흔히들 정보를 유출하기 위한 목적을 가진 주체 또는 수단을 창에 비유하고 이를 지키기 위한 기업의 제반 활동을 방패에 비유하곤 한다. 많은 기업들이 내·외부 위협으로부터 소중한 정보자산을 보호하기 위해 최신 감시장비, 보안전문 인력, 첨단 정보통신 보호장치 등에 투자하고 꾸준히 예산을 편성하여 새로운 위협에 대응하고 있다.

하지만 이러한 최첨단 IT 및 물리적 보안대책 뒤에 한 가지 간과해서는 안 될 중요한 요소가 한 가지 있다. 바로 사람이다. 정작 보안을 침해하는 주체가 사람이고, 그 대부분이 내부자임을 감안할 때 아무리 물리적·관리적 보안대책이 탁월하다한들 마음만 먹으면 방패의 허점을 파고들 수 있다고 보아야 한다. 이러한 방패의 허점 즉 사람을 의식을 제어하고 통제 위한 분야가 바로 정신보안이다. 보안 사고를 예방하기 위해선 무엇보다 내부인의 철저한 보안의식이 밑받침되어야 한다는 것은 누구나 공감하는 사실이며 많은 기업들이 임직원의 정신보안을 깨우기 위해 노력하고 있다.

기업 내에 잠들어 있는 정신보안을 깨우기 위해서는 첫째, 보안을 기업문화로 승화시켜야 한다. 보안담당자들이 생각하는 삼성은 세계최고의 반도체 회사가 아니라 보안이 가장 철통같은 회사라는 것이다. 이는 출퇴근, 회의, 개발, 영업, 수출 등 일상 업무에 항상 보안이 생활화되도록 노력한 결과이다. 이에 다른 기업들도 보안업무를 수행하는 실무자에서부터 CEO까지 이러한 환경이 조성될 수 있도록 적극적으로 지원하고 끊임없는 노력과 연구를 거듭해야 한다.

둘째, 철저한 교육이다. CEO에서 말단사원까지 다양한 방법을 통하여 수시로 교육되도록 시스템화함으로써 회사의 보안정책을 충분히 이해하도록 하고 위반에 따른 관련규정 또는 법규에 의해 어떠한 불이익을 받는지도 충분히 인지시켜야 한다. 이를 위해 보안담당관은 충분한 실무교육과 자격인증을 통한 양질의 보안 서비스를 조직 및 임직원들에게 제공할 수 있도록 노력해야 한다. 또한, 기존의 딱딱한 보안교재, 지루한 교육방식은 가뜩이나 부담 많은 보안과목에 거부감만 더하게 되므로 다양한 매체 또는 정보통신을 활용하여 보안에 보다 친숙하고 쉽게 다가설 수 있도록 하는 것이 보다 효율적이다. 사이버 보안교육, 모의스파이훈련, 보안퀴즈 등의 참신한 교육방법들을 지속적으로 개발하여 임직원에게 흡수되도록 노력해야 한다. 

셋째, 신상필벌과 평가를 명확히 해야 한다. 아무리 규정이나 정책이 잘 만들어져 있다 해도 잘못에 대한 솜방망이 처벌이나 인사평가에 반영되지 않는다면 오히려 독이 되어 보안사고로 돌아올 수 있음을 명심해야 한다. 수범사례는 포상하여 홍보하고, 위규사항은 명확히 처벌하여 경종을 울리도록 해야 하며, 보안위반에 대한 객관적인 평가결과가 승진 또는 보수에 반영되어야 비로소 스스로 보안을 지킬 수 있는 것이다.

물리적·관리적 보안도 물론 중요하지만 결국 사람에 의해 이루어지는 보안 사고를 막기 위해서는 전 임직원을 보안담당관으로 만드는 것이 가장 이상적인 보안이 아닐까 생각하며 잠자는 정신보안을 깨워 생동감 넘치는 보안활동이 유지된다면 정보유출에 대한 걱정을 한시름 놓을 수 있지 않을까 기대한다. 마지막으로 기업의 정보보호 활동은 보안부서나 보안담당관만의 독주가 아닌 임직원이 적극적으로 참여하고 협조하여 하나의 완벽한 화음을 만들어내는 오케스트라임을 강조하고 싶다. 

<글 : 박 계 용 | 한국항공우주산업(주) 보안팀 과장(oti99@koreaaero.com)>

[월간 시큐리티월드 통권 제155호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[시큐리티월드 (info@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>