대규모 개인정보유출 사고 후 보안담당자가 입건됐다. 사실이 아니길 바라지만 형사처분을 받을 수도 있는 상황이라고 한다. 17년 동안 보안에 종사했던 사람으로서 막막한 마음을 금할 길이 없다.
누군가의 아버지이고 한 가정의 가장인 보안담당자가 업무로 인해 형사처분을 받을 수도 있는 상황에 처했다. 실제 처벌로 이어질지는 모르나 가능성만으로도 보안조직의 사기에 치명적이다.
단기간 경각심은 일으키겠지만 장기적으론 산업의 근간을 허물 것이다. 당사자에게 과실이 없다고 하지는 않겠다. 다만 모든 과실을 보안담당자가 짊어지고 형사처분을 받는 것은 과연 정의로운 일인가. 보안담당자가 형사처분을 받게 되면 우리나라 개인정보보호 수준이 올라가고 국민의 프라이버시를 지킬 수 있게 될까. 단연코 아니라고 말하겠다.
경찰이 범죄를 못 막거나 범인을 못 잡았다고 해서 형사처분을 받지는 않는다. 조직 내 징계, 인사상 불이익만으로도 충분한 처벌이 되기 때문이다. 업무상 과실로 형사처분까지 받게 된다면 스트레스가 한계치를 넘어 경찰조직 자체가 무너지고 그 결과 범죄가 더 들끓게 된다. 보안 산업도 마찬가지다.
보안담당자는 조직 내 징계를 통해 그리고 무엇보다 업계에서의 평판으로 이미 처벌을 받았다. 보안담당자가 형사처분까지 받게 되면 어떤 일이 벌어질까.
먼저 갈 데 많은 핵심 전문인재가 이탈한다. 보안 수준은 저하된다. 그 결과 또 사고가 나면 압박감을 견디다 못해 보안을 천직으로 여기고 버티던 인재마저 떠난다. 대안으로 외부전문가를 스카우트한다. 보안은 전사적인 변화가 뒷받침돼야 하는데 대표이사가 투자하지 않고 권한을 주지 않으면 아무것도 변하지 않는다. 그 결과 외부전문가는 도태돼 보안업계를 떠난다. 이제는 보안인력 풀이 줄어들면서 영입할 외부전문가도 없는 상황이 발생한다. 젊은이들은 보안을 기피하고 남아있는 보안담당자 사기는 저하되며 어떻게 해서든 다른 부서로 가려고 노력할 것이다. 인재가 가지 않는 보안부서의 조직 내 파워는 계속 하락한다. 마침내 보안 산업의 경쟁력은 더 저하되고 그 결과 국민의 개인정보는 계속 유출된다.
책임져야 할 사람은 △보안투자를 후순위로 미루거나 반려한 사람 △취약점을 시정하겠다고 보고하고 실제는 안 고친 사람 △보안담당자가 배포한 ‘보안 가이드라인’을 바쁘다는 핑계로 무시한 사람 △사고발생 시, 대표이사가 책임지지 않기 위해 보안보고는 받지 말라고 한 컨설팅회사 △보안솔루션 때문에 업무가 느려진다고 불평하며 보안지침을 안 지킨 사람 모두다.
사고가 연달아 터져도 조직 내부의 보안 마인드는 변하지 않는다. 내부직원들은 자신에게 책임이 돌아오지 않는 일에는 순식간에 무신경해진다. 경영진은 보안보다는 실적으로 연결되는 일에 열중한다. 보안이 업무가용성과 충돌하면 보안담당자는 사내 갈등의 중심에 선다. 경영진의 지원 없이 보안담당자가 할 수 있는 일은 제한적이다. 결국 보안담당자는 평소에는 윗선의 무관심과 전 직원의 반발을, 유출사고가 나면 맹비난을 받게 된다. 권한 없이 책임만 짊어지고 있는 사람들, 바로 현재의 보안담당자다.
보안담당자를 봐주자는 말이 아니다. 형사처분까지 거론될 정도의 압박을 하려면 걸맞은 권한이 있어야 한다는 말이다. 특히 보안은 대표이사의 전폭적 지원 없이는 불가능하다. 조직 내 모든 부서, 모든 업무가 제대로 파악조차 안 되는 무수한 정보유출 통로와 보안취약점을 보유하고 수십년간 이어 내려왔다. ‘보안 때문에 일 못 하겠다’며 들끓는 사내 갈등의 중심에서 보안상 문제점을 전사적으로 개혁할 수 있는 권한은 오직 대표이사만이 가진다.
보안은 업무가용성과 충돌할 수밖에 없다. 이때 대표이사가 업무가용성과 보안 사이의 균형을 잡아주고 보안담당자에게 힘을 실어줘야 한다. 개인정보보호는 대표이사가 고민해야 하는 주요사안이며 보안 팀을 직속으로 두고 직접 보고받고 결재하고 리스크 판단과 투자를 해야 한다. 유출도 사람이 하고 보안도 사람이 한다. 유출사고를 잘 막으려면 보안인재를 잘 키우고 보안조직에 힘을 실어줘야 한다. 책임을 묻더라도 권한을 준 후 물어야 한다.
실제로 각 대학에 보안관련 학과가 신설되고 인재가 몰리고 있다는 반가운 소식이 들려온다. 정부대책에도 보안인력 양성이 중요하게 포함됐다. 이제 막 자라나기 시작하는 보안인재들과 보안 산업을 한 번에 꺾는 일이 없기를 바란다.
김대환 소만사 대표 kdh@somansa.com
