[디지털데일리 이민형기자] 기업의 정보보호 수준을 높이기 위해서는 소위 ‘빅마우스’로 불리는 직원들을 정보보호조직에서 포섭하는 것이 중요하다는 주장이 나왔다.

최동근 롯데카드 정보보호최고책임자(CISO, 상무)는 12일 역삼동 한국과학기술회관에서 열린 ‘금융정보보호 컨퍼런스’에서 “금융회사에서 정보보호 수준을 높이는데 좋은 방법 중 하나는 직원들에게 영향을 끼칠 수 있는 사람을 정보보호조직으로 포섭하는 것”이라며 “정보보호에 대한 교육이나 인지를 높인 뒤 다시 현업으로 돌려보내는 방법을 통해 정보보호에 대한 문화를 확산시키는 것이 중요하다”고 말했다.

금융회사들은 IT직원과 비(非)IT직원이 나뉘어져 과업을 수행하는데 비IT직원들은 상대적으로 보안에 대한 인식이 낮다. 비IT직원이 스스로 정보보호에 신경쓰도록 만들기 위해서는 교육이나 감사보다는 영향력이 큰 사람이 평소에 말해주는 것이 더 효과적이란 의미다.

최 CISO는 “비IT직원들이 해야하는 보안조치는 많지 않다. 개인정보가 담긴 파일을 PC에 보관하지 않도록 하는 것처럼 기본적인 것만 수행해도 보안수준은 올라가지만, 이들은 이조차도 지키지 않는 경우가 많다”며 “각종 보안솔루션을 돌리고 감사를 하는 것보다 빅마우스가 ‘개인정보 PC에 저장하시면 큰일납니다’라고 말해주는 것만으로도 좋은 효과를 볼 수 있다”고 설명했다.

또 금융회사의 모든 임직원들이 스스로의 역할과 의무(R&R)을 인식하는 것이 중요하다고 최 CISO는 강조했다.

그는 “R&R이 제대로 정립돼 있지 않을 경우 보안은 뒷전이 되고 만다. 보안을 고려하지 않는 비즈니스가 나타는 이유가 바로 여기에 있다”며 “영업, 마케팅, IT부서 등 정보보호조직만이 아닌 모든 임직원들에게 보안에 대한 책임을 지우는 것이 필요하다”고 말했다.

최 CISO는 보안담당자들이 현업에 직접 방문하는 것도 중요한 포인트라고 지적했다. 그는 “단순히 업무메일을 보낸다거나 공문을 보내는 것만으로는 현업 종사자들은 쉽게 바뀌지 않는다”며 “보안담당자, 환경이 허락한다면 C레벨이 직접 현장을 방문하는 것이 기업의 보안수준을 높이는데 도움이 될 것”이라고 설명했다.

이외에도 최고정보책임자(CIO) 조직과의 상호협력, 임직원과 협력업체 직원(위수탁업체)들을 대상으로 한 정보보호 교육훈련 프로그램 운영 등도 중요하다고 최 CISO는 말했다.

<이민형 기자>kiku@ddaily.co.kr