2004년 인도네시아에 쓰나미가 왔을 때 모 글로벌 기업은 구조대를 파견해 자사 인원의 안전을 지원했다. 당시 인도네시아에는 현지 지사 직원 뿐만 아니라 휴가차 방문한 직원들도 있었는데 이들 모두가 구조대의 보호 대상이었다고 한다. 또한 모 글로벌 기업은 특정 사업 분야에 핵심 인력들이 한꺼번에 항공기 등을 이용해 출장을 갈 때 서로 다른 항공기를 사용해 혹시나 발생할 수 있는 재해에서 기업의 피해를 최소화 하려고 한다. 선진국의 경우 국가적인 차원에서 자국민이 해외 여행을 떠날 때 해당 국가에 발생할 수 있는 만약의 사태에 대비해서 여러가지 방법으로 위기 상황을 전달하려고 하고 있고 실제 상황이 발생했을 때도 이에 대한 빠른 구제를 위해 노력하고 있다.

그렇다면 앞에 언급한 기업의 경우 해외 사고 및 자사 직원들의 피해 상황에 대해서 빠르게 정보를 수집하고 대처하는 인력이 존재하는데 이들은 주로 보안 파트에 속해서 업무를 진행한다. 그에 비하면 국내 대다수의 기업의 경우 직원의 안전을 보호하고 사고 발생시 대응하는 역할을 하는 전문적인 업무 분야가 전무한 상황이다.

그렇다면 왜 글로벌 기업은 재해, 재난 등의 예기치 못한 사태에 대해 적극적으로 예방 업무와 대응 업무를 수행하는 것일까? 그것은 근본적으로는 임직원이 기업의 중요 자산 중에 하나이고, 그렇기 때문에 기업이 적극적으로 보호해야 할 대상이 되는 것은 당연한 것이다.

이처럼 기업 입장에서 보호해야 할 대상에 대한 보호 업무를 일반적으로 기업보안이라고 한다. 기업보안의 대상이 되는 것은 기업의 자산인 사람, 물건, 정보 등으로 분류될 수 있다. 사람은 임직원이고 물건은 기업의 물리적 자산, 정보는 기업의 지적 자산 등으로 분류할 수 있다.

불행히도 우리나라의 기업 보안은 정보보안, 그 중에서도 IT보안에 치중하고 있으며 그것도 IT보안 사고 대응 보다는 예방 영역에만 집중해 많은 인력과 비용을 지출하고 있다.

경영진 입장에서는 적지 않은 인력과 비용을 집중하고 있는 보안 부분이 제대로 운영되고 있는가를 알고 싶을 것이다. 하지만 그 답은 긍정적이지 않다. 실례를 들어 보자면 최근 기업이 가장 관심을 가지는 산업 기술 또는 개인정보 유출 사건에 대해서 생각해 보겠다. 대다수의 정보유출이 전 현직 직원 또는 협력사 직원을 통해서 이뤄지고 있다. 만약 당신의 회사에서 이런 사건, 사고가 발생했을 때 현재의 IT보안, 그 중 예방에 치중된 IT보안 체제로 신속한 대응이 가능할까? 그 답은 No다. 왜냐하면 해당 사고는 기업 보안 영역에서 총체적으로 예방 및 대응 활동이 이뤄져야 하는데 이를 현재의 IT보안 부서에 책임을 지우는 것은 너무나도 과도한 일이기 때문이다.

즉, 우리 기업이 보안 분야에 투자하고 있는 것은 IT 보안 영역에 치중되고 있는 것이고 해당 영역의 투자만으로 기업이 직면하고 있는 보안 사건, 사고를 적극적으로 대처하는 것은 불가능 하다는 이야기다. 경영진은 단순히 IT보안이 아닌, 정보보안도 아닌, 기업의 자산과 관련된 위험 예방 및 대응이라는 기업보안 영역으로 시야를 확대해야 하고 이에 대한 준비와 투자가 필요하다.

<글 : 윤오영 대표이사 | 레드아이포렌식스>

[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>