사이버보안이 중요하다는 것은 무엇을 막론하고 맞는 얘기다. 하지만 그건 우리가 보안을 알고 하는 사람으로써, 당연한 얘기로 생각하는 것일지 모른다. 만약 컴퓨터를 전혀 알지 못하는 사람이거나 혹은 해킹을 당해 직접적인 손실을 눈으로 보지 못했다면, 보안이 중요하다는 것은 알기 어렵지 않을까. 그렇다면 왜 보안을 중요시 여겨야 하는지부터 알아야 된다 생각한다. 이에 대해서 얘기하기 전, 사이버 보안은 크게 집과 직장, 공공시설에서의 보안으로 나눌 수 있다. 각각 장소에서의 보안은 비슷하면서도 조금씩은 다르다. 특히나, 많은 정보와 데이터가 오가는 곳, 직장 내라면 더 많은 룰들이 생긴다. 왜냐하면, 보안의 대상이 내가 아니라 다른 상대방이 되기 때문에 더 신중하고 조심스럽게 다뤄져야 하기 때문이다. 그런 의미로 오늘은 직장에서 ‘보안’을 다루는 법에 대해 자세히 이야기해 볼까 한다.

2015년 Ponemon 연구에 따르면, 사이버 범죄로 인한 전 세계 기업의 연간 평균 손실은 770만 달러를 초과한다고 한다. 그리고 2017년인 지금은 랜섬웨어의 버프를 받아 사이버 범죄로 인한 손실이 배로 커졌으리라 생각된다. 이 중에는 최대 개인정보 유출 사건으로 꼽히는 ‘야후’사건도 있었을 것이고, 국내 랜섬웨어 사건 ‘나야나인터넷’ 사건도 포함되었으리라. 그들은 사이버 범죄로 인해 휘말린 수 많은 소송과 그로 인해 받은 금전적 피해도 그대로 감수해내야 한다. 이 뿐이랴, 데이터가 유출되고 랜섬웨어의 몸값 지불 등 피해 비용이 꼭 수치로만 계산되는 것은 아니다. 이 같은 일이 벌어지는 순간, 기업은 평판이 떨어지고 주가는 떨어지며, 사용자들의 신뢰를 잃는다. 예를 들어, TalkTalk이 세 번째로 해킹 된 후의 주가는 10.7 %에서 239.7p 하락하였다. 물론, 주가 하락이 꼭 해킹 때문이다라고 단정할 순 없지만 영향이 없을 순 없다. 또한, 소니 해킹 사건처럼 기업의 지적 재산권을 해킹 당하면 이로 인한 비즈니스적 손실은 어떻게 할 것인가. 더욱이, 사이버 범죄가 터지는 순간 그로 인한 2차 피해도 무시할 수 없는 노릇이다. 결국, 기업에서 사이버 범죄가 터지는 순간 기업에 기둥이 휘청거리는 것은 어쩔 수 없다. 그러므로 이렇게 기업에 기둥이 휘청거릴만한 위험 효소를 터지기 전까지 그냥 모른 척 무시할 것인가. 이 같은 사이버 범죄는 ‘보안’을 별로 신경 쓰지 않고, 안일하게 생각할수록 더 쉽게 다가온다. 그리고 이는 꼭 IT 부서에서만 이루어지는 것이 아니라, 모든 직원들에게 통용되는 것이고 그 누구도 사이버 범죄에 책임을 가질 수 있다. 이 같은 점이 컴퓨터를 알지 못하더라도, IT 부서가 아니더라도 우리가 직장 내에서 사이버 보안에 대해 신경 써야 하는 이유가 된다.

그렇다면, 우린 얼마나 기업의 정보보안에 대해 신경을 쓰고 있을까. 이에 대해 한국 후지제록스에서 흥미로운 조사를 했다. 지난 2016년 기준, 7월 13일 정보보호의 날을 맞이하여 후지제록스는 4일부터 8일까지 5일간, 사무 관리직, 전문직 등 총 500명의 직장인을 대상으로 정보보안 인식과 실태에 대해 설문조사를 했다. 설문 조사에 따르면, 직장인 10명 중 7명은 보안 규정을 철저히 지켜야 한다고 생각하고 있으나 실제 보안 규정이 제대로 지켜지는 기업은 절반에도 미치지 못하는 것으로 나타났다. 이번 조사에서 기업 내에서 다루는 데이터에 대해 보안 관련 규정이 철저하게 이루어져야 한다고 생각한다는 질문에 74.2%의 응답자가 긍정적으로 답변했다. 하지만 사내에서 보안 규정이 엄격하게 지켜지고 있는 편인지에 대해서 묻는 질문에서는 43%만 긍정적으로 답해 보안 의식을 가지고 있는 것에 비해 기업 내에서 실제 규정 준수가 제대로 이루어지지 않는다고 보였다. 아울러, 현재 직장 내 정보보호에 대한 취약성에 대해 어느 정도 느끼고 있는지에 대한 답변으로 약 55%가 심각성을 인지하였고, 그 심각성에 대해 사용자 인증 등 제약 없는 중요 문서 출력에 관하여 약 35%가 심각성을 느낀다고 답했다. 즉, 전체적으로 사내 정보보안에 대해 필요성과 심각성은 인지하지만 제대로 된 절차, 기준이 애매모호하고 행동이 제대로 이루어 지지 않는 다는 것이다. 더불어, 정보 보안은 IT 부서가 아니더라도, 소규모 사무실일지라도, 전혀 컴퓨터와 관련 없는 사람일지라도 누구나 사이버 보안에 대해 생각하고 걱정해야 한다는 것이다. 그런 의미로 직장내 사이버 보안에 대해 몇 가지 tip과 이와 관련한 법률을 가져왔으니 이에 대해 숙지해 놓는 것이 좋을 듯 하다.

먼저, 직장 내 리더를 정하라.

Martin-Vegue는 업무 과정에서 보안 상태를 강화하고 노력을 기울이는 것이 단순히 귀중한 자원을 소비하는 것처럼 보일 수 있지만, 사실상 강력하고 일관된 분위기가 없으면 실패 할 것이라고 하였다. 따라서, 기업 내에서 조직의 고위 지도부가 전적으로 보안 목표 및 목표를 적극적으로 지지하는 것이 매우 중요하다고 한다. 회사에서 보안 담당인 리더를 만든다는 것은 장기적으로 회사의 보안을 강화시키고, 책임감을 부여하여 신뢰도를 높이고, 안정감과 긍정적인 효과를 가져온다. 국내 정보통신망법에 따르면, 임원 또는 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장을 개인정보보호책임자의 책임을 부여하며, CPO(Chief Privacy Officer)의 역할을 수행하도록 되어 있다. 또한, 개인정보보호법 제 31조에 따르면, 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호 책임자를 지정하여야 한다. 이어서 동 법 시행령 제 32조에 개인정보 보호책임자의 업무 및 지정요건에 따라 개인정보의 처리에 관한 업무를 총괄해서 책임질 ‘개인정보보호책임자’의 요건 및 수행업무의 범위를 규정하고 있다. 보통 정보보안의 리더는 높은 권한을 주는 것이 좋은데, 이는 표면적으로 기업 내에서 ‘보안’이 우선순위를 가지고 있다는 상징적 의미로도 보여지기도 좋고 정보보호과 관련한 하위 조직에 협조를 구하기도 용이하다. 뭐, 이러한 이유로 기업 내에서 정보보호를 관리하는 리더의 존재감은 클 수 밖에 없고, 리더를 정해야 하는 이유로도 충분한 듯 하다.

기준을 정하라

기업 내에서 리더가 생기면 가장 먼저 해야 할 것은 보안을 지키는 기준을 만드는 것이다. 개인정보보호법 제 4조에 따르면, 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립․시행하여야 한다. 여기에는 리더를 정하고, 리더의 역할, 다른 사원들의 정보보안 교육 및 개인정보 보호에 관하여 세밀한 보호 기준을 마련하여 정기적으로 해당 내역에 따라 수행할 수 있도록 법률로 제정되어 있다. 실제로, 기업에서 발생하는 사이버범죄에 관련하여 가장 핵심적인 문제는 기업 내 애매모호한 보안 기준과 통제하는 범위가 너무 넓다는 것이다. 그렇게 기준이 마련되면 무엇이 문제가 되고, 그게 실제로 문제가 되었을 때 어떻게 대처할 것인지 결정적인 대응방안이 될 수 있다. 그리고 변화하는 시대와 상황에 맞춰 이러한 기준들을 유연하게 맞춰야 한다. 물론, 보안을 더욱 강화시킬 수 있다는 명분으로 말이다. 그렇다면 이러한 기준으로 무엇이 있을까. 이는 다음 글에서 이어서 말해보려 한다.