대부분의 국내 기업들, 특히 제조업의 경우 보안부서는 HR 조직 또는 지원조직(경영지원, 총무지원)의 하위부서로 편성되어 있다. 그러나 IT 부서는 CIO가 있거나 CIO가 없더라도 CFO 또는 CEO와 아주 가까이 있는 전략기획조직 산하에 편성되어 있다. IT 부서는 보안부서보다 인력이나 예산규모 면에서 비교가 안 될 정도로 크다. 필자는 이러한 조직구성을 통해 경영진의 보안에 대한 인식과 IT에 대한 인식의 차이를 읽을 수 있다고 생각한다. 즉, 경영진에게는 시급성이나 중요성 측면에서 IT가 보안보다 훨씬 더 높다는 것이 냉정한 현실이다.

IT부서는 Business Process 전반에 참여하고 있다. 기존 Process를 분석하여 개선하고 표준화하며 이를 IT 시스템에 반영하여 Business Process의 각 기능들이 효율적으로 운영되도록 돕는다. 경영층의 시야에서 보면 IT 시스템은 경영목표를 효과적으로 달성하기 위해 없어서는 안될 중요한 Tool이다. 때문에 기업마다 IT 시스템을 갖추고 운영하는데 많은 돈을 쓰고 있다.

IT부서 책임자와 보안부서 책임자로 수년간 일 해오면서 IT 부서와 보안부서간의 Teamwork가 얼마나 중요한지 깊이 인식하고 있는 필자로서 이 글을 통해 IT는 많이 중요하고 보안은 그보다는 덜 중요하다고 말하려는 것이 아니다. 오히려 경영층의 인식이 어떠하든 현재 보안부서가 소속된 조직이 어떠하든 무관하게 IT 부서와 보안부서 간의 협력이 기업보안을 효과적으로 수행하기 위해 필수적이라는 것을 더욱 강조하고 싶다.

기업이 보호해야 하는 주요 산업기술이나 영업비밀들은 대부분 PC와 같은 IT 기기들을 포함한 사내 IT 시스템 안에서 관리되고 있으며, 이러한 IT 시스템을 통해 사내에 유통되고 있다. 물론 정보의 대량유출도 대부분 IT 시스템과 IT 기기들을 통해 이루어진다. IT 시스템과 IT 인프라에 대한 보안관리 활동은 IT 부서에 소속된 전문 인력들에 의해 이루어지고 있으니 보안부서는 이러한 전문 인력의 도움 없이 기업보안 활동을 제대로 수행할 수가 없다. 그러므로 보안부서는 기업보안 주관부서로서의 주도권만 주장할 것이 아니라 IT 부서의 전문성을 존중하고 함께 조직적인 R&R을 잘 기획하여 전략적으로 IT 부서를 회사차원의 보안관리 활동에 적극 끌어들여야 한다.

IT 부서는 근본적으로 효율성과 편리성을 추구한다. 이러한 IT 부서의 관점에서 보면 보안부서가 요구하는 것들은 대부분 거추장스러운 통제이며 효율성을 방해하는 장애물로 보여질 것이다. 그러므로 IT 부서가 아무리 보안의 중요성을 인식한다고 해도 그 태생적 한계로 인해 실제로 사내 IT 시스템을 구축할 때는 보안을 간과하기 쉽다. 그러니 IT 부서는 보안부서의 기업보안에 대한 전문성을 존중하고 그들을 사내 중요 시스템의 설계 및 구축단계에 참여시켜 시스템을 통한 정보유출 Risk를 최소화해야 한다.

IT도 중요하고 보안도 중요하다. 그러나 IT와 보안의 Teamwork는 더욱 더 중요하다. 이 두 조직의 특성을 잘 이해하고 서로 Team Play하도록 잘 격려해 주는 경영진이 지혜로운 경영진이라고 말해주고 싶다. 

<글 : 주 차 흠 | LG전자 R&D IT&보안그룹 부장(chahmjoo@hotmail.com)>

[월간 시큐리티월드 통권 제153호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>