"또 털렸네." 뉴스 댓글창에서 가장 흔히 볼 수 있는 반응입니다. 그리고 그 화살은 대부분 한 방향을 향합니다. 바로 보안 담당자에게요. 과연 그게 맞는 걸까요?
요즘 뉴스, 개인정보 유출이 너무 잦습니다
최근 통신 3사를 비롯해 쿠팡 등 굵직굵직한 기업들의 개인정보 유출 사고가 연이어 터지면서, 정보보호에 대한 관심과 불안감이 동시에 커지고 있습니다.
그런데 이런 사고가 터질 때마다 항상 드는 의문이 하나 있습니다.
"도대체 왜 이런 일이 반복되는 걸까?"
구체적인 사고 원인은 조사 기관이나 당사자가 아니면 사실 알기 어렵습니다. 보안 업계에 몸담고 있는 저조차도, 블로그나 오픈채팅방에 떠도는 소문이나 "xx 회사 aa한테 들었는데~" 로 시작하는 확인되지 않은 이야기를 접하는 게 대부분입니다.
소문은 많고, 팩트는 적은 세계입니다. 😅
여론의 시선 — "담당자가 잘못한 거 아니야?"
기사 댓글과 여론을 보면 대체로 비슷한 흐름입니다.
"담당자가 기본적인 보안 조치도 안 했던 거 아냐?" "이런 것도 못 막으면 뭘 하는 거야?"
충분히 이해되는 반응입니다. 하지만 저는 여기서 한 가지 질문을 던지고 싶습니다.
보안 사고의 근본적인 원인이 정말 정보보안 담당자의 귀책일까요?
자격증 공부할 때 항상 나오는 그 말
CISSP, ISMS-P 인증 심사원 등 보안 관련 자격증을 준비해 보신 분들이라면 교재에서 반드시 한 번씩은 마주치는 문장이 있습니다.
"정보보안은 경영진의 책임(Commitment)에서 시작된다."
시험 문제 단골 소재이기도 하고, 강사들이 입에 달고 사는 말이기도 합니다. 그런데 저는 이게 단순한 시험 키워드가 아니라, 보안 사고의 본질을 꿰뚫는 핵심이라고 생각합니다.
현실에서 벌어지는 일 — 경영진 보고의 풍경
정보보안 책임자로 근무하면서 경영진에게 보안 강화의 필요성과 예산을 보고하러 가면, 돌아오는 반응은 놀랍도록 비슷합니다.
💬 "이걸 도입하면 업무에 지장이 생기지 않나요?" 💬 "법적으로 꼭 해야 하는 건가요?" 💬 "예산이 좀 과한 것 같은데, 줄일 수 있을까요?"
그리고 대화는 항상 이렇게 마무리됩니다.
💬 "조금 더 조사해서 다시 보고해 주시면 그때 결정하겠습니다."
결정하지 않는 것으로 결정하는, 아주 세련된 방식의 보류입니다. 😶
KISA의 긴급 보안점검 요청 — 효과가 있을까?
2025년 말, 한국인터넷진흥원(KISA)에서 과학기술정보통신부 명의로 CISO 대상 긴급 보안점검 메일을 발송했습니다. 제목부터 심상치 않았습니다.
📧 '[과학기술정보통신부] CISO 대상 긴급 보안점검 실시 및 결과 회신 요청'
점검 항목은 총 4가지, 그리고 대표이사 확인서를 요청했습니다.
| ✅ IT 자산 현황 |
| ✅ 인터넷 접점 현황 |
| ✅ 인터넷 접점 자산 취약점 점검 |
| ✅ 백업체계 점검 |
메일을 받은 순간 솔직히 이런 생각이 먼저 들었습니다.
"어떤 근거로 이런 점검 확인서를 요청하는 걸까?" "과연 이게 실질적인 효과가 있을까?"
저의 결론은, 경영진의 관심을 환기하려는 취지는 좋지만 실효성은 크지 않다 입니다. 확인서 한 장 받는다고 경영진의 보안 마인드가 바뀌지는 않으니까요.
그렇다면, 경영진의 관심을 끌어내려면?
현재까지 가장 효과적인 방법으로 거론되는 것은 역시 과태료 강화입니다.
📌 현재 개인정보 유출 사고 발생 시, 매출액의 최대 3% 까지 과태료 부과 가능 (이미 논의 진행 중)
지갑이 아프면 관심이 생기는 건, 기업도 사람도 마찬가지입니다.
하지만 과태료만이 유일한 답은 아닐 겁니다.
앞으로 이 블로그에서 이야기할 것들
저는 앞으로 이 블로그를 통해, 실제 현장에서 경험한 시각으로 다음과 같은 주제들을 이야기해 보려 합니다.
- 경영진의 보안 관심을 실질적으로 끌어낼 수 있는 방법
- 현실적이고 효율적인 보안 강화 방안
- 담당자 혼자 떠안지 않아도 되는 구조 만들기
보안은 담당자 혼자 지키는 게 아닙니다. 앞으로의 글도 기대해 주세요. 🔐
'『 정보보안 』' 카테고리의 다른 글
| 🚀 스타트업, 보안에 투자하지 않아도 되는 이유 - 라고요? (0) | 2026.06.28 |
|---|---|
| 🔍 "우리 회사는 사고가 없었는데, 보안 잘하고 있는 거 아닌가요?" (0) | 2026.06.14 |
| 🛡️ 국산 보안 솔루션, 솔직하게 이야기해봅시다 (0) | 2026.06.10 |
| 🔌 망분리, 꼭 필요한 걸까요? (0) | 2026.06.08 |
| 🛡️ ISMS 인증, 받으면 보안이 완벽해지는 걸까? (1) | 2026.01.20 |