“흔히 보안 담당자만 뽑아놓으면 보안문제가 해결된다고 생각하는데 그건 최고경영책임자(CEO)의 잘못된 생각입니다.”
민중기 시드물 대표는 “CEO와 담당자 사이의 괴리는 생각보다 크다”며 “CEO부터 보안에 관심을 갖고 투자할 자세가 돼 있어야 한다”고 강조했다. 보안 담당자가 네트워크 취약성을 보완할 솔루션 투자나 사내 정보보호관리체계 강화를 건의해도 CEO가 보안에 관심이 없으면 불가능하기 때문이다.
시드물은 온라인 화장품쇼핑몰 업계에서는 처음으로 2014년 정보보호관리체계(ISMS) 인증을 받았다. 시드물이 ISMS 인증을 받은 것은 개인정보보호에 대한 민 대표의 신념이 있었기에 가능했다.
인터넷쇼핑몰을 운영하다 보니 소중한 고객의 개인정보 중요성을 인식하기 시작했고 전산실을 갖추고 보안에 투자하기 시작했다.
민 대표는 “처음 ISMS 인증을 받을 때는 심사원이 칭찬을 많이 해서 (우리가) 보안을 잘 하는 줄 알았는데 나중에 하나하나 살펴보니 단순히 ISMS인증서만으로는 보안이 끝나는 게 아님을 깨달았다”고 밝혔다.
민 대표가 ISMS 인증을 받고 4년이 지나 재심사를 받지 않고 ‘개인정보보호관리체계(ISMS-P)’로 업그레이드하기로 한 것도 이 때문이다.
민 대표는 “정보보호를 제대로 하면 직원들이 불편해지지만 힘들수록 보안수준은 높아진다”고 설명했다.
민 대표는 ISMS-P 인증을 받기로 결정하고 보안컨설팅 기업을 찾기 시작했다. 본사가 지방(대전)에 있다 보니 서버 등 시스템에 문제가 생겨도 AS 받기 쉽지 않아 지역 소재 기업을 원했지만 찾지 못했다.
대상지역을 세종까지 넓힌 끝에 어렵게 찾은 시큐리티캠프와 인연이 됐다. 두 CEO가 평상시 생각하는 보안철학이 맞아떨어져 손을 잡았다. 2018년 여름 보안컨설팅과 1년여의 준비로 2019년 11월 심사를 거쳐 확정됐고 지난달 ISMS-P 인증서를 받았다.
민 대표는 매주 수요일 생일을 맞은 직원 축하자리에서 독특한 사내 이벤트를 하고 있다. 직원들이 평소에 스미싱으로 의심되는 휴대폰 문자메시지나 악성코드를 첨부한 이메일 등을 캡처해서 대표에게 보내면 이날 상품권을 주고 정보보호와 관련한 간단한 교육도 한다.
민 대표는 “액수가 크진 않지만 작은 상품권을 통해 직원들에게 보안 경각심을 심어줌과 동시에 소소한 재미가 생활 속에서 자연스럽게 보안의식을 갖게 해주고 있다”고 설명했다.
“보안도 직접 하다 보니 그렇게 어렵지 않습니다. 대표가 하나하나 챙기다보니 전사적으로 보안체계도 확립되고 개인정보 보호 역량도 높아지고 있습니다.”
민 대표는 “기업이 일정규모가 되면 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)에 의해 ISMS를 받게 돼 있는데 심사부터 제대로 이뤄져야 한다”고 강조했다. 그는 “인증을 받을 때 보면 방학숙제처럼 한 달 전에 몰아서 하는 경우가 많은데 정보보호도 정말 제대로 챙기려면 매출관리처럼 매달 체크하고 미흡한 점을 보완해야 한다”며 “몰아서 하는 것보다는 늘 관심을 갖고 챙겨야 한다”고 거듭 강조했다.
민 대표는 매년 정보보호 분야에 1억~1억2천만원 가량을 투입하다. 인증서 유지를 위해서가 아니라 실질적인 고객 개인정보를 보호하기 위해 하는 투자다.
민 대표는 “정보보호 인식을 갖고 잘 관리해도 티가 안 나지만 어느 정도로 수준은 갖춰야 하기 때문에 투자를 할 수 밖에 없는 것 같다”며 “정보보호는 일종의 보험”이라고 표현했다.
관련기사
- 금융보안원, ISMS-P 인증기관 지정2020.04.16
- ISMS-PIMS 인증 통합 시행2020.04.16
- 과기정통부-KISA "기업 ISMS 인증 부담 검토하겠다"2020.04.16
- [기자수첩] ISMS 인증, 사이버보안 보증수표 아니다2020.04.16
그는 “정부에서 기업 담당자와 임원, 대표를 대상으로 산업재해 안전교육을 하는데 실제 사례를 영상으로 접해보니 산업재해 무서움을 새삼 깨달았다”며 “일반적으로 기업 CEO는 정보보호에 대해 잘 모르는데 정보보호 투자를 하지 않으면 어떤 재해가 발생하는지 교육을 해서 인식을 개선해야 할 필요가 있다”고 강조했다.
민 대표는 “최근 코로나19 사태를 보면서 개인정보보호도 한 번 감염되기 시작하면 끝이라는 생각을 하게 됐다”며 “개인정보보호도 코로나19 예방수칙처럼 평소에 관심 갖고 관리해야 하지만 혼자 힘으로 체계를 잡기 힘들어하는 중소기업을 대상으로 한 실질적인 정부 지원 프로그램이 마련되면 도움이 될 것”이라고 밝혔다.
