[강은성의 CISO 스토리]미술관 도난 사고에 경비원 처벌?

영화 속의 도둑들은 멋있다. 2012년에 개봉했던 ‘도둑들’은 미술관을 ‘멋지게’ 털고, 카지노에 숨겨 있는 다이아몬드를 훔친다. 전지현, 김혜수 등 유명 배우들이 연기하는 도둑들은 멋있다.

IT 세상에도 ‘도둑들’이 있다. 오프라인으로 훔치든, 온라인으로 훔치든, 분명 도둑질이다. 일반 세상과 IT 세상의 도둑질에는 차이가 있다. 미술작품을 훔치면 법에 따라 형사처벌을 받지만 그것을 막지 못했다고 미술관 경비원이 법적 처벌을 받지는 않는다. 경비원이 근무를 서야 할 시간에 놀았거나 잠을 자는 등 자신의 임무를 제대로 하지 못해서 사고가 났다면 회사에서 경비원에게 책임을 물을 것이다. 어쨌든 회사 내에서 처리할 일이다.

게다가 경비원의 수가 부족했거나 방범을 위한 장비가 충분하지 못했다면 담당 경비원이 최선을 다하더라도 미술작품을 지키기 어렵다. 물론 아무리 방범장비와 경비인력이 훌륭하다 하더라도 영화 속의 도둑들처럼 탁월한 도둑질 ‘실력’을 갖췄다면 현실 세계에서도 도둑을 막지 못한다.

눈치채셨겠지만 앞에서 경비원으로 비유한 사람들은 보안실무자들이다. 그들은 회사 안팎에 있는 도둑들로부터 개인정보를 지키는 최일선에서 싸우고, 사고가 터지면 여러 가지 증거를 찾아 제공하여 수사기관의 절도범 검거에 적극적으로 협조한다. 대부분의 증거는 기업이 운영하는 시스템 내부에 있기 때문에 그들의 협조는 필수적이다.

정보통신망법에 정보통신서비스 제공자의 형사 처벌 조항이 들어간 것은 2008년 6월의 일이다. 사업자가 법에 규정한 기술적, 관리적 조치를 취하지 않아 개인정보 유출사고가 발생했다면 2년 이하의 징역 1천만원 이하의 벌금에 처하도록 한 것이다. (법인과 개인에게 모두 적용되는 양벌 규정이다) 같은 해 2월 A사에서 개인정보 유출사고가 터진 뒤 개인정보를 이용해 영리를 취하는 사업자에게 개인정보 관리를 소홀히 한 책임을 물음으로써 이용자의 개인정보를 잘 보호하도록 하겠다는 취지로 이 조항이 만들어졌다.

지난 3월 18일 인천경찰청 광역수사대는 K사 개인정보 절도사건에서 개인정보 보호를 소홀히 한 혐의로 이 회사의 개인정보 보안팀장을 입건했다. K사의 “이용자 인증방식이 '쿠키' 방식으로, '세션' 방식을 적용하는 타 업체보다 개인정보 보호조치가 미흡했던 사실을 확인”했기 때문이라고 한다.(연합뉴스 2014.3.18)

이 기사를 읽으며 답답했다. 웹 프로그램의 인증방식을 ‘쿠키’ 방식으로 할지 ‘세션’ 방식으로 할지 보안부서에서 정하는 회사가 얼마나 있는지 모르겠다. 안 그래도 인력이 부족한 보안부서에 개발자들이 있어서 ‘쿠키’ 인증방식을 ‘세션’ 방식으로 바꾸는 일을 보안부서에서 하는 회사가 과연 얼마나 있을까? 내가 지금 K사의 사고가 보안부서의 책임인지 개발부서의 책임인지 따지려는 게 아니다. 다만 보안팀장이 할 수 있는 일은 매우 제한적이라는 점을 말하고 싶을 뿐이다.

이러한 사태를 보면서 정보보호최고책임자(CISO)들은 걱정스럽다. 평소에도 힘든 조직관리가 더욱 어려워질 것이기 때문이다. 잘못하면 보안팀장이 피의자가 될 상황이 되어버렸으니 말이다. 그건 특수상황이니까 걱정하지마, 라고 할까? 내가 다 책임질 테니까 너희들은 일만 해, 라고 할까. 인생살이 새옹지마야, 그냥 일이나 열심히 해, 라고 하면 될까?

보안부서에는 IT부서나 개발부서 출신들도 종종 있는데, 그들은 호시탐탐 원래 부서로 돌아갈 기회를 찾으려고 할 것 같다. 실력 있는 모의해커들은 회사를 떠나 프리랜서로 갈지도 모른다. 탄탄한 교육을 통해 보안실무자들을 양성해 온 보안 관련 학과 교수들도 고민이 많을 게다. 스승으로서 열심히 가르친 학생들에게 어쩌다가 ‘빨간 줄’이 그어질지도 모르기 때문이다. K사 사건에 대한 법 집행이 개인정보 보호를 강화하겠다는 법의 본래 취지와 상반되는 결과를 야기하지 않을까 걱정스럽다.

최근 몇 년 간 발생한 해킹, 디도스 공격 등 다양한 IT범죄에 대응하기 위해 정부에서 야심 차게 보안전문 인력 양성을 추진하고 있다. 2011년부터 지식경제부에서 ‘차세대 보안리더 양성프로그램’(BoB)을 진행하고 있고, 지난 3월 10일, 금융위, 미래부, 안행부 등 관련부처 합동으로 발표했던 ‘금융분야 개인정보 유출 재발방지 종합대책 - 경제혁신 3개년 계획 후속조치’에도 ‘금융권 IT인력의 전문성 제고 및 보안인력 양성’이라는 꼭지가 중요하게 들어가 있다.

보안인력 양성의 중요성을 인식하고 투자하면서 다른 한편에서는 이미 있는 보안인력의 사기를 떨어뜨리고 다른 곳으로 갈 것을 촉진할지도 모를 일은 생기지 않았으면 좋겠다.

강은성 소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다. 외주관리 보안 - 효율과 보안 사이 보안문화-거버넌스, 시스템, 제도 alert - close 댓글 쓰기 제목 [강은성의 CISO 스토리]미술관 도난 사고에 경비원 처벌? 추천 비추 댓글- 새로고침 정렬 인기 댓글순 최신 첫 번째 댓글을 작성해 보세요. 로딩중 댓글 바로가기 포토뉴스