모든 업무과정에 보안절차를 포함시켜라  

국내 IT 산업은 국가 전체 수출의 약 30%에 이를 정도로 국가경제의 중심축으로서의 역할을 수행하고 있다. 그러나 우리나라가 단기간에 세계최고 수준의 IT 강국으로 부상하면서 후발국을 중심으로 국내의 핵심 IT 기술정보를 벤치마킹하거나 이를 입수하기 위해 수단과 방법을 가리지 않는 치열한 정보 스파이 전쟁이 벌어지고 있는 상황이다. 하지만, 국내기업의 보안대책은 아직 걸음마 단계에 머물고 있어 보다 철저한 보안대책을 마련하는 일이 시급해지고 있다. 이에 대비해 일부 대기업을 중심으로 다각도의 노력이 진행되고 있는데, 특히 삼성계열사들은 보안에 있어서도 가장 앞서있다는 평가를 받고 있다.

보안업무의 지속적 보완·강화가 핵심    

삼성그룹 전체의 정보 시스템과 외부기관을 대상으로 IT 아웃소싱 서비스를 제공하고 있는 삼성SDS는 국내의 대표적인 IT 기업으로 보안정책 수립과 보안교육, 그리고 보안분야의 투자에 있어 가장 적극적인 것으로 알려져 있다.

삼성관계사의 시스템 보안을 총괄하는 역할을 담당하고 있는 삼성SDS의 시스템 보안팀은 1995년에 조직됐다. 이와 관련 삼성SDS 정보보안센터 변정수 과장은 “센터 설립 이전, 삼성의 모 관계사에서 전산실 오퍼레이터에 의한 정보유출 사건이 발생했고, 이를 계기로 기업보안의 중요성을 인식하게 되어 시스템 보안팀이 탄생하게 됐다”고 말했다.

1996년에는 외부 전문 컨설팅 회사의 도움을 받아 보안정책 및 지침, 기술 가이드 등 기본적인 골격을 구축했는데, 바로 이 시기가 삼성에서 체계화된 보안이 시작된 원년이 됐다는 게 변 과장의 설명이다. 

이어 1997년에는 ‘삼성CERT(침해사고대응팀)’가 발족되어 현재 총 80여명이 삼성관계사에서 활동하며, 삼성 보안활동의 한 축으로 자리잡고 있다. 또한, ‘삼성 시스템 보안 인증제’와 ‘삼성 사이버사업장안전등급 인증제’ 등을 시행, 보안등급 부여를 통한 보안강화를 유도하기도 했다. 현재 삼성SDS는 삼성ISAC(정보공유분석센터) 체제를 통한 삼성그룹 보안관리체제의 일원화를 추진하고 있다.

이렇듯 일련의 보안체제 강화방안과 관련 삼성SDS 변정수 과장은 “삼성에서의 보안역사는 관리체제의 지속적인 보완 및 강화로 요약될 수 있다”고 말했다.

IT 환경변화에 대응 가능한 보안 이루어져야  

삼성그룹의 보안팀은 수행역할에 따라 크게 삼성ISAC과 삼성CERT로 구성되어 있으며, 보안전략 수립과 보안기술 지원, 사고대응, 보안수준의 평가 등의 업무를 수행하고 있다. 먼저, 삼성ISAC은 삼성의 종합보안센터로서 삼성CERT, 현장의 보안 책임자, 관련된 협력회사, 자회사 등을 대상으로 보안 커뮤니티를 형성해 종합적인 보안 서비스를 제공하고 있다.

또한, 삼성CERT는 보안의 기술적 측면을 담당하는 전문가 집단으로 운영된다. 즉, 삼성CERT에 의해 분석되고 테스트된 보안 취약점과 이러한 취약점들을 보완하기 위한 대책, 솔루션 등이 삼성ISAC을 통해서 삼성 각 관계사의 관련 업무부서에 전달되고, 각 현장에서는 기획, 개발, 운영의 각 부문에 이러한 보안대책들이 반영되도록 하고 있다.

삼성의 예에서 보듯이 보안팀의 주요업무가 자산을 보호하는 담장역할만 수행하는 시대는 지났다. 보다 근본적으로 정보자산 자체에 대한 보안대책 등 핵심 IT 기술에 대한 유출방지대책 활성화에 보다 노력을 기울여야 할 때다.

Interview

변 정 수 과장 | 삼성SDS 정보보안센터

“정기적인 보안진단 실시로 조직에 긴장 불어넣어야”   

삼성SDS를 비롯한 삼성그룹 보안팀의 인력보안 업무에 대해 소개한다면.

삼성에서는 많은 IT 예산 중 보안예산에 투자를 아끼지 않고 있고, 특히 직원들의 보안교육 강화에 만전을 기하고 있다. 핵심 IT 기술의 유출은 결국 ‘사람’이 주체이므로 ‘사람’에 대한 보안의식을 고취시키고, 책임감을 향상시키기 위해 보안교육과 캠페인 등을 실시함으로써 보안이 생활화될 수 있도록 하고 있다.

삼성SDS는 국내의 대표적인 IT 기업이라고 할 수 있다. IT 기업으로서 보안업무에 있어 가장 주안점을 두고 있는 부분은 무엇인가. 

삼성SDS의 보안팀에서 주로 하는 업무는 보안감사 역할보다는 각 삼성계열사의 보안규정 및 정책들을 실제 업무 프로세스에 구현될 수 있도록 하는 등의 구조적 접근방식을 취하고 있다. 일례로 삼성에서는 정보 시스템 부문을 대상으로 정보 시스템에 대한 개발과 운영의 방법론으로서 ‘E-innovator’라는 방법론 도구를 의무적으로 활용케 하고 있는데, 그 가운데 분석단계에서는 보안계획 부분이 포함되어 있다. 

보안팀이 추진하는 궁극적인 목표는 이러한 형태로서 모든 비즈니스 프로세스마다 보안절차를 포함시켜 보안부서에 의한 보안이 아니라 현장의 업무절차 내에서 움직이는 보안체계를 구축하는 것이다.

현재의 IT 환경에서 보안업무를 수행하는 데 있어서 어려운 점은 무엇인가. 

최근의 IT 기술발전 동향을 감안할 때 현재 보안환경은 한마디로 ‘보안담당자의 고난의 시대’라고 정의할 수 있을 것 같다.

종전의 IT 환경에서는 시간, 공간, 기술의 제약으로 보안대상이 한정적으로 존재할 수밖에 없는 ‘Castle Environment’에서 현재는 접속권한 및 작업범위가 적합할 경우 어디서든 원격에서 업무할 수 있는 환경인 ‘Airport Environment’로 급속히 전환되고 있어 보안업무를 수행하는 데 있어 점점 더 어려움을 느끼고 있다.

여타 IT 업체 및 벤처기업에서 체계적인 보안조직을 갖추고 효율적인 보안업무를 수행할 수 있는 방법에 대해 조언한다면.  

기업의 보안수준을 향상시키기 위해서는 ‘보안인증제’와 같은 제도와 보안진단이 정기적으로 시행되어야 한다고 본다. 이러한 보안진단 결과는 최고경영층에게 보고되어야 하고, 결과에 따라 신상필벌이 이루어지도록 해야 한다.  

[권 준 기자(joon@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>