[칼럼-110] 보안담당자, 범죄자 낙인 찍히는데 누가 일하겠는가?

오늘자 언론기사중에 눈에 띄는 기사가 하나 있었습니다. 지난번 언론을 통하여 난 기사인데 오늘 보니까 형사입건이 되었다는 기사입니다.

고객정보 못지킨 죄, 보안담당 혼자 져라?

아직까지 근본적인 문제파악을 잘못하고 있다.

보안관리자가 소홀히 해서 기술적,물리적,관리적 조치를 잘못했다고 치자. 보안업계에서도 또는 각 조직이나 기업에서 보안담당하는 사람들은 아는 사람들은 이미 다 아는 사실에서 보안담당자만 입건한다고 해서 해결 될 사안이 아닌 것이다. 

아직도 보안담당자를 지정한 곳이 없는 곳도 많다. 중소업체는 보안에 대한 실행조차 하지 못하고 있다. 이러한 현실을 감안할때 사회에서 보안에 대한 투자라는 인식이 선행되어야 하고 경영자가 마인드가 보안에 대한 투자 마인드가 안되어 있는데 보안담당자만 형사입건 한다고 해서 해결 될 문제가 아닌것이다.


                                                           <출처: 한국일보 2010-03-24일자 인터넷판>

군대에서 사고가 일어나면 그 부대를 책임지는 상관이 옷을 벗는다. 경찰에서 경찰관이 사고치면 당사자는 물론이고 그 상관도 옷을 벗는다. 하물며 보안담당자가 설령 소홀히 했다고 하여도 경영자에 대한 책임을 묻지 않고 담당자에게만 처벌을 한다는 것을 지극히 잘못된 발상이다. 그것은 경영자의 잘못도 있기 때문이다.


뚫는자와 막는자..못 막으면 처벌하면 누가 보안 담당을 하겠는가? 

지금 사회에서 해야 할 것은 사이버 안전을 지키는 사람을 격려하고 자긍심과 자부심을 가지고 업무에 임하도록 사기를 올려주어야 하는 것이 관련 기관과 기업의 몫이다. 하지만 최근 개인정보 유출 이슈가 되었다고 해서 해당 담당자를 처벌 한다면 범죄자가 되는 일은 누가 하겠는가?

보안은 100% 안전이라는 것은 없다. 경영자 마인드가 바뀌어야 하고 사회적으로 보안에 투자하는 것이 비용이 아닌 투자라는 인식이 확대되어야 하는데 더욱 위축이 되게끔 진행하고 있다. 법이라는 것은 판례라는 것이 있기 때문에 한번 오판하게 되면 그것이 그 이후에 여러가지 사건에 대하여 영향을 미친다.

혹시 여론에 밀려 보안담당자를 처벌 하는것은 아닌지

개인정보 유출이 사회적 이슈가 되고 어쨋든 결과는 유출이 된 것이고 그것을 막지 못하는 기업이나 조직은 책임을 져야한다. 하지만 그렇다고 해서 여론에 등 떠밀리듯이 하여 보안 담당자만을 처벌 하는 것은 잘못된 것이다. 이것은 보안업계나 담당자들이 자신의 밥 그릇때문에 이야기 하는 차원이 아니다. 그럼 더 객관적인 시각에서 바라보자.

• 정부 및 관련 기관                                                                 

 개인정보유출에 따른 근본적인 문제점을 파악해야 한다. 그리고 기업이 보안에 조금더 투자 할수 있는 분위기 조성과 정책적인 사업 마련이 중요하다. 가장 좋은 예로 무선망에 대한 여러가지 이런저런 이유로 미온적인 자세로 되어 있다가 '아이폰' 도입으로 여러가지 패러다임이 바뀌었다. 각 공공기관에서 스마트폰으로 업무를 보는등 무선랜을 정책적으로 활성화 해야 하는등..언제부터 관심을 갖었는지. 발등에 불이 떨어지니 하는 것은 아닌지. 그러한 활성화된 서비스 뒤에는 반드시 보안문제가 있다는 사실을 기억해야 한다. 지금이라도 늦지 않았다. 보안에 관심을 갖기 바란다. 아직도 국회에 계류중인 '개인정보보호법' 이 그것을 반증해 준다.

• 기업 및 조직

 경영자는 보안에 관심을 갖어야 한다. 이제 기업이 살아 남을려면 보안에 대한 마인드를 가지고 있지 않는 기업은 반드시 외면 받을 것이다. 그져 해당 담당자만 문책해서 될 사안이 아니라는 것이다. 기업의 보안에 대한 애로사항이 있으면 목소리를 높여서 정부에 대책 마련을 하고 관련 기관에 많은 요청을 해야 할 것이다. 하지만 경영자의 보안마인드가 되어 있지 않으면 결국 보안에 대한 투자는 우선순위에서 밀리고 개인정보 유출과 침해사고등이 일어나면 그때서야 담당자 문책하고 기업은 이미지 및 신뢰도는 추락하고 현재 자신들의 모습이 아닌지 반성을 해야 한다.

• 개인

정부 관료나 기업에 경영자나 일반 국민이나 자신의 소속된 위치를 떠나면 개인으로 돌아 올수 밖에 없다. 당장 쇼핑몰을 이용하려면 회원 가입을 해야하고 VIP 대접을 받으려면 신상정보를 넘겨 등록을 해야 한다. 철처하게 개인으로 돌아 가는 것이다. 이러한 개인들의 보안마인드도 높여져야 한다. 스스로 보안에 대한 관심과 연구 그리고 자신의 소중한 권리를 잘 지킬수 있는 마인드를 가져야 한다. 본인은 그런 의미에서 보안커뮤니티 '보안인닷컴' 에 운영자 칼럼에 그 이유를 밝히고 있다.

앞으로는 개인도 철저하게 보안마인드를 가지고 있는 자(者)와 아닌자(者)가 분명히 구별이 될 것이다. 그에 따른 인센티브도 분명히 바뀔 것이다. 정부와 사회 그리고 기업은 이러한 보안마인드가 되어 있지 않은 인재를 채용하여 침해사고로 들어가는 사회적 비용을 국가와 경영자가 살펴 볼 필요가 있다.

결론

당장 법에 잣대를 대기 위해서는 담당자를 형사입건을 할수 있다. 하지만 조금만 문제점을 깊게 파고 들어가면 그것이 해결책이 아니라는 것은 누구보다 잘 알고 있을 것이다

보안쪽은 워낙 빠르게 기술이 변하고 정말 치열하게 노력하고 연구하고 자신의 분야에 대하여 피나는 노력을해야 하는 분야이다. 그만큼 기술의 발전이 빠르다는 것이다. 6개월전에 기술은 이미 지나가고 향후 잠재된 위험에 대한 여러가지 대응방안과 대책을 강구해야 하는것도 보안담당자의 역할이다. 그들에게 무조건 법적 잣대를 대어 처벌해서는 안된다. 더 잘 보안을 할수 있는 프레임과 프로세스를 만들어 주어야 한다. 

 미래는 사이버전의 시대가 도래한다. 이제는 그만큼 인터넷이 우리의 생활에 밀접하게 파고 들어 있고 각종 사회간접자본시설에도 접목이 되어 있다.

이젠 굳이 휴전선 넘어와서 각종 기업에 자료 정책자료를 간첩을 이용하여 가져갈 필요가 없다. 유능한 해커 부대를 이용하여 각종 국방에 대한 정보를 유출해 간다면 그 게임의 결과는 이미 판가름이 난것이다. 그런 사례는 언론에서 많이 나온 바가 있다.

따라서, 
국민의 보안인식 수준을 높이고 그러한 분위기와 보안담당자에 대한 사기진작과 보상을 해주지는 못한다 하더라도 '보안담당자'를 범죄자로 만드는 구시대적인 정책 집행은 하지 않아야 한다. 국민의 낮은 보안수준을 끌어 올리고 조금 더 기술적으로 국가 사이버 안전을 책임지는 담당자들이다.

부디 이러한 글이 소설을 쓴다고 이야기 하지 말자. 대비하지 않으면 언젠가 그만한 댓가를 치를 날이 올것이기 때문이다. @엔시스.


* 3/24일 12시55분 추가포스팅

현재 3/17일자로 '정보통신이용촉진및 정보보호등에 관한 법률' 제75조가 [전문개정]이 되었습니다. 고로 담당자에게 책임을 물을수 있는 법적근거는 있다는 이야기구요. 사실 이러한 부분들이 보안담당자들이 간과해서는 안되는 부분중에 하나이기도 합니다.

하지만 법률적 규정도 규정이지만 가끔은 현실을 바라보아야 할때도 있습니다. 조금은 현실을 바라보고 규제등이 필요하겠습니다. 실제 이번 사건은 보안담당자가 태만했는지 안했는지는 알길이 없으나 분명 보안을 업으로 하는 사람들에게는 현실의 외면하고 도피하려고 하는 빌미를 제공하는 사건임에는 틀림이 없을껏 같네요.