지난해 11월 미국 대형 유통기업 ‘타깃(Target)’의 POS 시스템이 해킹돼 고객 신용카드 정보 4000만건이 유출됐다. 고객 이름과 신용카드 번호, 유효기간, CVC 값이 모두 빠져나갔다. 타깃은 지난 1월 7000만명의 개인정보가 유출된 사실을 추가로 발표했다.

타깃은 유출 사실을 확인한 후 곧바로 고객에게 사실을 알리고 웹사이트에 공지했다. 1년간 무료 신원정보 도용 방지 프로그램을 제공한다. 아직 당국의 제재 결과는 나오지 않았지만 재무관리기업 슈퍼머니는 타깃이 내야할 과징금이 총 36억달러(약 3조8000억원)가 넘을 것으로 예상했다. 이 사고로 그렉 스타인하펠 타깃 최고경영자(CEO)와 최고정보책임자(CIO)가 줄줄이 자리에서 물러났다.

해외는 각종 보안사고 시 처벌 수위가 강하다. 각종 규제만 지키면 배상 책임을 면제받거나 솜방망이 처방에 그치는 국내와 다르다.

◇실효성 없는 규제

지난 5월 1일 전자금융거래법 개정안이 정무위를 통과하면서 총자산 10조원 이상, 상시 종업원 1500명 이상 금융회사는 CIO와 최고정보보호책임자(CISO) 겸직이 금지된다. 최근 금융권은 CISO 자리 만들기에 한창이다. 하지만 속내를 들여다보면 CISO 자리만 만들었다. 기업 전체 정보보호 관리체계를 만들고 실행할 CISO를 뽑는 게 아니라 그저 새로운 임원 자리를 채운다. 정보보호 지식이나 경험이 전혀 없는 인물이 CISO가 된다.

한 금융사 CIO는 “많은 사고가 발생한 금융권에서도 CISO는 사명감을 갖고 정보보호를 책임질 담당자가 아니다”라며 “사고가 일어나면 책임지고 물러나는 자리”라고 말했다.

지난 3월 고객정보 유출사건이 알려진 KT는 정보보호관리체계(ISMS) 인증을 받는 등 규제는 준수했지만 사고를 피하지 못했다. 노병규 한국인터넷진흥원 본부장은 “인증을 주는 것이 중요한 게 아니고 내부에서 제대로 유지하는 것이 중요하다”고 말했다.

◇정보보호 거버넌스를 만들자

금융권은 물론이고 국내 기업 상당수는 전사적 정보보호 거버넌스 체계가 부족하다. CISO가 있어도 예산과 인력, 조직 내 권한이 제한적이다.

김영린 금융보안연구원장은 “수많은 기술적 조치도 중요하지만 기업 자체적으로 보안사고에 책임지는 시스템과 프로세스를 만들어야 한다”고 말했다. CEO와 이사회, 감사위원회, CISO가 동반 책임지는 IT보안 거버넌스 활성화가 시급하다. 경영자가 큰 그림을 그려 정보보호 전략을 마련하고 이를 수행할 조직과 투자를 지속하는 능동적 대처다. 사고 후 땜질 처방이 아니라 예방에 힘쓰는 체계다.

권석철 큐브피아 대표는 “국가가 너무 많은 규제를 내놔 공공기관이나 금융권이 자율적으로 새 기술을 도입하기 어렵다”며 “날로 지능화하는 사이버 공격에 신속하게 대응하는 정보보호 거버넌스 체계 도입이 절실하다”고 설명했다.