보안사고 재발방지책...Correction과 Corrective Action의 큰 차이
[보안뉴스=박태완 한국 뷰로베리타스 선임심사원] 정보보호 경영시스템 인증에서 어떤 프로세스 수행이 잘 이행되고 있지 않으면 심사원은 ‘부적합’을 발행하게 된다.
부적합에는 중부적합과 경부적합으로 구분되며, 중부적합은 해당 프로세스의 완전한 붕괴를 의미하며, 이는 곧 인증의 유효성을 상실하게 되는 결과를 초래한다. 경부적합이 발생하는 경우에는 시정(Correction)과 시정조치(Corrective Action)라는 2가지 행위를 하게 된다. 시정이라 함은 지적사항으로 발생한 문제를 해결하는 행위이고, 시정조치는 동일한 지적사항이 발생하지 않도록 재발방지 대책을 수립하는 것이다.
최근의 카드사 사태를 보면서 한국사회는 Correction은 너무나 잘하지만 Corrective Action은 하지 않는 것을 다시 한 번 느낀다.
시간이 좀 흐른 후 아마도 관련자들은 TV에 출연해 다시 한 번 사과하며, 어떤 조치(시정(Correction))를 했고, 향후 이러한 사건이 재발하지 않도록 하기 위해 어떤 재발방지대책(시정조치(Correction))들을 취할 것인지 발표하게 될 것이다.
위의 광경은 우리들 눈에 매우 익숙하다. 사건·사고만 터지만 항상 반복되는 형태다. 그렇다면 1~2년이 흐른 후에도 왜 유사한 사건이 터지는 것일까? 발표 때마다 재발방지대책이 반드시 포함되어 있는데도 불구하고 왜 재발되는 것일까?
필자가 앞서 언급한 바와 같이 ‘재발하지 않도록 하기 위해 어떤 시정조치(Correction)들을 취할 것인가를 발표하게 된다’라고 표현했다. 여기서 한글로는 시정조치라는 표현을 사용했지만 괄호에는 (Correction)이라는 표현을 의도적으로 사용했다. 그 이유는 향후 재발방지 대책 즉, 시정조치(Correction)이라고 발표하는 내용들을 보면 대부분의 경우 시정(Correction)에 해당되는 것이지 시정조치에 대한 내용이 아니기 때문이다.
가장 대표적인 재발방지 대책으로 언급되는 1순위는 유사한 사건이 발생하면 항상 ‘엄벌’을 하겠다는 것이다. 이 ‘엄벌’이라는 것은 시정(Correction) 행위이지 시정조치(Corrective Action)가 아니다.
흔히들 CCTV를 설치하면 범죄가 예방된다고 생각한다. 왜냐하면 CCTV를 통해 자신이 하는 행위가 기록·저장되기 때문에 나중에 쉽게 잡힐 가능성이 있어 범죄를 저지르지 않기 때문이다. 물론 이것이 틀린 얘기는 아니다. 이렇게 생각하고 범죄를 저지르지 않는 사람은 충동적 범죄자들일 경우가 많다.
그러나 전문적인 혹은 정말로 범죄를 저지르겠다고 작정한 사람에게는 CCTV가 설치돼 있어도 사건·사고를 일으키게 된다. 이런 경우 대형사고일 가능성이 훨씬 높다. 또한 피해자 입장에서는 피해가 발생한 후가 될 수밖에 없다. 예방이라 함은 사건·사고가 나에게 발생하지 않기를 원하는 것이다.
CCTV의 주 목적은 사건·사고 발생시 증거를 확보하기 위한 것이지 예방이 주 목적이 아니다. 즉 예방으로서의 역할은 극히 일부에 지나지 않는다는 것이다.
엄벌이 재발방지 대책 중의 하나라고 생각하는 것은 CCTV의 주목적이 예방이라고 생각하는 것과 유사하다.
한 예로 대한민국의 기업 혹은 조직의 최고책임자에게 올해의 사업목표인 1조 매출에 1000억의 이익을 남기겠다는 사업목표를 달성하지 못할 경우 자리에서 물러나야 하는 경우와 우리 조직에서 개인정보 유출 사건·사고가 발생하면 내가 책임을 지고 자리에서 물러나야 할 경우 어느 쪽이 더 확률이 높은지 물어보면 아마도 답은 명확할 것이다.
정말로 효과적인 시정조치(Corrective Action) 즉 재발방지 대책이라고 하는 것이 수립되려면 상당한 시간이 필요하기 때문이다.
대한민국에서 활동하는 정보보호 전문가로서 이런 꿈을 꿔본다. 우리는 언제쯤에야 대형사고가 터지면 객관적이고 독립적인 전문가팀을 꾸려서 6개월에서 1년 가까이 심도 있는 구체적인 조사를 거쳐 수백페이지에 달하는 보고서가 나오고 이를 근거로 재발방지대책이 수립되는 것을 볼 수 있을까?
마지막으로 지난 20여년간 정보보호 전문가(심사원, 컨설턴트)로서 경험에서 보면 국내 기업에서 정보보호와 관련된 의사결정선상에 있는 관계자들 가운데 정보보호의 중요성을 인식하지 않는 분들은 만난 적이 없다. 그분들 나름대로 여러 이해관계자들을 설득하기 위해 부단한 노력을 기울이고 있다는 것은 알아줬으면 하는 바램이다.
[글_박 태 완 한국 뷰로베리타스 선임심사원(taewan.park@gmail.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
