어린이날에 놀이동산을 방문했다. 수많은 인파로 놀이기구 하나를 타는데 짧아도 2시간 30분 동안 줄을 서야 했다. 오랜 시간을 기다려 놀이기구를 타려는 순서가 다가왔을 때 바로 앞에 있던 아이가 울기 시작했다. 2시간 넘게 기다렸지만 탑승 규정에 맞지 않은 탓이다. 해당 놀이기구는 키 104㎝ 이상 아동이 부모를 동반해 탈 수 있다. 아이는 104㎝는커녕 100㎝도 되지 않았다.
부모는 탑승 규정은 알고 있지만 어린이날이고 오래 기다렸으니 특별히 태워 달라며 직원을 다그쳤다. 직원은 안전 규정을 어기는 행동을 할 수 없다며 2시간 30분을 기다린 가족을 내려보냈다. 한 사람을 위해 여러 사람의 안전을 담보로 잡을 수 없다고 단호히 말했다.
이런 일은 기업 보안에서도 자주 발생한다. 주로 최고경영자(CEO) 등 경영진이 업무 편의를 목적으로 보안 관리자에게 특별대우나 예외를 요구한다. 예외가 늘어날수록 기업 보안 수준은 낮아진다. 높은 담이 둘러친 성곽에 낮은 곳이 생기는 모양새다.
해커는 호시탐탐 가장 낮은 성곽을 노려 침투한다. 경영진은 주요 사이버 공격의 표적이다. 경영진은 일반 직원보다 외부에 알려져 있어 개인정보 수집이 쉬운 데다 회사 기밀에 쉽게 접근하기 때문이다. 게다가 고위 임원은 사내 보안 교육도 받지 않는다. 실제로 직원 보안 수준을 점검하는 모의 테스트에서 경영진이 악성코드가 담긴 이메일을 클릭할 확률이 직원보다 25%나 높다는 결과도 있다. 대부분 경영진이 이메일 보안 규정을 숙지하지 않고 사내 보안 프로세스를 건너뛰는 탓이다.
고위 임원이 사내 보안 규정을 깨고 시급한 업무를 한다는 이유로 예외 조치를 해 달라고 할 경우 거절할 보안 담당자가 있을까. 최고보안책임자(CISO)를 둔다고 해서 기업 보안은 강화되지 않는다. CISO나 보안 담당자를 두고도 규정을 어기고 목소리를 듣지 않는 건 더 큰 문제를 일으킨다. CISO는 기업의 안전 총책임자다. 보안 사고가 나면 책임지고 그만두는 사람이 아니다. 놀이동산 직원처럼 단호하게 경영진에게 보안 규정 준수를 요구하자. 기업 보안에서 예외는 없다.
김인순 보안 전문기자 insoon@etnews.com