※ 본 글은 ChatGPT를 통해 작성했으나, 보안 실무자의 충분한 검수를 거쳤기 때문에 환각효과에 대한 우려는 하지 않으셔도 됩니다.
“이번엔 진짜 보안 강화하자.”
SKT 사고 이후, 보안 조직을 바라보는 시선이 달라졌다고들 합니다.
PIS FAIR 2025는 역대급 인파로 북새통이었고, CISO 조직의 위상을 논하는 기사도 종종 보입니다. “보안이 경영의 핵심”이라는 수식어도 이제 낯설지 않습니다.
그런데, 현장은 왜 여전히 보안담당자가 애걸하고 있을까요?
말로는 보안 강화, 행동은 책임 전가
사고만 나면 “보안 조직은 뭐 했나”부터 묻습니다.
하지만 사고가 나기 전, 같은 조직 내의 보안담당자는 무엇을 경험하냐면 이렇습니다.
- 기초 점검 요청에 ‘지금 바쁘다’는 말
- 설계 단계 보안 검토 요청에 ‘사업에 방해된다’는 반응
- 취약점 개선 요청에 ‘운영에 지장 없으면 안 해도 되는 거 아니냐’는 태도
그리고 사고가 터지면 “보안 왜 안 했냐”는 질문이 돌아옵니다.
그때야 부랴부랴 ‘보안 체계 점검 TF’를 꾸리고, ‘보안 중요하다’는 기사 한두 개 더 추가되는 구조죠.
보안은 조직의 ‘일원’이 아니라 ‘책임자’로만 존재한다
보안조직에 “사업 마인드가 없다”는 비판이 들려옵니다.
“왜 자꾸 안 된다는 말만 하냐”, “우리도 회사인데, 돈 벌어야지”라는 소리도 익숙합니다.
하지만 현실은 보안 조직이 ‘사업을 방해하는 팀’이 아니라 ‘사고 책임을 떠안는 팀’으로 취급되는 경우가 대부분입니다.
사업에는 개입하지 말고, 사고 나면 책임지라는 식이죠.
그러니 CISO의 위상이 높아졌다는 기사도, 실무자 입장에서는 공허하게 느껴질 수밖에 없습니다.
그 위상은 진짜 현장에서도 작동하고 있는 걸까요?
위기감을 체감한 건 ‘보안조직’뿐이었다
PIS FAIR가 성황이었다는 건 맞습니다.
보안 관련 미디어나 컨퍼런스에선 위기감이 높아졌다고들 말합니다.
그런데 이 위기감을 같이 느끼고, 같이 움직이는 조직은 얼마나 될까요?
- “보안정책은 따로 문서로 만들어주세요. 읽을 시간 없어요.”
- “그 정책 지켜야 하는 거 맞아요? 강제 아니잖아요?”
- “어차피 사고 안 날 거 같은데 굳이 이걸 지금 해야 해요?”
이런 질문은 현실에서 매일같이 보안담당자가 마주합니다.
어떤 기업에선 지금도, 이메일 비밀번호가 ‘company2020!’일 수도 있습니다.
‘보안조직도 회사 일원이다’는 말, 실천이 필요하다
보안조직도 사업을 이해해야 합니다.
하지만 동시에, 보안조치도 사업의 일환이라는 조직 전체의 인식 변화가 필요합니다.
보안은 비용이 아니라, 기업 지속가능성의 최소조건입니다.
기업이 클수록, 기업이 고객을 다룰수록, 보안은 ‘선택’이 아니라 ‘책임’입니다.
보안이 조직 내에서 ‘함께 일하는 동료’로 대우받는 날.
그날이 진짜 ‘보안이 중요해졌다’고 말할 수 있는 날일 겁니다.
'보안 이야기' 카테고리의 다른 글
| 수사기관의 개인정보 요청, 제공해도 될까? (0) | 2025.05.26 |
|---|---|
| ISMS 인증, 완벽한 보안의 증명인가? 아니면 최소한의 신뢰장치인가? (3) | 2025.05.14 |
| 개인정보보호 교육 회고 (0) | 2025.05.14 |
| 옵트인 vs 옵트아웃: 개인정보보호법 기준으로 정확히 이해하기 (0) | 2025.04.28 |
| ISMS-P 인증심사원 보수시험 후기 (0) | 2025.04.22 |
ligilo
행복한 하루 되세요~