“기업의 정보유출 사고는 정보보호 체계가 99% 완벽하더라도 1%의 부족함 때문에 발생됩니다. 그 1%는 보안정책이나 보안시스템이 아니라 사람에 의한 경우가 많습니다.”
대표적 최고정보책임자(CIO) 협의체인 CIO포럼을 이끄는 이강태 회장의 말이다. 이 회장은 CIO 출신으로 최고경영자(CEO)를 역임한 대표 인물이다. 8년간 비씨카드·하나SK카드 등 금융회사 대표를 맡으면서 느낀 기업 정보보호 방향을 최고정보보호책임자(CISO)·CIO는 물론이고 CEO에게 제시했다.
가장 중요한 것은 바로 ‘사람’이라는 게 이 회장의 생각이다. 이 회장은 “상당수 기업은 치밀한 보안정책과 첨단 보안시스템을 갖추고 있다”며 “그럼에도 불구하고 곳곳에서 정보보호 사고가 나는 것은 사람에 대한 부족함 때문”이라고 지적했다. 한 보안업체 조사결과 보안사고의 80%는 기업 내 정보를 취급하는 담당자에 의해 발생되는 것으로 나타났다.
카드사 개인정보 유출도 결국 사람에 의해 발생된 문제다. 정보가 유출된 카드사 모두 보안정책과 암호화 등 보안시스템이 갖춰져 있었지만 적용하지 않도록 해준 사람이 문제였다. 이 회장은 “기업 내 정보를 담당하는 사람들 스스로 보안정책을 철저히 지키고 불편하더라도 보안시스템을 유지해야 한다”고 강조했다.
금융회사 중심으로 적극 도입이 이뤄지는 CISO 제도에 대한 방향도 제시했다. CISO가 최고재무책임자(CFO) 등과 어깨를 나란히 할 수 있을 만큼 강력한 오너십을 갖게 해줘야 한다는 게 이 회장의 견해다. CIO 아래 있거나 겸직하는 CISO 제도는 아무런 의미가 없다고 지적했다.
정부 보안정책도 현상에서 머무르지 말고 근본적인 대책을 마련하는 데 집중해야 한다고 강조했다. 금융회사들이 지나치게 개인정보를 많이 수집하는 게 문제라는 것이다. 이 회장은 “금융회사가 개인정보를 많이 보유하지 않으면 그만큼 유출 우려도 적다”며 “휴대폰 번호나 이메일과 집주소 등 불필요한 정보를 수집하는 것이 문제”라고 말했다.
CISO와 CIO의 역할 변화도 주문했다. 이 회장은 “CISO와 CIO는 해당 분야 기술 전문가가 돼야 하지만 결코 기업 내 다른 임원을 설득시킬 때 기술용어로 이야기해서는 안 된다”고 강조했다. IT를 활용하는 현업이나 CEO가 CISO·CIO의 말을 이해하지 못하면 관련 정책이나 시스템은 그저 무용지물에 불과하다.
CISO와 CIO는 CEO를 비롯해 CFO, 최고마케팅책임자(CMO) 등 다른 임원들로부터 신뢰도 확보해야 한다고 주장했다. 주주 신뢰도 얻어야 한다. 신뢰를 얻기 위해 무엇보다 투명해야 한다고 충고한다.
이 회장은 “간혹 CEO에게 ‘제가 다 알아서 하겠습니다’라고만 말을 하고 많은 IT예산을 요구하는 CIO가 있는데 CEO로서 이런 CIO는 신뢰하지 않는다”고 설명했다. CEO나 임원에게 모든 것을 알기 쉽게 설명하고 공개하는 것이 신뢰를 얻는 최고의 방법이라고 소개했다.
이 회장은 “최근 정보보호·모바일·빅데이터 등 경영 화두가 IT와 연관된 것이 많다”며 “기업 내 많은 사람과 소통하고 신뢰를 얻는 것이 CEO로 갈 수 있는 지름길”이라고 충고했다.
신혜권기자 hkshin@etnews.com
