[디지털데일리 이유지기자] “요즘 갑자기 담당업무나 부서를 바꾸겠다는 보안실무자들이 늘고 있습니다. 업계의 다른 보안담당 임원이나 팀장을 만나면 이같은 문제로 고민하고 있다는 이야기를 많이 합니다.”

얼마 전에 만난 한 인터넷 업체 CSO(최고보안책임자)의 이야기다. 지난해 해킹으로 1300만명의 메이플스토리 회원 개인정보를 유출한 넥슨을 대상으로 한 경찰수사가 완료되면서 부쩍 나타난 현상이란다.

이 임원의 이야기에서 보안담당자들의 불안감이 커지고 일정부분 동요가 일고 있다는 것을 알 수 있다. 해킹 사고로 인해 기업의 대표이사와 개인정보보호책임자(CPO)뿐만 아니라 실무를 담당하는 정보보안팀장들까지 함께 입건되는 사례가 사실상 처음 발생하자, 우려했던 일이 현실로 다가왔다는 것을 느꼈기 때문일 것이다.

넥슨 해킹 사건을 수사해온 경찰은 지난달 정보통신망법 위반으로 서민 대표와 CPO, 정보보안팀장 3명을 불구속 입건했다. 현재 이 사건은 서울중앙지검에 송치돼 있다.

최근 2~3년간 해킹으로 인한 대규모 개인정보유출 사고가 최근 잇따르고, 그 사이 개인정보보호법, 정보통신망법이 제·개정됐다.

정보통신망법의 경우, 지난 2008년 우리나라에서 일어난 해킹으로 인한 첫 개인정보 대량 유출사고로 이름을 올린 옥션 해킹 사고 이후 부쩍 계속해서 개인정보보호 규정이 크게 강화돼 왔다.

심지어 정보통신망법은 국내 법률가 사이에서도 “전세계에서 가장 강력한 법”이라고 평가하는 경우도 많다.

이전보다 정보통신서비스제공자들의 의무사항이나 범위, 처벌이 강화된 것이 사실이지만, 결정적인 요인은 개인정보유출 등 보안사고가 발생하면 기업뿐만 아니라 업무담당자가 처벌을 받을 수 있는 양벌규정이 강력한 법이란 인식을 갖게 하고 있다.

사실 보안사고나 이로 인한 법규제 강화는 기업에서 보안 중요성에 대한 인식을 높이고 전반적인 보안수준을 높이려는 투자와 각종 노력을 이끌어내는데 상당히 긍정적인 영향을 미치고 있는 것은 사실이다. 하지만 보안인력 측면에서는 그렇지만은 않은 것 같다.

지난달 18일 한국정보보호학회가 개최한 ‘NETSEC-KR(정보통신망정보보호 워크숍)’에서 ‘보안전문가의 미래’를 주제로 열린 패널토의에 참석한 강은성 SK커뮤니케이션즈 상무(CSO)도 이같은 점을 지적했다.

“보안은 ‘무엇인가를 지킨다’는 것에 보람을 느낄 수 있는 직업이지만, 보안실무자의 입장에서 양벌규정과 같은 제도는 사기를 떨어뜨릴 수 있다. 사고가 발생했다고 실무자를 처벌하기 보다는 이득을 취한 사람이나 관리를 제대로 하지 않아 발생한 사고에 한정했으면 하는 바람이다.”

기자와 최근 만난 다른 보안전문가도 “보안사고가 발생한 기업의 대표나 보안책임자(임원)에 법적 책임을 묻는 것은 당연할 수 있지만, 실무자의 과실은 해당기업이 조치하는 것이 맞다”고 목소리를 높였다.

그는 “보안인력을 양성해야 한다고 이야기하고 있는데, 현재의 보안담당자들은 적절한 대우도 받고 있지 못하고 있다. 더욱이 자칫하면 감옥까지 갈 수 있는 위험까지 안아야 하는 현실이다. 현재 일하고 있는 실무자들조차 떠나게 만드는 상황에서 신규 보안종사자가 생겨날 수 있을까”라는 의문을 던졌다.

보안담당자들의 눈이 앞으로 나올 검찰의 넥슨 해킹 사건 수사결과에 쏠려 있다. 넥슨뿐만 아니라 SK커뮤니케이션즈, 옥션 사건(2심) 등까지 계속 진행된 해킹 사건 관련 법원의 판결은 큰 관심사일 것이다.

현재 많은 기업의 보안담당자들 가운데 절반 이상은 기회가 된다면 타 업무로 이동하길 원하고 있는 실정이다. 지난해 한국침해사고대응팀협의회(CONCERT)와 금융보안연구원이 조사한 결과에서 이미 나타났다. 이 조사에서 1년차 미만 담당자들의 경우에는 66.7%가 다른 업무를 수행하고 싶다는 의사를 밝혔다.

보안담당자들이 업무변경을 희망하는 가장 큰 이유는 사내부서의 낮은 위상 때문이다. 업무에서 비전을 발견하지 못하고 있고, 사고 스트레스도 요인이 된다는 것을 알 수 있었다. 이제는 여기에 법적처벌에 대한 부담까지 더해지게 된 상황이다.

국가 보안수준을 강화하는 방안에는 우수한 보안 인력을 양성하고 그들의 전문성을 높이는 것도 중요하다.

또 지금은 연이어 발생했던 각종 보안 사고를 계기로 지금은 필수적인 보안 법체계가 마련돼 이제 막 시행·적용되기 시작한 시점이다. 다양한 정보보호관련법마다 수준이 서로 달라 준수해야 할 사업자 입장에서는 혼란도 겪고 있다.

보다 나은 미래를 내다보는 차원에서 다시금 현행 보안 관련 법제도를 면밀히 살펴보고 그 방향성에 관해 발전적인 논의를 제안하고 싶다.

<이유지 기자> yjlee@ddaily.co.kr