일전 칼럼에서 필자는 기업들이 뛰어난 보안전문가를 영입하고도 제대로 활용하지 못하는 현실을 지적한 적이 있다(참조-돼지, 진주 목걸이를 걸다). 이와 관련해 기업들이 겪고 있는 또 하나의 아픈 현실이 너무 많은 시어머니를 모시고 있다는 점이다. 기업들이 영입한 보안전문가의 주요 업무 중 하나가 이 시어머니들에 대한 대응일 정도이다.

이 시어머니들이 누구인가 하면 정보보안과 밀접한 관련을 맺고 있는 공공기관들(이하 ‘감독기관’)이다. 대표적인 감독기관을 들자면 방송통신위원회, 행정자치부, 금융위원회, 금융감독원, 국정원 정도를 들 수 있다. 이 감독기관들은 기업 정보보안 수준이 높아지는데 많은 공헌을 하였으나 반대로 기업들을 힘들게 하는 악역으로도 그 역할을 톡톡히 하고 있다.

정보보안과 관련해 관련 법규정에 의한 제재를 강하게 받는 기업이라면 대부분 인터넷 포털 서비스 업체, 게임업체, 은행/보험/증권 등 금융회사 등이 대표적이다. 이들 기업들은 지금까지 해커들의 주요 공격 대상으로 IT침해사고의 주된 피해자들이며, 이들 기업들이 입은 피해는 기업에서 그치는 것이 아니고 그에 속해있는 국민들에게까지 피해가 돌아가게 된다. 그러므로 이를 예방하기 위한 차원에서 감독기관들이 기업들에게 이런저런 요구를 하게 되는 것이니, 결국은 국민을 보호하기 위한 행동인 셈이다.

여기까지는 문제가 없다. 진짜 문제는 비슷한 목적을 가지고 기업들을 감독하고자 하는 감독기관이 여러 곳이다 보니 기업들이 이를 상대하느라 인적, 물적 자원을 낭비하게 되고 심적으로도 지치게 된다는 것이다. 기업에 따라 차이가 있지만 적게는 2곳, 많은 곳은 4~5곳의 감독기관이 정보보안과 관련되어 시어머니 노릇을 하고 있다. 평시에도 매년 몇 번씩 이루어지는 감독기관들의 점검 및 방문에 대응하고 있지만, IT침해사고라도 터지게 되면 사고처리보다도 감독기관들의 요구사항을 처리하는 일이 주 작업이 되기 쉽다. 동종업체에서 IT침해사고가 터져도 마찬가지다. 갑작스럽게 날아온 감독기관들의 요구에 부응해 자료를 만들고 보내느라 관련 인력들이 매달리게 된다. 대체로 비슷한 요구사항이지만 감독기관별로 원하는 형태가 다를 수 있으므로 이를 맞추어 주는 것도 큰 작업이다.

이런 문제가 생기는 근본적인 원인은 정보보안을 총괄할 감독기관이 없기 때문이다. 현재는 정보보안과 관련된 국가적 차원에서의 관리 권한들이 여러 행정기관에 분산, 배정돼 있다. 각 권한들 간에는 상호 교집합이 되는 영역이 존재하며, 이 영역에 대해 행정기관들이 서로 주도권을 가지려고 다투고 있는 형국이다. 고래싸움에 새우등 터진다고 감독기관 간 몸싸움에 애꿎은 기업들이 피해를 보는 셈이다. 더구나 기업에만 그치지 않고 공공기관들까지도 동일한 문제로 인해 속앓이를 하고 있는 상황이다.

IT침해사고는 발생하지 않아야 할 사고이지만 발생한 경우 신속한 대처가 무엇보다도 중요하다. 신속한 대처를 위해서는 가장 중요한 요소가 통일된 지휘체계의 마련이다. 지금 우리 정부의 정보보안 지휘체계는 통일되어 있지 못하다. 이러한 불확실한 체계에서 서로 권한은 강화하고 책임은 지지 않으려는 모습은 어찌 보면 당연한 결과일 것이다. 이래저래 기업으로서는 속이 타들어갈 뿐이다.