사고 이후가 문제다
방창완 편집국장 bang@ciociso.com
개인정보 유출에 따른 금융사들의 휴유증이 이만저만이 아니다. 카드사 고객정보유출 이후 금융기업들은 업무외에 금융당국의 감사로 인한 자료 제출로 그 어느때보다 바쁜 시기를 보내고 있다.
이번 카드사 고객정보유출은 그동안 보안을 등한시했던 기업문화를 다시한번 돌이켜보게 하는 계기가 되고있다. 1차적으로 고객정보관리를 철저히 해야하는 금융기업 당사자들의 책임론과 재발방지는 당연한 부분이다. 하지만 중요한 것은 그 이후부터다. 회사 내에서 무엇보다 고충을 겪고 있는 곳이 보안부서이다.
회사 차원에서 일어난 일이지만, 보안 업무를 맡고 있는 입장에서는‘죄인아닌 죄인’이 된 심정이다. 자신의 중요한 정보가 유출된 고객 입장에서 보면 응당 치러야 할 대가가 되겠지만, 앞으로 보안 업무 방향이 어떻게 갈지에 대해서는 장담할 수 없다. 우려되는 점은 현재 보안통제가 갈수록 고압적인 방향으로 흐를 수 있다는 점이다.
보안부서 입장에서 보면 금융당국의 감독규칙을 적용해야하고, 기본업무외에도 새로운 보안 패러다임을 세워야할 처지여서 야간업무와 휴일을 반납하는 등 바쁜 하루를 보내고 있다. 최근의 보안사고는 단순히 업무미흡으로 인한 사내 경고 수준이 아닌, 형사처벌과 같이 개인 신변에 타격을 줄 수 있는 만큼 심각한 상황이다.
보안을 직접 다루고 있는 당사자나 이윤을 추구하는 기업, 공공기관이라면 이런 상황에서 자유로울 수 없다.
금융당국은 이번 사태로 인해 특별 조사국을 편성하면서 새로운 대안책을 마련하려는 움직임을 보이고 있다.
하지만 지금까지 금융당국의 감독기준이 ‘처벌’만을 강조하는 1차원적 감독이었다는 우려의 목소리가 높다.
현실적인 측면을 고려하지 않은 채 처벌과 규칙만을 강조하는 모습이다. 제대로 된 보안체계를 갖추기 위해서는 좀더 깊고 멀리 내다보는 혜안이 필요한 시기이다.
모 금융기업의 CISO는“현재 감독 방향이 과정상의 참작보다는 ”‘했냐 안했냐”와 같은 1차원적인 지시 수준에 머물러 있는 것 같아 답답한 심경이라는 것이다.
적어도 기업의 상황을 고려하고, 최종 필요한 요건이 갖춰진다면 과정상의 부분은 기업의 자율에 맞길 필요도 있다는 것이다. 일방적인 강제성만이 고려된 관리감독은 보안부서 분위기 자체를 경직 시킬 수 있으며 사회 분위기면에서도 좋지 않은 영향을 끼치고 있다는 것이다. 당장 관리감독 기준이 강화되면서, 기업 직원들의‘형사처벌’에 대한 불안감은 회사 업무자체에 대한 경직성을 높여버리고, 외주인력, 협력사 분야까지 부정적인 영향을 미칠 조짐을 보이고 있다.
중소기업이 대다수인 외주 파트너사의 경우, 당국에서 지시하는 보안규칙을 제대로 지키면서 사업을 영위할 수 있을지 의문이라는 지적도 있다. 이와 함께 생계형 직업을 가지고 있는 보험설계사, 대출 모집인과 같은 경우, 앞으로의 생업이 막막해 질지도 모른다. 이런식의경직된 분위기에서는 가뜩이나 경제적으로 힘든 시기에 기업과 사회에 이중고가 될 수 있다는 지적이다.
물론, 사고발생 이후 명확한 사고원인 파악과 책임은 필요한 부분이다. 하지만 중요한 것은 사고이후 이를 처리하는 모습이다. 모두가 불신하는 분위기에서 어느날 갑자기 직장을 잃게되는 직장인들이 생겨나고, 자살까지 고민한다면 사회 안전망 확보차원에서도 결코 바람직하지는 않은 모습이다. 이번 금융당국의 특별 조사국 편성이 현실적인 측면을 고려하는 새로운 대안이 되길 기대해 본다.