기업내 보안관리에 대한 필요성이 높아지고 있지만 경영진 설득이 쉽지 않다. 하지만 여기에도 노하우가 있다.

SK커뮤니케이션즈 보안문화추진팀의 송재훈 과장은 "보안 침해사고 및 정보보호 이슈를 효율적으로 부각시켜 정보보호 시스템에 대한 투자를 유도해야한다"라며 자신의 노하우를 설명했다.

일단 정성적으로 발생가능성이 높은 보안침해사고에 대해서는 PR/GR 부서를 통하는 것이 좋다. 다른부서를 거치는 것보다 이에 대한 이해가 높기 때문.

▲ SK커뮤니케이션즈 송재훈 보안문화추진팀 과장 ⓒ2008 보안뉴스 김정완 기자

발생가능성이 높거나 발생한 보안침해사고에 대해서는 타사 사례 등을 통해 정량적 수치를 보고하는 것이 좋다. 일단 경영진은 내부적으로 일어난 사고에 대해 특별한 단 한 번의 사고로 인식할 수 있기 때문이다.

더불어 보안 침해사고 및 정보보호 이슈로 인한 경영진의 법적 책임에 대해서도 집중적으로 보고하는 것이 좋다. 대다수의 경영진은 이런 책임에 대해 간과하는 경향이 있기 때문에 향후 문제에 대한 책임이 더욱 커질 수 있다.

정보보호시스템 투자 "어떻게 설득하나?"

송 과장은 "정보보호시스템에 대한 투자를 경영진으로부터 유치하는 것이 쉽지 않다는 것은 공감하지만 이에 대한 구체적인 방법은 많지 않다"면서 "방법이 있다면 다각적인 방법으로 경영진을 설득하는 것 밖에 없다"고 역설한다.

가령 정보보호 시스템의 구매에 있어서 구매방법과 비용 납부 방법의 다양화를 통해 투자대비 효과가 부각될 수 있도록 해야 한다.

또한 정보보호 시스템 부재로 인한 정보보호 관련 법규 위반시 다양한 위험에 대한 보고도 빼놓지 말아야한다. 그리고 경영진이 민감하게 생각하는 IR 이슈가 내부통제 미흡으로 인해 문제가 발생할 수 있다는 것도 중요한 포인트다.

결국 이런 다양한 문제로 인해 예방 가능했던 침해사고로 인한 피해가 얼마나 있었는지에 대한 보고도 중요한 부분이다.

정보보호 인력 충원 필요성 보고

경영진의 입장에서는 인력을 투입하는데 대해 신중한 편이기 때문에 정보보호 인력 충원에 대한 설득은 쉽지 않은 편이다.

따라서 송 과장은 "보안 침해사고 발생시 인원 부족으로 인한 고객 피해의 증가 및 피해 비용증가에 대해 설명하라"고 충고한다. 그리고 보안 침해사고 및 정보보호 이슈 해결을 순박력 있게 대응하지 않으면 일어날 수 있는 PR/IR/IR 이슈로의 전이될 가능성도 언급할 필요가 있다고 덧붙였다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>