사소한 해킹사고라도 모이면 엄청난 사회적 비용 발생
윤리적 경영 이면에는 보안에 대한 관심과 노력필요
근래에 기업에게는 “윤리적 경영”을 사회적으로 요구하는 시점에 이르고 있다. 윤리적 경영(Ethic Management)이란 기업이 적극적이고 주체적인 자세로 기업윤리의 준수를 행동원칙으로 삼고, 기업의 경제적, 법적 책임 수행은 물론 사회 통념적으로 기대되는 윤리적 책임의 수행을 기업의 의무로 정하는 것을 말하며 기업이나 개인의 이익 추구 활동과 기업윤리 간에 갈등이 발생하는 경우 윤리적인 측면을 우선 고려하는 것을 의미한다.윤리적 경영 이면에는 보안에 대한 관심과 노력필요
가장 대표적인 사례를 들어 보면 1990년대에 나이키(NIKE) 사가 개발 도상국에 위치한 현지 하청 공장에 낮은 임금, 아동 노동 착취, 언어 폭력 등의 노동 문제로 인해 시민단체(NGO)로부터 강한 비난을 받게 되었다. 나이키는 해당 국가의 계약 공장에서 자체적으로 해결할 문제라는 회피성 대응을 하였다. 이에 대해 시민단체와 언론에서는 나이키가 제조과정 전체에 대해 사회적 책임을 질 의무가 있다며 불매 운동을 전개하였고, 이는 미국, 캐나다, 호주 등으로 확대되었다. 나이키가 생산하는 제품에 대한 불매 운동이 전세계적으로 확대될 조짐이 나타나자 문제 해결을 위해 사회적 요구를 대폭 수용하여 기업의 사회적 책임을 담당할 부사장 영입, 개발도상국의 노동 환경 개선을 위한 재단 설립 및 실태 조사에 착수하였으며 2001년에는 기업의 사회적 책임에 대한 보고서를 작성하여 공개했다.
위의 사례는 기업에게 사회가 요구하는 새로운 윤리기준을 충족시키지 못하는 경우에는 기업의 경영 자체가 불가능하게 될 수도 있다는 대표적인 사례로 볼 수 있다.
이제 실물 경제 환경에서 개발 또는 생산하여 판매하는 제품이 아닌 사이버공간에서 제공하는 웹서비스(홈페이지)에 대해서 기업이 어떤 책임을 져야 하고 이를 위해 어떤 노력을 기울여야 해야 하는지에 대해서 논해 보고자 한다.
IT와 인터넷이 발전함에 따라 대부분의 기업은 자사를 홍보하는 홈페이지를 가지고 있다. 자사의 소개 안에는 특허와 같은 자체적으로 보유한 기술 정보, 개발 또는 생산하는 상품(서비스) 정보도 있을 수 있고, 구인 광고를 올릴 수도 있다. 일부 업체에서는 제품을 판매하는 쇼핑몰까지 운영하고 있어 광고 효과뿐만 아니라 매출 확대에 매진하고 있는 상황이다.
일반 개인의 경우, 홈페이지에 방문하여 제품의 정보를 알아 볼 수도 있고, 구직자들이 이 기업은 뭐하는 회사인지 어떻게 돌아가는 지 알아 볼 수도 있다.
하지만, 이 홈페이지에서 개인정보를 빼내가는 악성코드를 유포하고 있는 상황이라면? 정보를 알아보기 위해 아무런 생각없이 접속을 했는데 PC가 바이러스가 걸려서 사용하는데 불편을 겪거나 고치는데 돈이 들어갔다면 방문자는 이 회사에 대해 어떤 느낌을 가지게 될까?
또한, 최근 H캐피탈의 해킹 사건과 같이 개인이 회원으로 가입하면서 제공한 정보를 기업이 제대로 관리하지 못하여 대규모로 개인 정보 유출되는 경우도 발생하면 고객은 어떤 생각을 가지게 될까? 최근 언론에 소개된 사례에서는 입사를 위해 제공한 지원서가 해킹을 당하였으며 이로 인해 개인정보가 피싱과 같은 범죄에 이용된다면 이 예비 직장인은 어떤 생각을 품게 될까?
작금의 보안 사고가 발생한 기업들의 반응을 보면 더욱 속이 쓰릴 수도 있다. 홈페이지에서 악성코드가 퍼지고 있어서 연락하면 대수롭지 않다는 반응을 보이는 경우가 대부분이고 어떤 경우에는 ‘당신이 해킹한 것 아니냐’는 등 해당 담당자의 인식 및 대응하는 태도는 무덤덤하다기보다는 아니 후안무치하기까지도 하다.
개인 정보 유출의 경우에는 적어도 몇십만명 정도 피해가 발생해야 뉴스에 나오게 되며, 언론에 “예산을 더 쓰겠다, 조직을 개편하겠다“라고 언론 플레이 정도로 그치는 경우가 다반사다. 실천하는 지는 두고 볼 일이지만, 유야무야되는 경우도 많다.
기업의 IT 보안을 책임지는 담당자와 기술적인 지원을 하는 서드파티 엔지니어의 보안 의식 또한 문제다. 중요한 문서 또는 기밀 데이터를 관리하는 인력은 안티바이러스(백신)부터 시작하여 방화벽 등의 접근 통제까지 충분한 검토를 거쳐 정책을 수립하고 이를 반드시 지켜야 함에도 불구하고 개인용 노트북을 내부망에 가져와 버젓이 사용하거나 심지어 P2P까지 접속하여 이용하다가 바이러스에 감염된 상태로 업무에 활용하는 바람에 커다란 금융 보안 사고를 야기한 원인으로 언급되기도 했다.
게다가, 해킹을 당한 조직의 수장이 문제에 대한 직접적인 또는 도의적인 책임이 있음에도 불구하고, “직원들 말만 믿었다가 당했다”며 오히려 직원에게 책임을 전가하는 행위가 알려져 비판을 받기도 했다.
이와 같이 일반인의 상식으로 생각해 볼 때, 정보를 얻기 위해 방문한 것뿐인데도 불구하고, 악성코드에 감염되거나 자기의 중요한 개인정보가 사이버 범죄자들에게 유출되어 제 2, 3의 범죄까지 발생하게 된다면 그 기업의 이미지에 치명타가 될 것은 자명하다.
따라서, 기업은 이러한 선의의 피해자가 발생하지 않도록 미리 보안을 강화하여 예방할 책임을 가지고 있다.
특히, 해킹으로 인해 많은 사람들의 PC가 감염되거나 업무를 볼 수 없는 장애가 발생한다면 그 개인의 차원에서는 조그만 비용일 수 있지만 사회적인 측면에서 본다면 매우 많은 사회적 비용이 발생하게 된다.
‘윤리적 경영’에는 제품의 제조부터 판매 그리고 사후지원(A/S)까지 모두 해당된다고 앞서 언급한 바가 있다. 소비자는 실제로 제품뿐만 아니라 웹페이지도 이용하기 때문에 기업은 소비자가 웹서비스를 안전하게 이용할 수 있게 해야 한다는 사회적 책임을 통감해야 할 것이다.
‘윤리적 경영’의 이면에는 기술적인 이해도가 결집 되어야 하고 보안에 대한 관심과 노력은 공동체적인 이슈라는 점을 분명하게 인지하고 행동 할 때 현실의 위험들은 조금씩 개선이 될 수 있다. 모두가 연결된 인터넷 세상에서의 활동은 실생활의 활동보다 휠씬 더 직선적이고 빠른 속성을 지니고 있다. 모두를 위하는 것은 곧 기업과 사회의 이익에도 부합되는 것을 오래지 않아 깨달을 수 있을 것이다. 그러나 아직 멀고도 험한 길처럼 느껴진다.
[빛스캔주식회사 문일준 대표]
저작권자 © 데일리시큐 무단전재 및 재배포 금지