[김국배기자] 기업에 몰래 침투해 정보를 훔쳐가는 해커에 대한 관심은 날로 증가하고 있지만 반대 축에 서 있는 기업 보안 담당자는 아직 사회의 관심 밖이다.
보안 사고와 같은 사회적 이슈가 발생하면 경영진의 지나친 관심을 받기도 하지만 평소에는 조직 구성원들의 무관심 속에서 보안 담당자들은 산다.
시간을 가리지 않고 일어나는 보안 사고에 대비하고자 24시간 365일 긴장감 속에 사는 기업의 보안 담당자들의 현실은 어떠할까.
◆외로운 사투 벌이나 관심 못 받아
"보안 담당자는 외로운 사투를 벌이는 경우가 많습니다."
국내 대형 게임회사에서 보안 담당자로 근무한 경험이 있는 A씨는 과거를 떠올리며 이렇게 말한다. 그의 기억 속에 보안 담당자는 다른 직원들이 불편하게 여기고 심지어 귀찮아 하는 존재였다.
A씨는 "지금은 보안도 조직의 거버넌스 측면에서 봐야 한다는 목소리가 커지고 있지만 현업에서는 조직 구성원의 생활과 활동을 간섭하는 존재로 생각하는 경향이 강하다"면서 "당연히 커뮤니케이션에 대한 거부감이 있고 (보안 활동에 대한) 자발적인 참여를 기대하기 어렵다"고 토로했다.
조직 전체가 지속적인 관심을 쏟아야 그나마 보안에 대한 안정성을 담보할 수 있겠지만 이처럼 현실은 녹록치 않다. 현실적인 동기부여 방안조차 마련돼 있지 않다는 것이 보통이다.
A씨는 "조직 구성원들의 업무 범위에 보안 활동 참여에 대한 평가가 속하지 않기 때문에 각자가 부가적인 역할로 판단하고 기피하게 되는 것"이라고 설명했다.
◆보안사고 나면 죄인? 권한은 없고 책임 부담 커져
반면 보안 담당자의 권한은 매우 작은 데다 최근에는 대규모 보안 사고에 대한 책임 논란까지 나오면서 이에 대한 부담감까지 커지고 있다.
보안업계에서는 보안 담당자의 과실에 대해 기업이 징계하거나 불이익을 주는 것을 넘어 형사처벌 대상으로 삼는 데 우려섞인 목소리를 낸다. 책임과 권한에 대한 왜곡이 보안 담당자의 역할을 더욱 위축시키는 결과를 초래할 수 있다는 것이다.
김대환 소만사 대표는 "보안 담당자에게 정당한 책임을 물으려면 권한과 예산, 인력 등에 대한 권한이 전제돼야 한다"며 "그렇지 않으면 오히려 핵심 전문 인재가 이탈하고 보안 수준은 더욱 저하될 수 있다"고 말했다. 책임을 합당하게 처리할 수 있는 권한 또한 부여돼야 한다는 것이다.
블루코트 코리아 김창오 기술이사는 "물론 조직 내 보안을 담당하는 사람은 보안 담당자"라면서도 "그러나 보안 담당자 또한 조직의 일원으로서 보안 사고가 아닌 보안 관리에 대한 책임을 지는 사람이라는 인식이 필요하다"고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기