최근 통신 3사 및 쿠팡 등 굵직한 개인정보 유출 사고가 발생하며 정보보호에 대한 관심과 중요성이 커지고 있다.
구체적인 사고 발생 원인 및 사유는 조사 기관 또는 발생 기관에서만 알 수 있어 일반적인 제3자는 알기가 쉽지는 않다.
보안 업중에 몸을 담고 있는 나조차도 blog 나 오픈채팅방에서 떠도는 소문과,
`xx 회사의 aa 한테 들었는데~` 라고 시작되는 근거없이 전달되는 사람들로부터의 확인되지 않은 사실을 들을 수 있을 뿐이다.
기사의 댓글 또는 여론은 담당자의 잘못(또는 실수)로 보안 조치가 미비했다라는 의견이 일반적이다.
하지만, 과연 보안 사고의 근본적인 원인을 정보보안 담당자의 귀책일까라는 점에 대해서는 다시 한번 생각해볼 필요성이 있다.
CISA 나 ISMS-P 인증 심사원 등 보안에 관련된 자격증을 준비하다 보면 항상 나오는 말이 있다.
- 경영진의 책임(또는 관심)
결론적으로 이 부분이 핵심이라고 생각한다.
정보보안 책임자로 근무하며 경영진에게 보안 강화에 대한 필요성 및 예산 관련을 보고하러 가면 경영진은 대부분 이런 말로 되묻기를 시작한다.
- '이런걸 하게 되면 업무에 지장이 발생하지 않나요?
- (법적으로) 꼭 해야 하나요?
- 예산이 조금 과한 것 같은데 예산을 조금 더 줄일 수 있나요?
라고 다시 되묻고는, '조금 더 조사를 해서 보고해 주시면 다음에 결정하겠습니다' 라고 결론은 마무리짓지 못하고 마무리한다.
'25년 말에 한국인터넷진흥원(KISA) 에서 '[과학기술정보통신부] CISO 대상 긴급 보안점검 실시 및 결과 회신 요청' 라는 제목의 메일을 보내며 4가지의 점검 항목에 대하여 대표이사의 확인서를 제출을 요청하였다.
- IT 자산
- 인터넷 접점
- 인터넷 접점 자산 취약점 점검
- 백업체계 점검
이 메일을 받고 나서 아래와 같은 생각부터 들었다.
- 어떤 근거가 있길래, 이런 점검 확인서를 요청하는 걸까?
- 이게 과연 효용성이 있을까?
내 결론은, 경영진의 관심을 재고하기 위하여 이런 보고서를 제출하라고 했지만 큰 효과는 없다는 거다.
그렇다면 과연, 경영진으로부터 정보보안에 대한 관심을 이끌어 내기 위해서는 어떤 방법과 조치가 필요할까?
우선 가장 효과적인 방법은, 개인정보 유출 등의 사고 발생시 과태료를 증가시키는 방법이 있다.
- 이는 이미 논의되고 있다.(현재 매출액의 최대 3%까지 부과 가능)
그렇다면, 과태료를 증가하는 방법 외에 다른 방법은 없는 걸까?
앞으로 이 블로그에서 내가 생각하는 실제적이고 효율적인 (경영진의 관심 재고 등) 보안 강화 방안에 대하여 작성해 보려고 한다.
'『 정보보안 』' 카테고리의 다른 글
| ISMS(-P) 란 무엇인가, 과연 ISMS 는 필요한가? (1) | 2026.01.20 |
|---|
