 |
이기혁 중앙대 융합보안학과 교수 |
이 과정에서 반복적으로 책임의 중심에 서는 인물이 정보보호최고책임자(CISO)다. 다만 CISO가 자원 배분 등 실질적인 권한과 책임을 가지고 있는지는 점검이 필요하다. 특히 보안 투자 예산은 CISO가 가장 크게 제약을 받는 영역이다.
한국인터넷진흥원(KISA)에 따르면 지난 2024년 기준 국내 공시 대상 773개 기업의 IT 투자 중 정보보안 투자 비중은 6.29%다. 미국 기업 평균 보안 투자 비중(13%)과 격차가 크다. 공시 의무가 없는 중소·중견기업까지 포함할 경우 국내 평균은 이보다 더 낮을 가능성이 높다. 이러한 환경에서는 사고 발생 후 책임만 묻는 패턴이 반복될 수밖에 없다. 결과적으로 CISO는 사고 원인을 설명해야 하는 위치에 서지만, 사고 예방을 위한 결정 권한과 집행 수단은 제한적인 경우가 많다.
보안 투자는 기업 자율 판단에만 맡기기에는 구조적 한계가 분명하다. 기업의 투자 우선순위는 시장 환경과 함께 점검, 평가, 공시와 같은 외부 제도에 의해 크게 영향을 받는다. 공공부문은 이러한 현실을 비교적 명확하게 보여준다. 국가정보원은 중앙부처와 지방자치단체, 공공기관을 대상으로 사이버보안 실태평가를 실시하고 있다. 개인정보 보호 분야에서도 개인정보보호위원회를 중심으로 공공기관 개인정보 관리수준 진단이 정례적으로 이뤄지고 있다. 평가가 예고되면 기관은 사전에 보안 체계를 점검하고, 관련 예산과 인력을 확보하며, 보안 이슈가 조직의 주요 의제로 다뤄진다.
반면 민간 기업에 대해서는 이와 같은 상시적 점검 체계가 상대적으로 부족하다. 대규모 개인정보와 거래·인증 데이터를 처리하는 주요 민간 기업들은 대형 사고가 발생한 이후에야 한시적인 조사와 점검이 이뤄지는 경우가 많다. 수습은 반복되지만 예방은 제도화되지 않는 구조다.
정책당국은 이 지점을 점검할 필요가 있다. 민관이 참여하는 형태의 보안 실태 점검을 일반 기업으로 확대하는 방안이다. 이는 사고 발생 이전에 취약 지점을 점검하고 보완하도록 유도하는 예방 중심 체계여야 한다. 점검 방식 역시 형식적 체크리스트를 넘어설 필요가 있다. 실제 공격 시나리오를 기반으로 침투 가능 경로와 피해 확산 범위를 점검하는 방식이 요구된다.
이러한 선제 점검 체계가 정착되면 기업의 선택도 달라질 수밖에 없다. CISO의 역할과 권한을 재정립하거나, ISMS 인증을 적극적으로 활용하고, 보안 투자에 우선순위를 두는 방향으로 경영 판단이 이뤄질 가능성이 크다. 정책당국이 최소한의 점검 틀을 마련해 민간 보안 수준이 '선택'이 아니라 '기본 요건'이 되도록 할 필요가 있다. 사고가 발생하면 비용은 한꺼번에 발생한다. 보안 투자는 늦을수록 기업과 사회가 부담해야 할 비용이 커진다는 점에서, 예방 중심의 제도적 접근이 요구된다.
이기혁 중앙대 융합보안학과 교수
Copyrightⓒ 파이낸셜뉴스. 무단전재 및 재배포 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.