昔之善戰者(석지선전자) 先爲不可勝(선위불가승) 以得敵之可勝(이대적지가승).
“잘 싸우는 자는 적이 먼저 이기지 못하도록 방어 태세를 갖추고 난 다음에 이기기를 기다린다.” 정치학과 처세의 교과서라고 불리는 손자병법 균형편의 한 구절로 `소리를 죽이고 준비하라`는 내용이다.
준비태세가 중요한 것은 비단 시장경제뿐 아니다. 사이버 공간에서도 마찬가지다. 우리나라는 2009년 분산서비스거부(DDoS) 공격, 2011년 농협 전산망 마비 사태, 2012년 KT 개인정보 유출사고 등을 겪으면서 IT 선진국이라는 국가적 자존심에 커다란 상처를 입었다. 이러한 개인정보 및 기업정보 유출은 집단소송, 피해보상, 기업 신뢰도 저하, 고객 이탈, 주가 하락 등 사회·경제적인 측면에서 큰 손실이 아닐 수 없다.
많은 전문가들이 사이버공격에 대한 준비가 시급하다고 목소리 높여 강조하고 있으나 기업들의 준비는 여전히 미흡한 실정이다. 지난해 한국인터넷진흥원(KISA)의 정보보호 실태조사에 따르면 국내 기업 중 21%만이 정보보호 정책을 수립하고 있다. 정보보호 책임자를 임명하고 있는 기업은 22%에 불과하다. 정보화투자 대비 정보보호투자 비율이 1%미만인 기업은 무려 83%에 달한다. 더욱이 절반 이상의 기업이 정보보호 투자에 대한 필요성을 느끼지 못한다고 답했다.
기업의 정보보호를 지출해야 할 비용의 개념으로 봐서는 더 이상 안된다. 정보보호는 비즈니스 기회를 예측하고 현재와 미래의 위험에 적절히 대응할 수 있는 핵심 경쟁력인 동시에 예상하지 못한 위기상황에서 비즈니스 안정성을 유지하고 정보자산을 적절하게 보호하기 위한 경영활동의 일부다.
기업 최고경영자(CEO)는 정보보호가 기업 경쟁력의 핵심 열쇠(key)임을 인식하고 스스로 적극적인 노력을 펼쳐야한다. 기업 경영자들을 위해 몇 가지 제언을 덧붙인다.
첫째, 정보보호에 대한 CEO의 관심과 의지가 무엇보다 중요하다. 정보보호 활동이 기업의 경영방침과 융화될 수 있도록 전사적 정보보호 정책 수립, 인력 및 예산 등의 의사결정에 직접 참여하고 적극적으로 지원해야 한다.
둘째, 인재(人災)는 인재(人才)로 관리해야한다. 최근 주요기업에서 발생한 대부분의 해킹사고는 내부관리 소홀에서 비롯된 인재(人災)라고 볼 수 있다. 정보보호에 대한 CEO의 의사결정을 지원하고 기업 내 정보자산을 효과적으로 보호할 수 있는 인재(人才) 확보를 위해 내부 직원을 육성하거나 유능한 정보보호 전문가를 채용해야 한다.
셋째, 위험관리 기반의 정보보호 관리체계 수립이 필요하다. 전통적인 위험관리에는 재무, 신용, 법률 위험 등이 해당되었으나 사이버공격으로 치명타를 입을 수 있는 오늘날에는 글로벌 리더에게 있어 정보보호 위험관리 능력은 필수 요건이다.
넷째, 정보보호 투자에 인색해서는 안 된다. 정보보호 투자를 줄이면 당장에는 비용절감 효과를 볼 수도 있겠지만 사고 발생 시 입게 될 엄청난 손실을 생각하면 정보보호 투자가 얼마나 효과적인 예방법인지 알 수 있을 것이다.
끝으로, 기존 산업과 ICT 산업의 융합으로 해킹과 악성코드 유포 등 사이버 공격으로 인한 피해가 더욱 커지고 있다. 국민의 소중한 생명과 재산을 사이버 공격으로부터 보호하기 위해서는 정보보호를 교통, 의료 등 산업 전분야로 확대하는 것이 필요하다. 이를 위해서는 정보보호 관련 업체 및 기관의 역할을 강화해야하고 국가 차원에서 기업과 개인의 정보보호를 체계적이고 일관되게 지원할 수 있도록 흩어진 관련 법제도를 정비하는 것이 시급하다.
이재일 한국인터넷진흥원(KISA) 본부장 jilee@kisa.or.kr
