인터넷 바카라

CIO가 등장할 때처럼 인터넷 바카라도 잇따른 정보 유출사고와 맞물려 화려한 등장세다. CIO라는 직책이 처음 나온 1990년대 중반에도 IT가 중요하기 때문에 CIO가 필요하다고는 했었다. 그러나 CIO의 업무범위, CIO의 자질과 자격, CIO 양성 프로그램 등 깔끔하게 정리된 게 없었다. 그래서 처음에 여러 혼선이 있었다. 인터넷 바카라도 마찬가지다. 정보보안을 담당하는 임원이 필요해서 인터넷 바카라를 임명해야 한다고는 했지만 인터넷 바카라의 업무 범위, 인터넷 바카라의 자질과 자격, 인터넷 바카라 양성계획에 대해 어느 누구도 깔끔하게 정리해 주지 못하고 있다. 하지만 정보 유출사고 이후 정부는 일정 규모 이상의 기관과 기업에는 인터넷 바카라를 두도록 강력하게 밀어붙이고 있다. 여러 혼란에도 불구하고 인터넷 바카라에 관해 세 가지 기본적 질문이 있다.

첫째 질문, 인터넷 바카라가 필요한가? 세월호 사건 이후 사회적으로 안전이 더욱 중요한 화두가 되고 있다. 모든 국민들이 우리가 정말 안전한 사회에서 살고 있나? 그리고 우리 사회가 나를 위험에서 지켜 줄 수 있는지 의구심을 갖게 된 것이다. 사회적 안전이라고 하는 것에 개인정보보호도 포함된다. 우리가 개인정보를 주고받는 것은 서로의 사회적 신뢰를 전제로 한다. 개인정보를 주고받는 목적과 범위 외에는 사용하지 않겠다는 이른바 선량한 관리자로서의 의무를 다해야 한다. 그런데 유감스럽게도 내 개인정보가 허술하게 관리되고 있고, 이것이 나도 모르는 사이에 다른 사람의 손에 넘어가 전혀 다른 용도로 쓰이고 있다는 사실에 사람들이 경악하게 된 것이다. 지금 여러 사후 대책을 만들어 강력하게 시행한다고 해도, 솔직히 이미 시중에 뿌려진 개인 정보가 그러한 대책 때문에 파기되고 더 이상 문제를 일으키지 않으리라는 보장이 없다. 그래서 기관이나 기업의 첫째 목적이 영속성이라고 본다면 정보보안의 문제는 기업의 생존, 브랜드 파워, 마케팅 효력증대 측면에서 매우 중요한 과제다. 그런 측면에서 인터넷 바카라와 같은 정보보안을 책임지는 임원이 존재하는 것은 맞다고 본다.

둘째 질문, CIO와 인터넷 바카라를 분리시키는 것이 맞나? 아직도 금융기관조차 인터넷 바카라를 꼭 별도로 임명해야 하는지 반신반의하고 있다. 그래서 CIO가 겸직하기도 하고, 임명했다고 해도 누구에게 보고하도록 할 것인지 우왕좌왕하고 있다. 인터넷 바카라는 C레벨이기 때문에 CEO에게 직접 보고해야 한다는 의견과 그렇게 하면 CEO의 업무 범위가 너무 넓어질 뿐더러 문제가 생겼을 때 CEO가 바로 사회적 위험에 노출되는 문제가 있다. 그렇지만 정보보안이 정보 부문만의 일이 아니고 전사적인 제도, 문화와 임직원에 대한 교육을 포함한다고 하면 CEO에게 보고하는 것이 맞다고 본다. CIO들도 가급적 인터넷 바카라 임무를 피하고 싶어 한다. 정부도 별도의 인터넷 바카라가 있어야 한다고 하기 때문에 CIO와 인터넷 바카라를 분리시키는 것이 맞다.

마지막 질문은 그럼 누구를 인터넷 바카라에 임명할 것인가? 어떤 금융기관은 임원 중에 하고 싶은 사람 손들어 보라고 하니까 누구도 손드는 사람이 없었다고 한다. 한 부행장이 손들었는데 왜 손들었냐고 물어 보니까 이래저래 내년에 밀려날 것 같은데 이거라도 하면 혹시 안 밀려날 수도 있겠다는 생각이 들어 손들었단다.

인터넷 바카라가 가슴 뛰는 자랑스러운 직책이 아니고 직장생활 마지막에 리스크 테이킹하는 부담스러운 감투가 된 것이다. 정보보안의 기능이 이 부서 저 부서를 전전하다가 그냥 맘 약한 임원에게 떠맡겨져서는 안 된다. 정보보안이 회사에 매우 중요하다고 하면서도 전 임원들이 인터넷 바카라가 정보 보안사고가 터지면 기자회견하면서 머리 숙이는 임원이라고 생각하는 한 인터넷 바카라라는 직책은 있으나 마나다. 이런 식으로 인터넷 바카라를 고르거나 임명해서는 안 된다. 인터넷 바카라를 영광스럽게 만들어 줘야 정보보안이 완벽해지고 CEO도 정보보안 리스크로부터 자유로워질 수 있다.

IT 전문가로 임명할 것인지 아니면 비전문가로 임명할 것인지도 관건이다. 정보보안이 꼭 IT만이 아니라 제도, 문화, 사람에 관한 업무기 때문에 IT 전문가가 아니어도 가능하다고 본다. 괜히 임원 수 늘리기 부담스러우니 겸직 시키는 사례도 많다. 이때 자기 업무가 있는데 혹 붙인 임원이 얼마나 열심히 할까? 폭탄 돌리기 하지 않을까? 그래서 자기의 미래 커리어를 정보보안 쪽으로 확실히 정한 임원을 인터넷 바카라로 임명해야 한다. 정보보안을 자기의 평생 직업으로 삼아야 스스로 공부를 할 것이고, 공부를 해야 회사의 허술한 부분이 눈에 보이기 시작할 게다.

정보보호 업무는 그 범위가 매우 넓고 또 현업에도 정통해야 한다. 한마디로 넓이와 깊이를 다 섭렵해야 하는 매우 난해한 업무다. 그뿐 아니다. 협력업체 서버와 이 서버의 유지보수 업체 직원들까지 관리해야 한다. 이런 일들을 겸직업무로 해서 잘 될까 싶다. 또 하나 CEO가 챙겨야 하는 것은 예산문제다. 정부가 IT예산의 5% 이상을 보안예산에 쓰라고 지도하고 있다. 그런데 대부분의 정보보안 관련 예산에 대해 IT부서에서 관리하고 있다. 인터넷 바카라가 돈을 쓰려면 CIO 눈치를 봐야 한다. 상당 부분이 IT인프라에 대한 투자기 때문에 CIO가 승인을 해야 한다. 이게 잘 될까 싶다. 일을 하려면 인사, 예산 권한을 줘야 한다. 인터넷 바카라를 임명하라고 하니까 마지못해 임명하고 힘을 실어 주지 않으면서 문제 생기면 모두 네가 책임져야 한다고 윽박지르기만 한다면, 머지않아 또 CEO가 머리를 조아리는 날이 오게 될 것이다.

CIO포럼 회장 ktlee777@gmail.com