정보보호는 누릴 수 있는 이득보다 들어가는 수고와 비용이 더 많은 천덕꾸러기 취급을 받곤 한다. 큰 사고가 터져 엄청난 손실을 보기 전까지는 말이다. 어떻게 하면 정보보호를 기업 리스크 관리의 일부로 만들 수 있을까?
한 남자가 박수를 치고 있는 다른 남자에게 다가가 묻는다. "왜 박수를 치고 계시죠?" 두 번째 남자가 답하길, "악어를 쫓아버리려고요"라고 한다. 첫 번째 남자는 혼란스러워져서 "여기 악어가 어디 있다고 그러세요?"하고 되묻는다. 그러자 두 번째 남자 왈, "그렇죠? 박수 치는 게 효과가 있다니까요!"
경영진에게 IT 보안 제품 구매를 설득 시켜야 하는 CIO들은 흔히 위와 같은 상황에 처한 듯한 기분을 느낀다. "'정보 보안에 이러이러한 정도의 돈을 쓰겠습니다'라고 보고하는 CIO에게 '그걸로 충분합니까? 더 필요하지 않습니까?'라고 묻는 경우는 거의 없다"고 전자 외환 플랫폼 FX올(FXall)의 CIO 스티브 루비나우는 말했다. "대신, '이렇다 할 보안 문제도 없었는데, 보안에 돈을 너무 많이 쓰는 것 아니냐'는 말을 듣게 마련이다."
ROI패러독스. IT 보안의 가장 분명한 패러독스는 아마 "보안에서 ROI가 쉽게 나오는 경우가 없다는 것이다”라고 루비나우는 말했다. 게다가 보안을 통해 시스템이 100% 안전해진다는 보장도 없다고 그는 덧붙였다. 또 요즘은 고객 정보 보다는 지적 재산을 타깃으로 하는 경우가 많아지며 보안 위협의 감지 역시 어려워지고 있기도 하다.
당장 보안 문제에 직면해 있는 것이 아닌 상황에서, 루비나우가 제안하는 방법은 같은 산업에 속한 다른 기업들에게 닥친 위기를 예시로 드는 것이다. 그는 "물론 어느 업체에게도 보안 문제가 생겨선 안 될 것이다. 그렇지만 그런 경우가 생길 경우 '좋아, 보안 관련 파워포인트 파일 준비해. 기회가 온 거야'라고 말하게 된다"라고 설명했다.
대부분의 금융 서비스 업체 CIO들과 마찬가지로 루비나우 역시 컨설턴트들을 순환식으로 고용해 모의 해킹 테스트를 하도록 하고 경쟁 업체의 보안 투자를 벤치마킹 하여 자사의 보안 상태를 점검했다. "만일 다른 업체에서 일하는 사람을 우리 회사에 데려 온다면, 우리의 투자를 어떻게 평가할 것인가? 객관적인 3자의 눈으로 봤을 때도 적당한 만큼 투자하고 있다고 생각할 것인가?"라고 그는 전했다.
제품 패러독스. 얼라이언스 데이터 시스템 리테일 서비스(Alliance Data Systems Retail Service)의 IT 부사장인 마이크 로셀로는 시장 경쟁력과 보안 사이의 균형을 유지하는데 패러독스가 있다고 말했다. "우리는 데이터를 관리하는 업체인 만큼 보안은 논란의 여지 없이 필수이다. 효과적인 보안 프로토콜을 유지하면서 동시에 시장에서의 경쟁력도 포기할 수 없다"라고 그는 주장했다.
이에 대한 해결책으로 그의 회사에서는 설계 팀에 보안 직원을 두고 있다. 솔루션을 제안할 때마다 그에 따른 보안 문제도 발생하기 때문이다. "보안 팀이 회사 측에 원하는 것을 할 수 없다고 말하는 일이 일어나서는 안 되기 때문"이라고 로셀로는 설명했다.
다시 말해 설계팀이 갖추지 못한 기술을 옆에서 코칭해 주는 것이다. 보안 팀에서 기업 내 다른 부서를 교육하고 보안 서비스를 사용하도록 설득할수록 정보 보안 문제에 대해 경영진을 설득 시키는 일도 수월해진다.