기업의 최고경영자(CEO)나 임원들에게 정보보호 관련 적정 투자규모를 결정하는 것은 제법 골치가 아픈 업무 중 하나다. 기업은 이익을 추구하며 이익 극대화를 위해 투자한다는 명제는 주지의 사실이다. 그렇다면 과연 정보보호 관련 투자가 기업의 이익에 어떻게 기여하는지부터 살펴볼 일이다.
사실 정보보호 관련 투자는 정보기술(IT) 투자에 후행해왔다. IT 투자는 기업의 생산성을 높여 이익을 늘린다. 그런데 정보보호 관련 투자는 직접 눈에 보이는 이익을 가져다주지 않는다. 오히려 이익을 저해하는 비용으로 인식돼 오랫동안 천대받아 온 게 현실이다. 오죽하면 금융당국이 금융회사에 정보보호 관련 예산을 IT 예산의 최소 7%를 지키라고 권고까지 했을까.
기업 경영을 축구 경기에 비유해보자. 축구 경기는 골을 누가 많이 넣는지에 따라 승패가 결정된다. 공격수가 아무리 골을 많이 넣어도 실점을 더 많이 한다면 결코 경기에서 이길 수가 없다. IT 투자가 공격이라면 정보보호 투자는 수비다. 팀이 승리하기 위해서는 뛰어난 공격수도 보유해야 하지만 철벽 수비수가 반드시 있어야만 하는 것처럼 기업이 이익을 늘리기 위해서는 정보보호 투자가 수반된 IT 투자가 필요하다.
그렇다면 정보보호 투자는 과연 어느 수준으로 해야 할까. 고객정보를 포함한 기업의 정보자산 가치가 100억원이고 시장에서 매수자를 쉽게 구할 수 있다면 해커는 100억원 이내의 비용을 들여 정보자산을 손에 넣으려고 할 것이다. 그러나 기업은 100억원을 정보보호에 투자하기는 현실적으로 힘들다. 바로 여기에서 공격자와 방어자 사이의 비대칭성이 발생하게 되고 정보보호의 취약점이 노출된다. 더군다나 해커는 알려지지 않은 약점을 파고들지만 방어자는 알려진 방어에 주력하게 돼 비대칭성이 더욱 커진다. 골치가 아픈 일이다.
이를 극복하기 위해서는 투자의 효율성 확보가 관건이다. 우선 기업은 IT 투자 검토단계에서부터 정보보호 투자를 맞춤형으로 함께 검토해야 한다. 금융보안원과 같이 전문기술과 장비를 보유하고 있는 보안전문기관의 공공 보안 인프라를 적극 활용하는 것도 좋은 방법 중 하나다. 스스로 능력에만 의존하는 것보다 정보보호 효과나 비용 측면에서 훨씬 유리하기 때문이다.
기업이 성장하기 위해서는 고객의 후원이 반드시 필요하다. 자신의 정보가 포함된 기업의 정보자산이 적절하게 보호되지 못한다는 인식이 확산되면 고객들은 기업에 대한 후원을 주저 없이 거둬들일 것이다. 특히 비대면 전자금융거래가 대세가 돼 있는 금융회사는 능력이 닿는 대로 충분한 규모의 돈을 정보보호에 투자할 필요가 있다.
세상은 늘 변하고 또 변한다. 그 변화 중의 중요한 하나는 정보자산을 보호하기 위한 투자가 기업의 지속성장을 위한 필수 요소로 등장하고 있다는 사실이다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
