최근 연이은 개인정보 유출 사고로 정보보호가 기업 경영의 핵심 과제로 떠오르고 있다. 정보보호 전략컨설팅팀에서 자문을 하면서 기업들의 정보보호 인식과 접근법이 크게 달라지고 있음을 실감하고 있다. 다만 놀라운 것은 거의 모든 기업이 동일하게 현재 보안수준에 대한 객관적인 진단이 어렵고, 개선 필요 수준이 명확하지 않음을 고민한다는 점이다.
올 2월 금융투자협회가 공지한 ‘IT 감사 가이드라인’은 금융투자업계에 새로운 전환점을 제시했다. 이 가이드라인은 IT내부통제 체계 수립을 의무화하고, 클라우드, AI, 블록체인 등 신기술 담당 조직에도 동일한 내부통제 체계를 적용하도록 명시했다. 혁신 부서에 대한 예외구역 없이 전사적으로 통일된 통제 기준을 확립하겠다는 취지다.
이러한 규제 강화는 기존 법령상 의무와 맞물려 더욱 복합적인 컴플라이언스 체계를 요구한다. 전자금융거래법 제21조는 금융기관의 전자금융거래 정보 안전 관리의무를, 신용정보법 제19조는 신용정보전산시스템의 기술적·물리적·관리적 보안대책 수립을, 개인정보보호법 제29조는 개인정보의 안전성 확보를 위한 기술적·관리적·물리적 조치를 각각 의무화하고 있다.
고민스러운 부분은 이러한 법적 의무들은 기본적인 원칙을 제시하기 때문에, AI나 클라우드 환경에서 구체적으로 어떤 수준의 보안 조치가 필요한지는 기업들의 자체적인 노력이 요구된다는 점이다. 특히 일부 ‘남들이 하는 대로’ 접근하거나 표준 솔루션을 무작정 도입하는 경우가 많은데, 각 기업의 비즈니스 모델과 데이터 처리 규모에 따라 요구되는 보안 수준은 상이하다. 따라서 정보보호 체계 구축에는 맞춤형 진단이 선행되어야 한다. 해당 기업의 현재 정보보호 수준, 처리하는 정보의 민감도, 적용 법령 범위를 정확히 진단한 후, 법적 필수사항과 권장사항을 구분하여 우선순위를 설정해야 한다. 특히 AI·클라우드 도입 시에는 기존 정보보호 체계와의 연계성을 고려한 단계별 보안 전략이 필요하다.
무엇보다 중요한 것은 이러한 체계가 기업 내부에서 지속적으로 운영될 수 있도록 내재화하는 것이다. 초기에는 외부 컨설팅을 필요로 하지만, 향후에는 변화하는 기술 환경과 규제 요구사항에 능동적으로 대응할 수 있는 자체 역량을 구축해야 한다. 결국 기업은 정보보호를 단순한 규제 대응이 아닌 지속가능한 디지털 혁신의 기반으로 인식해야 한다. 따라서 관련 정부 정책 수립 동향이나 세부 법령 제정 동향을 지속적으로 모니터링하고 사전에 준비할 필요가 있다. 사전 준비를 통한 전사적 체계 구축은 기업이 혁신과 안정성을 동시에 확보할 수 있는 토대가 될 것이다.
