 대한 어프로치를 리드하진 않는다.

3. 평소 거의 모든 CISO/CIO는 자사의 기업정보보안에 대해 상당한 자부심을 가지고 있고, 실제 위기가 발생하기 이전까지는 100%에 가까운 보안 개런티를 견지한다. 물론 그분들이 제시하는 개런티의 이유는 합리적이고 구조적이다. 문제는 이런 개런티 마인드와 스페셜티 업무 기조가 평소 진단과 실제적인 보안 평가를 일부 형식화하거나 어렵게 한다. 이는 평시 국방부 및 군에 대한 제3자들의 평가를 경계하는 모습과 같다.

4. 실제 위기가 발생하더라도 기업이 전사적인 평가를 받을 가능성이 많고, CISO/CIO에 대한 문제 지적은 제한될 가능성이 많다. 일단 정보보안위기가 발생하면 그 원인이 평소 기업정보보안 시스템의 문제로 내부에서 규정되는 경우들은 그리 많지 않다는 의미다. 이는 2번의 이유와도 연결되는 데 “이번 위기는 우리의 완전에 가까운 기업정보보안 시스템에도 불구하고, 불가항력적인 해킹과 시스템 이외의 부분에서 방어 실패의 원인이 있었다”라는 자기합리화가 가능하다는 이야기다. 실제로도 기업정보보안 위기의 실패 사례들을 보면 위기발생 이후의 늦장대응, 상황파악 미비, 거짓말, 커뮤니케이션 데드라인 관리 부실, 대내외 커뮤니케이션 채널 확보 실패, 기타 부적절한 커뮤니케이션, 직원관리부실, 거래처관리 부실, 사내의사결정그룹의 무능함, 전사적인 비밀주의, 정부 및 규제기관과의 공조부실 등등에서 더 큰 문제를 발생시키고 있다는 부분에 주목해보자. 이는 기업정보보안 위기를 CISO/CIO의 영역이 아니라 전사적 위기로 해석해야 하는 이유가 되지만, 실제로는 그렇게 받아들이지 않는다.

5. 최근 빈번한 기업정보보안 위기의 반복으로 일개 기업의 단독책임 여부에 대한 규명이 이미 힘들어졌다는 부분이다. 기업들이 기업정보보안 위기와 관련하여 실패를 두려워하는 ‘실질적’ 부분은 일단 두 가지 영역이 아닐까 한다. 기업 경영진의 보호와 집단소송에서의 생존. 앞의 기업 경영진의 보호장치는 일단 평소 진행해 왔던 기업정보보안 시스템 대비 기록들이 존재하고, 기업정보보안 위기발생시 적절한 CEO의 리더십을 보여주는 것을 통해 어느 정도 규제의 범위를 제한하는 전례를 보여주고 있다. 남은 문제는 집단소송에 대한 것인데 이 부분은 해당 기업의 단독책임을 입증할 수 있는 경우들의 극히 드물어 기업에게 치명적 판결로 이어지기는 힘들지 않나 한다. (이 부분은 앞으로 실제 판례들이 나오면 의견이 변경될 수 있겠다) 또한 이 소송 대응 부분은 기업 내에서 법무팀과 로펌의 책임소관으로 넘어가게 된다.

이와 같은 내부 평가/환경 때문에 기업정보보안이 기업에게 치명적인 위기로 해석될 가능성은 낮다는 생각이다.

난감하고 시끄럽기는 해도 기업에게 별반 피부에 와 닿는 피해를 가져오지 못하면 기업 위기로 정의 되지 않는 Corporate Korea의 위기관(危機觀)이 이 기업정보보안 위기에도 적용될 가능성이 많지 않을까 한다.

P.S. 이 의견은 기업정보보안에 대한 전문가적 시각과 입장이 아니라, 기업위기관리시스템적인 시각과 입장에 근거합니다. 세부적인 기업정보보안 관련 논의는 아님을 인지해 주시기 바랍니다.


글 : 정용민
출처 : http://jameschung.kr/2237