| 공유는 신속원활하게 보안은 철저하게 | 2010.04.10 |
현대중공업 경영지원본부 김 태 홍 상무
이 남자가 말하는 보안완전정복 우리나라 조선산업이 오랫동안 세계 1위를 지켜오고 있는 데에는 조선업계 부동의 세계 1위 업체인 현대중공업이 앞장서서 국내 업계를 이끌어온 영향이 매우 크다. 더욱이 몇 년 전부터는 태양광 산업에도 적극 뛰어들어 녹색산업 분야에서도 관련 시장을 리드하고 있다. 이처럼 현대중공업이 오랫동안 공격적인 경영을 해오며 성장할 수 있었던 배경에는 핵심기술에 대한 철저한 보안대책과 몸에 밴 보안의식이 뒷받침됐기 때문이라는 평가가 많다. 이에 본지에서는 현대중공업의 실질적인 CSO(Chief Security Officer)로써 회사의 보안업무를 진두지휘하고 있는 김태홍 상무와 인터뷰를 진행했다.
그간 현대중공업에서의 근무경력에 대해 간략히 소개한다면. 1985년 현대그룹 대졸신입사원으로 입사한 후, 1986년 초대형 사업장인 현대중공업으로 발령 받아 오랫동안 정보통신 업무를 담당해왔다. 입사 당시만 해도 정보통신 업무는 규모가 작았지만 전사적인 업무자동화가 추진되고, 사회 전반적으로 정보화 사회가 도래하면서 정보통신 업무의 비중도 점차 높아졌다. 이를 따라잡기 위해 개인적으로도 계속 발전해왔다고 생각한다. 특히, 우리 회사는 중후장대형 전통산업임에도 최고경영진의 정보화에 대한 확고한 의지와 지원이 있었고, 전산 및 정보통신 분야에 종사하는 직원들이 끊임없이 개선활동을 펼쳐왔으며, 이와 함께 최근의 화두인 IT 융합을 지속적으로 추진해온 결과 현재는 어느 회사에 뒤지지 않는 효율성을 갖춘 업무 정보화를 이룰 수 있었다. 이러한 노력이 오늘날 현대중공업이 세계 최고의 중공업 업체로 우뚝 서는데 일조하고 있다고 자부한다. 보안담당자의 제1덕목은 커뮤니케이션 능력 산업보안 분야에 관심을 갖게 된 계기와 그 시기는. 전공이 정보통신공학이기 때문에 1980년 군 생활을 할 때부터 통신보안 업무를 담당했고, 1985년 입사 후에도 정보통신 분야의 업무특성상 보안을 항상 염두에 두고 업무를 진행할 수밖에 없었다. 그러다 인터넷이 상용화되기 시작한 1990년대부터 직접 네트워크 보안팀을 운영하면서 많은 비용과 노력으로 완성된 회사기밀이 네트워크를 통해 순식간에 빠져 나갈 수 있다는 사실을 실감할 수 있었다. 이 때부터 보안의 중요성을 더욱 인식하게 되었고, 보안 분야에 해야 할 일이 너무나 많다는 것을 뼈저리게 느끼게 됐다.
보안업무도 시대 변천에 따라 유형이나 수법, 대응방법에 많은 변화가 있었을 것으로 보는데, 현대기업에 있어 보안체계의 역할과 중요성을 어떻게 보나. 현재의 기업 업무환경은 컴퓨터, 인터넷과 전자메일 등의 첨단정보 시스템과 결부되어 있기 때문에 대량의 정보, 자료가 순식간에 지구 반대편으로 나갈 수 있는 취약점이 너무나 많다. 더욱이 멀리 떨어진 곳에서도 해당기업을 직접 노리는 해킹, DDoS 등 가공할 수준의 수법들이 존재하고 있는 현실이므로, 전통적인 개념의 오프라인 보안만으로는 한계가 있다고 본다. 따라서 IT 분야에 전문지식을 보유한 인원과 첨단 시스템으로 구성된 보안체계를 구축해 운영해야만 이러한 위험에 효과적으로 대응할 수 있다고 생각한다.
기업의 보안담당자들은 어떤 능력과 덕목을 갖춰야 한다고 생각하나. 여러 가지 능력 중에서 특히, 보안담당자에게는 커뮤니케이션 능력이 가장 중요하다고 생각한다. 기업의 경우 서로 다른 일을 하는 여러 부서들이 있고 부서들마다 각각 업무특성이 다르다. 이로 인해 여러 부서가 함께 일을 하는 경우, 부서 간의 업무진행 과정에서 개선해야할 부분과 함께 보안 측면에서 취약점이 존재할 가능성이 높다. 각 부서의 업무실정을 객관적인 위치에서 잘 파악할 수 있고 부서 간의 의견조율과 함께 적절한 해법을 제시할 수 있는 역할은 보안부서만이 제일 잘할 수 있다고 본다. 그러한 노력을 통하여 보안부서가 사업부서와 따로 가는 조직이 아니라 비즈니스에 도움이 되는 조직으로 인정받을 수 있고 리더십을 확보하여 효과적으로 보안정책을 펼쳐나갈 수 있다.
보안업무를 수행하는 데 있어 가장 중요한 원칙은 무엇인가. 우리나라도 인터넷 대란, DDoS 사태, 그리고 가끔 보도되는 기술유출 사건으로 어느 정도 보안의 중요성을 인식하고 있는 것 같다. 그러나 아직도 대기업을 제외하고는 보안체계를 제대로 갖추고 있는 회사가 많지 않은 실정이다. 특히, 중소기업의 경우는 아직도 매우 심각한 수준인 것 같다. 이런 상황을 돌아보면 지금 보안에 종사하는 사람들은 모두 보안의 개척자라는 생각과 자부심을 갖고 일을 했으면 하는 바람이다. 보안업무를 수행함에 있어서 한 가지 중요한 점은 보안업무는 회사의 사업방향과 같이 가야한다는 것이다.
보안만을 지나치게 내세워 회사업무가 지장을 받게 해서는 안 된다. 보안업무가 회사에 어떻게 기여하는지를 객관적이고 구체적으로 제시하여 회사에 도움이 되고 비즈니스 방향과 일치함을 항상 보여줄 수 있도록 노력해야 하는 것이다. 그렇게 하는 것이 보안부서 직원들에게도 용기를 줄 수 있고 더 신이 나서 일을 할 수 있는 환경을 만들어 주는 것이다. 아울러 경영층과 구성원들의 지원을 받아서 더 보안을 잘할 수 있게 되니까 궁극적으로 회사의 중요한 자산도 보호하고 개인도 발전할 수 있지 않을까 싶다.
기본을 지키는 것, 그것이 보안 기업의 보안수준을 높이기 위해서는 기업체 CEO들의 보안마인드를 향상시키는 일이 선행되어야 하는데, 이와 관련해서 국내기업체 CEO들에게 강조하고 싶은 말은. 보안은 특별한 것이 아니라고 생각한다. 기본을 지키는 것, 바로 그것이 보안인 것이다. 회사에서는 기본적인 예절과 근무수칙을 잘 지키고, 협력회사나 고객과의 관계에서는 ‘상도의’를 다하는 것이 곧 보안이라고 생각한다. 이러한 기본을 회사 구성원들이 제대로 지키지 않는 분위가가 만연되어 있으면 회사경영에도 악영향을 끼칠 것임은 분명하다.
외국의 글로벌 기업과 비교했을 때 국내 보안업무 수행에 있어 가장 큰 문제점과 개선할 부분이 있다면. 일찍부터 선진국으로써 보호해야할 기술이 많은 글로벌 기업과 그러한 기업에서 기술을 전수받아온 우리와는 보안에 대한 인식과 업무관행에서 많은 차이가 있는 것 같다. 그러나 최근 우리 기업도 세계적인 경쟁력을 갖추게 되면서 그동안 염두에 두지 않던 보안이 큰 문제로 대두됐고 이에 기존 시스템과 관행을 갑자기 바꾸려고 하니 여러 가지 어려움에 직면하게 되는 것이라고 생각한다. 거듭 강조하지만 이러한 환경에서는 보안담당자들이 더욱더 세밀하게 문제를 파악하고, 정교하게 보안체계를 구축함으로써 구성원들에게 업무불편을 최소화하고 새로운 업무관행이 정착되도록 지속적으로 교육과 홍보, 캠페인 활동을 전개해 나가야 한다.
현대중공업의 경우 국가에서 지정한 국가핵심기술을 보유하고 있는 것으로 알고 있는데, 국가핵심기술에 대한 별도의 보안대책이 있다면. 우선 국가핵심기술과 관련된 업무를 하는 부서를 선정하고, 그 구성원들이 무엇을 해야 하는지 명확하게 가이드라인을 제시한 상태다. 또, 그것이 잘 이행되는지 지속적으로 모니터링 하고 있으며 어떠한 위험이 있었는지 반드시 피드백 과정을 거치고 있다. 아울러 관련 정부기관과 긴밀히 협력하여 관련정보를 공유하고 있고, 정부기관의 전문 강사도 초빙하여 사례중심의 교육을 실시하는 등 구성원들의 보안의식과 관심을 높이는데 만전을 기하고 있다. 회사가 세계 최고의 경쟁력 유지하는데 일조할 것 기업보안에 있어 가장 중요한 부문 가운데 하나로 대다수의 사람들이 인력관리를 꼽고 있다. 기업에서의 가장 효과적인 인력보안 대책은 무엇이라고 보나. 회사에서 공을 들여 교육시키고, 다양한 경험을 쌓은 핵심인력이 하루아침에 경쟁사로 가거나, 불미스런 보안 사고를 일으킬 때 회사 측면에서는 막대한 손실이 아닐 수 없다. 다행히 현대중공업 직원들은 국가경제에 큰 역할을 담당해오고 있다는 자부심을 가지고 있고, 또한 상생과 협력이라는 아름답고 모범적인 노사관계를 유지하고 있기 때문에 다른 어떤 회사보다도 주인의식과 회사에 대한 애착이 남다른 편이다. 전 구성원이 가장 좋은 회사, 자기의 인생을 걸어도 되는 회사라는 생각으로 애사심을 가지고 회사규정을 실천할 때 가장 높은 수준의 인력보안이 이루어질 것으로 생각한다.
기업보안 강화를 위한 정부와 국가정보기관의 가장 큰 역할은 무엇이라고 보나. 또한, 이들과의 협력관계는 어떻게 진행해나가고 있는지 궁금하다. 민간기업 차원에서 보안 대응에 한계가 있는 분야는 국가기관에서 적극 지원해야 하고 또 기업은 먼저 손을 내밀어야 한다고 생각한다. 현대중공업은 수년전부터 관련 전문기관들과 협약을 체결하고 이러한 부분에 공동대응하고 있다. 이로 인해 많은 위험도 피할 수 있었고, 보안에 대한 직원들의 인식과 회사의 보안관리 수준이 향상되는 등의 효과도 거두고 있다. 특히, 해킹, DDoS 등의 문제는 어느 특정한 기업만 대응해서 되는 것이 아니기 때문에 많은 기업들이 참여하여 공동대응체계를 갖추어 나가야만 7.7 대란과 같은 국가 전체적인 혼란 상황을 근본적으로 막을 수 있다고 생각한다. 아직까지 많은 기업들이 정부기관의 역할에 대하여 알지 못하거나 반신반의하는 경향이 있는데, 정부기관에서도 민·관 세미나 등을 수시로 개최하는 등 협력사업을 구체적으로 알리는 노력이 필요하다고 본다.
CSO(Chief Security Officer)로 재직하는 동안 현대중공업의 보안강화를 위해 이루고 싶은 목표가 있다면. 서두에도 밝혔듯이 정보의 공유는 신속하고 원활하게 하면서 보안은 철저하게 할 수 있는 보안체계를 구축하는 것이 목표라고 할 수 있다. 공유와 보안이라는 동전의 양면 같은 이 두 가지 현안을 효과적으로 해결하여 현대중공업이 세계 최고의 경쟁력을 유지하는데 일조하고 타 기업에도 좋은 본보기가 되어 전체적으로 국내보안 수준을 향상시키는데 조금이라도 도움이 되었으면 하는 바람이다. <글 : 권 준 기자> [월간 시큐리티월드 통권 제157호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
최근 현대중공업의 보안업무 가운데 최근 어느 측면에 초점을 맞춰 업무를 진행하고 있나.