[정태명의 사이버펀치]<109>정보보안 전문가가 현장을 떠나는 이유

“정보보안 업무를 벗어나고 싶어요.” 전국을 강타한 분산서비스거부공격(DDoS)과 지능형지속위협(APT) 등 무수한 해킹 공격에서 기업 정보보안 선봉에 있던 후배의 결정이어서 더욱 안타깝다. 그는 형사 처분 압박 때문에 보안업무를 감당하기 힘들어서 현장을 떠나는 보안 전문가 가운데 한 명일 뿐이다. 얼마 전 해킹 사고로 수사기관을 드나들던 보안 전문가의 고민이 전해진 탓이다. 공들여서 기른 전문가의 이직도 문제지만 보안 전문가 양성을 저해하는 걸림돌이 될까 우려된다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제73조는 '기술적·관리적 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 자'는 2년 이하의 징역 또는 2000만원 이하의 벌금에 처한다고 규정하고 있다. 정보보호에 실패한 기업의 보안 또는 개인정보 보호 담당자를 형사 처분한다는 조항이다. 국가 이익을 해치는 해킹을 막으려는 법이 오히려 정보보호 발목을 잡는 격이 되고 있다. 전문가 사이에서 이 법의 득과 실을 따져볼 필요성이 제기되고 있다.

수천만 명의 개인정보가 유출되고 인터넷 해킹 피해가 급증하던 2008년에 이 법이 신설됐다. 예산과 조직의 결정권이 최고경영자(CEO)에게 있어서 정보보안 담당자의 범위를 넘어선다는 반론이 제기됐지만 누군가는 책임을 져야 한다는 여론에 떠밀려 만들어진 법이라는 해석을 달고 다닌다. 기업을 형사 처분하는 법의 실효성과 함께 동일한 사건을 기업과 개인을 처분한다는 양벌 규정 논란도 있어 개정의 필요성이 계속 제기됐지만 아직 개정안은 언급조차 되지 않고 있다.

기업의 사이버 보호는 법과 제도로만 해결되지 않는다. 보안기술을 적용하고 전문가가 적극 관리해야 가능하다. 오히려 법을 방패막이로 하려는 태도가 문제를 키울 수 있다. 지키려는 열정이 피하려는 생각으로 변질되면 '기술적, 관리적 방어'의 최소 수준에서 면피만 하면 된다는 그릇된 사고가 만연해지기 때문이다. 설계만 잘하면 집은 안전하다는 생각은 오산이다.

정보 보안을 위한 법이 스스로를 해친다면 개정되는 것이 당연하다. 만일 이를 여러 가지 핑계로 차일피일 미루는 사이에 정보보안 전문가가 현장을 떠나면 위험은 증가된다. 기업에 부담스러울 정도의 과징금을 부과해서 CEO의 인식을 제고하는 것도 한 방법이다. CEO가 해킹 피해의 심각성을 인지하고 조직과 예산을 직접 챙기도록 유도하는 방법이 최선책이다. 기업을 안전하게 하는 일은 법보다 사람과 기술이 먼저이기 때문이다. 유럽연합(EU)의 개인정보보호규정(GDPR)이 천문학 규모의 과징금 부과를 결정한 것도 같은 맥락이다. 인사 조치 등 보안 담당자 처분은 기업이 내부로 결정해도 충분하다.

처벌만이 능사는 아니다. 정보보안을 미래 유망 직업으로 정착시키기 위해서는 보안 담당자를 격려하고 응원할 수 있는 방안을 마련해야 한다. 우선 정보보호 커뮤니티를 통해 동질감 있는 구성원과 소통을 원활히 하고, 정보 공유를 통해 정보보안의 그물망을 촘촘히 할 필요가 있다. 기업 정보보안 담당자의 위상을 강화, 관리와 문화 확산에 영향력을 부여해야 한다. 무엇보다 정보보안 전문가의 자긍심을 키울 수 있도록 정부가 지원하고, 법과 제도로 압박하는 방식은 지양해야 한다. 정보보안은 나만이 아니라 '우리' 모두의 문제이기 때문에 정부의 중간자 역할은 어느 때보다 중요하다.

정태명 성균관대 소프트웨어학과 교수 tmchung@skku.edu

[Copyright © 전자신문. 무단전재-재배포금지]