[미래포럼]사이버보안은 경영의 문제다

[미래포럼]사이버보안은 경영의 문제다

2013년 경이적인 시청률로 일본 열도를 뒤흔든 ‘한자와 나오키(半澤直樹)’라는 10부작 드라마가 있다. ‘한자와 나오키’는 일본 최대 은행인 도쿄중앙은행 서오사카 지점에서 융자과장을 맡고 있는 주인공 이름이다.

그의 상사인 아사노 지점장은 임원승진을 위해 가시적인 영업실적이 절실했다. 연말결산을 얼마 남겨두지 않은 시기에 그는 한자와 과장에게 서부오사카 제강회사에서 5억엔 대출을 일으킬 것을 지시한다. 한자와 과장은 이 회사에 대한 조사를 충분히 할 시간이 없어서 주저했다. 그러나 지점장이 초고속으로 대출 품의를 밀어붙인 결과, 마침내 실적 1위 달성의 목표를 이룬다.

그러나, 몰래 분식결산을 저지른 서부오사카 제강회사는 대표이사가 재산을 빼돌린 후 고의 부도를 낸다. 음모에 휘말려 책임을 덮어쓰게 된 한자와 과장은 문제를 은폐하려는 아사노 지점장을 포함한 조직 내외의 세력과 싸워야 한다. 결국 진실을 밝혀내 5억엔을 회수한다는 것이 이 드라마의 줄거리다.

한자와 과장은 문제를 분석해 나갈 때 ‘왜’라는 범행동기에 대해 끊임없이 파고들었다. 5억엔의 대출 뒤에 은밀한 거래는 없었는지, 왜 주위에서 협조했는지, 조직 내에서 이를 비호하는 세력이 어떻게 형성되었는지 등이다. 결국 범행동기를 추적하는 과정에서 퍼즐은 하나씩 풀려나갔다.

모든 범죄에는 동기가 있다. 정신병자의 소행이거나 우발적인 범행이 아닌 바에야, 범행의 결과는 누군가에게 이익이 된다. 회사 돈을 횡령하거나, 보험사기로 돈을 타내거나, 돈을 뜯어내려고 상대방을 협박한다. 범행의 동기를 찾는 것은 추적의 시작이다. 사이버범죄의 경우도 예외가 아니다.

우리는 보안사고가 나면 기술적으로만 들여다보는 경향이 있다. 물론 나날이 발전하는 해킹 기법과 악성코드에 대해서는 끊임없는 기술적 연구가 필요하다. 그러나 해킹도 범죄의 하나다. 궁극적으로 범죄의 관점에서 바라보는 시각이 필요하다.

‘왜 범죄를 저질렀을까?’ ‘원인이 무엇일까?’에 대한 근본적인 자세를 견지해야 한다. 그래야 단서를 잡아 문제를 발본색원할 수 있고, 근본적인 재발방지 대책이 마련된다.

최근 한국에서 일어난 보안사고는 관리통제의 부실로 인한 경우가 유난히 많다. 어찌보면 IT는 도구로 사용되었을 뿐이다. 범행의 동기를 파악하는 게 중요한 이유다. 어느 시점에 누구에게 이익이 되는 정보인지 파악하고 있다면, 정보의 분류등급부터 달라질 것이다.

정보보안최고책임자(CISO)의 시각은 정보책임자(CIO)와는 다르다. CIO는 정보기술(IT)을 적용함으로써 기업의 생산성과 효율성을 향상시키고, 안정적인 인프라를 구축한다. 그러나 CISO는 사이버 보안이라는 비즈니스 리스크 관점에서 회사의 경영을 바라본다.

이미 업종을 가리지 않고 정보 즉 데이터는 기업의 핵심이다. 비즈니스 프로세스는 데이터를 중심으로 움직인다. 기업이 보유하고 있는 정보는 고객과의 약속인 만큼, 절대로 보호해야 할 가치다. 그러나, 단순히 기술적인 측면에서만 바라보아서는 한계가 있다. 요컨대 사이버 보안을 철저히 경영 마인드로 바라보는 기업의 의지가 요구된다.

김홍선 한국스탠다드차타드(SC)은행 정보보호최고책임자(CISO·부행장) Philip.HS.Kim@sc.com