[리더스포럼] 거꾸로 보는 정보보호

[리더스포럼] 거꾸로 보는 정보보호

중국 당나라와 송나라 이래 성공한 정치인과 상인들이 늘 곁에 두며 처세의 지침으로 삼은 두 권의 필독서가 있다. `자치통감(資治通鑑)`과 `반경(反經)`이다.

자치통감은 역대 사실(史實)을 밝혀 정치 규범으로 삼았다. 왕조 흥망의 원인과 대의명분을 밝히려는 데 그 뜻이 있다. 중국 역사를 정면(正面)에서 다루고 있는 셈이다.

반경은 역사적 또는 도덕적 교훈을 설파하는 책이 아니다. 오히려 반면(反面)에서 현실 극복을 위한 구체적 책략을 전한다. 실제로 반경은 역설의 지혜로 가득하다. 이 때문인지 이 책의 모토 역시 모든 사물과 현상을 뒤집어 생각해보라는 것이다. 생각의 물구나무서기를 권하는 것이다.

오늘날 기업의 투자수익률(ROI)은 경영 황금률로 통한다. 얼마나 수익성이 있는지가 투자를 결정하는 핵심 요인이다. 이런 관점에서 보면 정보보호 투자는 `밑 빠진 독에 물 붓기`로 보일 수 있다. 수익성 등 가시적인 효과가 없기 때문에 구미가 당기지 않는 투자로 인식되기 십상이다.

한국인터넷진흥원(KISA)의 `2011년 기업 정보보호 실태조사`에 따르면 우리나라 기업 62.6%는 정보보호 투자가 전무하다. 정보기술(IT) 투자 대비 정보보호 투자가 1% 미만인 기업까지 합하면 82.9%가 정보보호에 손을 놓고 있는 셈이다.

정보보호 투자를 결정할 때 ROI만 따지는 것은 `하나는 알고 둘은 모르는 선택`이 될 수 있다. 디지털시대가 정착되고 정보보안 사고도 일상의 한 부분으로 자리 잡아감에 따라 ROI 자체가 계산되지 않는 상황이 속출하고 있기 때문이다.

지난해 3500만명의 개인정보를 유출한 모 기업은 영업이익이 전년 대비 77.9%나 감소했다고 한다. 보안 사고가 고객 신뢰를 깨뜨리고 결과적으로 기업 수익과 생존에 큰 영향을 미칠 수 있다는 사실을 인식시켜 주는 좋은 사례다.

기업이 시대적 흐름을 거스르고 있는 것만은 아니다. `2011년 기업 정보보호 실태조사`에 따르면 정보보호책임자(CISO)를 임명한 기업이 22.3%, 개인정보관리책임자(CPO)를 임명한 기업은 48.2%로 전년 대비 각각 7.8%포인트(p)와 3.4%p 늘었다. 개인정보보호 전담조직을 두고 있는 기업도 34.1%로 전년 대비 1.4%p 늘었다.

기업의 이 같은 행보는 다분히 규제에 대응하기 위한 성격이 짙다. 지난해 9월 개인정보보호법 시행으로 법 적용 대상이 사실상 개인정보를 다루는 모든 사업체로 확대됐고, 정보보호 투자 요구 수준 역시 높아졌기 때문이다.

지난해 대규모 개인정보 유출사건이 발생한 금융권은 전자금융거래법 개정에 따라 IT 인력을 전체 직원의 5% 이상, 정보보호 인력을 IT 인력의 5% 이상, 그리고 정보보호 예산을 7% 이상 확보해야 한다.

특히 개정 전자금융거래법은 보안사고 발생 시 최고경영자(CEO) 징계 수위가 한층 높아졌다. 위반 행위자·감독자·금융회사 등에 제재 기준이 별도로 마련돼 엄중한 제재를 받게 된다. 또 해킹 사고에 의한 개인정보 유출에는 금융회사에 손해배상 책임을 물리도록 돼 있다.

반경에서 강조하는 것처럼 생각의 물구나무서기를 해보면 정보보호는 ROI 차원을 넘어 CEO 입장에서는 경영권 박탈, 기업 입장에서는 파산으로 이어질 수 있는 사태를 막을 수 있는 생존의 문제로 전환됐다.

문제는 필요에 따른 자발적 참여다. 정보보호 투자야말로 더 이상 선택의 문제가 아니다. 디지털시대에서 살아남기 위한 새로운 `경영의 바이블`이 될 수밖에 없다.

특히 정보보호 투자는 사후 수습이 아닌 사전 예방 성격을 갖고 있다. 손자병법에서 말하는 부전이승(不戰而勝)은 바로 이것을 두고 하는 말인지도 모른다.

정보보호는 비록 가시적 성과물이 보이지 않지만 기업이 싸우지 않고 이기는, 즉 부전이승을 가능하게 하는 최상의 투자일 수 있다는 얘기다.

서종렬 한국인터넷진흥원장 simonsuh@kisa.or.kr