“기업은 직원 복리후생 차원에서 식당을 운영할 때 임직원 수에 비례해 영양사를 고용합니다. 보유한 개인정보 회원 수나 매일 처리하는 정보 건수에 비례해 정보보호 전담인력을 배정해야 합니다.”
최동근 롯데카드 최고정보보호책임자(CISO)는 기업 정보보호 핵심은 보안의식의 생활화라고 강조했다. 지난해 롯데카드는 대규모 개인정보 유출사고를 겪은 뒤 최 CISO를 영입해 정보보호 체계를 완전히 바꿨다.
최 CISO는 사내 출입통제 시스템부터 각종 PC와 서버 등의 정보보호 시스템을 체계화했다. 특히 롯데카드에 정보보호 문화를 정착하는데 집중한다.
“본사 직원은 물론이고 콜센터, 카드모집원 등 6000여명에 달하는 롯데카드 가족에게 정보보호 문화 운동을 시작했습니다.”
그는 최고보안담당자가 현장에서 뛰어야 한다고 강조했다. “책임자라고 위에서 지시만 내리고 지키라고 강요하면 바닥까지 메시지가 전달되지 않습니다.” 최 CISO는 지난 1년간 전국을 돌며 현장에서 직접 카드사 직원이 정보보호를 생활화해야 하는지를 설명했다.
“기업 정보보호 수준을 높이려면 조직의 보안인식이 높아져야 하며 지속적인 투자와 인력 양성이 절실합니다.”
그는 어찌 보면 당연한 활동이 제대로 되지 않는 게 우리 현실이라고 지적했다. “국내 기업이나 기관 정보보호담당자는 보안 전문지식이 미흡하고 활동을 전담하지도 않습니다. 겸직이 많습니다. 정보보호 담당자가 스스로 역할의 중요성을 인지하지 못한 사례도 있습니다.”
최 CISO는 최근 고려대 정보보호대학원에서 ‘정보보호담당자의 역할이 조직의 정보보호 수준에 미치는 영향’이란 제목의 논문을 썼다. 그는 2012년부터 57개 기업 보안담당자를 대상으로 실태조사했다. 57곳 직원에게 최근 한수원 원전 도면 유출사고 때 쓰인 것과 같이 악성코드가 첨부된 이메일을 보내 모의훈련을 했다. 이 결과 정보보호 전담부서가 있는 기업과 그렇지 않은 기업의 보안 수준은 두 배나 차이났다.
“전담부서를 두거나 전문인력을 배정한 기업이 정보보호 수준이 높았습니다. 기업이나 산하기관이 정보보호 조직을 현실성 있게 구성하도록 법·제도를 개선해야 합니다.”
그는 특히 “기업은 보안문제를 제기만 하지 말고 영양사처럼 정보보호 전담인력을 배치하고 양성해야 한다”고 강조했다.
김인순기자 insoon@etnews.com
