"CEO, 정보보호엔 무심"

 이른바 ‘C 레벨’로 불리는 회사 내 중역 가운데 최고경영자(CEO)들의 자사 IT 보안 위험 인식도가 상대적으로 낮은 것으로 나타났다. 또 정보보호 필요성과 목표에 대한 생각에서도 CEO와 다른 중역들 사이에 상당한 차이가 있었다.

 15일(현지시각) IDG뉴스는 포네몬 인스티튜트가 CEO를 비롯해 최고정보책임자(CIO)·최고운영책임자(COO) 등 213명의 C레벨을 대상으로 실시한 조사결과를 인용해 이같이 전했다.

 조사결과에 따르면 CEO의 48%가 해커들이 자사 데이터를 겨냥한 접근을 거의 시도하지 않을 것으로 믿는다고 답한 반면에 다른 C레벨은 약 53%가 기업 데이터가 매일, 심지어 시간단위로 공격에 노출됐다고 생각하는 것으로 나타났다.

 CEO들은 또 다른 경영진에 비해 회사에서 발생하는 특정 보안사고를 덜 인지하며 오히려 데이터 유출 등 사고를 쉽게 피할 수 있다고 자신하는 것으로 밝혀졌다. CEO들은 데이터 보호를 위한 노력을 ‘고객만족도와 기업 브랜드 이미지 유지’를 위해 필수적인 것으로 보는 반면에 다른 중역들은 ‘규제 충족’을 위한 조치로 보는 경향이 짙었다.

 CEO와 다른 중역 간 인식 차이는 기업 데이터 보호 책임이 누구에게 있는지에도 나타났다. 응답자의 대부분(10명중 8명)은 조직 내에 데이터 보호 책임자가 있다고 믿고 있다. 하지만 CEO의 절반 이상이 CIO를 책임자로 꼽았지만 다른 중역들은 24%만이 CIO라고 답했다.

 포네몬 인스티튜트의 설립자인 래리 포네몬은 “응답자의 85%는 데이터 침해사고 발생시 누군가에게 책임이 있다고 보지만 거의 대부분이 자신의 책임이라고는 생각하지 않는다”고 말했다.

 포네몬은 CEO와 다른 중역들 간 이 같은 인식 차이는 정보보호의 목표와 효과에 대한 관점이 서로 다른 데서 비롯된다고 설명했다.

 그는 “대부분 CEO가 비용 대비 효과적이며 심지어 수익성을 낳는 큰 그림 안에서의 정보보호 전략을 원하는 반면에 다른 중역들은 위험 완화와 규제준수에 초점을 두고 있다”며 “이번 조사로 정보보호 투자의 영향을 측정할 수 있는 새로운 매트릭스의 필요성을 알 수 있다”고 말했다. 이정환기자 victolee@etnews.co.kr