보안 담당자 몇 분과 식사자리를 같이 한 적이 있다. 격의 없이 편하게 이야기를 하는 자리였는데 한 보험사 CIO가 이러한 충격적인 소문을 전했다.
모 기업의 보안 담당 직원이 얼마 전 스스로 목숨을 끊었다는 것이다. 원인은 보안사고에 대한 스트레스였다고 한다.
정확한 사실 여부는 확인할 수 없다. 헛소문일 수도 있을 것이다. 설령 사실이라 해도 자살이유가 100% 업무 스트레스 때문이었는지는 아무도 알 수 없다.
그러나 진실 여부를 떠나 놀라웠던 것은, 그 자리에 있던 모든 이들이 혀를 차면서도 ‘그럴 수 있다’라는 반응이었다는 사실이다.
보안업무의 고충에 대한 하소연은 자연스럽게 계속 이어졌다.
“보안 담당자라는 참 어려운 자리다. 잘한다고 티가 나는 것도 아니고, 한 번 사고라도 나면 쇠고랑까지 찰 수 있으니 누가 맡으려 하겠는가?”
“IT에 오래 있으면서 어떻게 해서든 보안 쪽은 가지 않으려고 발버둥을 쳤었는데, 결국 이렇게 (보안 부서로)오게 됐다”
이런 하소연들을 듣다보니 필자도 안타까운 생각이 들었다. 아무리 생각해도 업무 과실로 형사고발까지 당해야 한다는 것은 과한 처사다.
보안은 ‘99’를 잘 대비해 놓아도 1이 뚫리면 모두 허사가 된다고 한다. 그리고 그 사고에 대한 피해는 기업 존폐 위기로까지 이어질 수 있을 정도로 심각해지고 있다. 농협 사태 이후 농협은 기업 이미지에 큰 타격을 입은 것은 물론 거래내역 유실로 인한 엄청난 손실을 입었고, SK컴즈도 대규모 개인정보 유출에 대한 피해보상 요구 소송이 아직까지도 이어지고 있다. 만약 소송에서 패소한다면 SK컴즈는 앞으로 10년 동안 벌어들인 수익으로도 충당할 수 없는 어마어마한 보상액을 지불해야 한다.
그럼에도 불구하고 보안부서에 대한 인식과 대우는 아직까지 소홀하다.
보안은 보안부서의 역량이나, 좋은 솔루션으로만 이뤄지는 것이 아니다. 본지에서 실시한 CISO 대상 설문조사에서도 드러났듯이, 보안에 있어서 가장 중요한 것은 전 임직원들의 보안에 대한 인식과 이를 위한 교육이다.
보안 담당자 한 명만을 달달 볶는다고 해결 될 문제는 아니다. 그렇다고 잘한 것에 대해 보상이 있는 것도 아니지 않는가?
처벌만 있고 보상은 없는 부서에서는 아무도 일하고 싶은 의지가 없을 것이다.
적극적인 보상 체계를 마련해야 한다. 물론 쉽지 않을 것이다. 성과를 판단할 만한 기준이 명확치 않기 때문이다. 하지만 평가기준 및 보상 체계 개발은 이루어져야만 한다.
칭찬은 고래도 춤추게 하는데, 보안 담당자라고 다를까?