|
보안이 기업이 알아서 하면 될 문제로 방치돼 있던 시대는 지났다. 굵직한 개인정보 유출사고 이후 우리 사회도 본격적인 보안 컴플라이언스(규제) 시대로 들어섰다. 보안규제가 우리 사회의 전반적인 보안수준과 인식을 높이는 데 기여한 것이 사실이지만 규제기반 보안은 기업들이 자신의 보안수준을 법이 요구하는 정도로만 한정하고 보안사고 발생시의 면책요건 정도로 생각하게 만들었다는 문제점도 존재한다. 보안업체들도 수요가 보장된 규제대응 솔루션 개발에 집중하게 됐고 창조적인 보안기술 연구투자에는 소홀하게 만들었다.
기업보안활동이 보안규제에 끌려가는 사회에서 보안사고는 피할 수 없다. 규제가 기술과 위협의 변화속도에 맞춰나가기는 어려우므로 기업들은 새로운 규제가 등장하기 전까지 무방비로 위협에 노출될 수밖에 없다. 왜곡된 규제기반 보안이 오히려 보안의 발전을 가로막고 있는 것이다. 국가보안정책은 규제를 통해 구체적인 보안선물세트를 안겨주기보다 기업이 자신만의 창의적인 보안기술과 관행을 만들도록 권장하고 이것이 기업의 경쟁력이 될 수 있도록 보장하고 다른 기업의 본보기로 삼음으로써 전사회 보안수준 향상으로 이어지는 선순환 구조를 만들어줘야 한다.
기업은 보안규제 준수결과에 책임지는 것이 아니라 개인정보침해로 고통 받을 소비자들과 보안사고로 인한 주가하락과 기업 돌연사로 피해를 입을 투자자들에 대한 실질적인 보호에 책임져야 한다. 또한 이들에 대한 책임을 넘어 온라인 생태계의 지속 가능한 발전을 도모하기 위한 환경운동으로서 보안활동을 사회적 책임의 핵심요소로 받아들여야 한다. 고객과 투자자 보호와 사회적 책임을 위해 할 수 있는 주요 노력 중 하나가 기업보안수준 공시이다. 현재 이 제도도입은 이뤄지지 않았지만 기업들은 법제화된 후에 하면 된다는 기존의 방어적인 생각을 버려야 한다. 기업은 자율규제와 사회적 책임 차원에서 창조적인 보안노력을 자발적으로 수행하고 신뢰기관을 통해 그 노력의 결과를 객관적으로 검증 받아 투명하게 공시함으로써 고객과 투자자들이 정보 불균형을 해소하고 기업선택시 합리적 선택을 할 수 있도록 보장해야 한다.
방어적인 컴플라이언스 시대를 넘어 선제적이고 창의적인 보안의 시대로 진화해야 할 때이다. '우리는 다른 기업과 달리 고객과 투자자를 보호하고 사회적 책임을 다하기 위해 이 정도로 노력하고 있으니 믿고 맡겨 달라'고 자신 있게 말할 기업 어디 없는가.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
