글로벌 금융기업으로 매트리스 조직구조에서 견제와 균형을 이루면서 업무지시와 의사결정이 이뤄지는 한국씨티은행의 이성규 CSIS부 부장은 “장기적 안목에서 볼 때 보안을 위한 선행적 투자가 결국 비용을 더 절약하는 길이라는 것을 인식하는 사회적 분위기가 중요하다”고 말했다.

한국씨티은행 보안책임자로 만 5년을 근무해 온 이성규 CSIS 부장은 “씨티그룹은 전세계 100여 개국에서 영업하는 세계 최고의 글로벌화된 금융기업으로 한국씨티은행에서 근무하면서 전세계에 친구를 많이 만들 수 있었다”며 “보안사고를 조사하다 보면 다른 나라의 보안책임자들의 도움이 필요하고 다른 나라의 보안책임자들도 한국사람이 결부된 사고를 조사할 때 나의 협조가 긴요하다 보니까 자연스럽게 친분이 쌓이게 됐다”고 말했다.

그는 또 “한국씨티은행에 근무하면서 얻는 매력 중 하나는 글로벌 기업구조와 업무절차에 대한 이해”라며 “매트리스 조직구조에서 견제와 균형(Check and balance)을 이루면서 업무지시와 의사결정이 이뤄지는 과정은 한국과 같이 상급자중심의 단일 의사결정 체계 구조에서는 배울 수 없는 귀중한 경험과 문화를 배울 수 있다”고 자부심을 드러냈다.

그러나 이성규 부장은 “200년의 역사를 가진 씨티은행가 이미 만들어 놓은 보안정책을 적용하고 수행하는 데에만 몰두해 오지 않았나 생각한다”며 “한국적 특수성에서 오는 보안위협 분석에 더 많은 시간을 할애할 것”이라고 힘줘 말했다.

금융보안은 다른 산업보다도 많이 다르고 복잡하다. 은행 지점에서는 항상 현금과 같은 재화가 영업시간 동안 잠재위협으로부터 노출돼 있고 또한 잠재위협이 직원들과 항상 접촉하고 있다고 볼 수 있다.

금융보안은 다른 산업보안과 달리 위협으로부터 대응시간에 여유가 매우 부족하다. 그래서 한국씨티은행은 사전적인 감시수단과 대응수단이 많이 설치돼 있고 보안요원도 필수적으로 배치하고 있다. 좁은 공간에 수십대의 CCTV, 비상감지장치, 비상벨 등이 설치돼 운영되고 있으며 감시자료들은 상당기간 보관해 사후 추적이 가능하도록 돼있다.

그는 “최근 고객정보 보안도 중요한 보호대상으로 실수로 직원에 의한 고객정보 누출을 방지하기 위해 모든 PC의 USB사용은 원칙적으로 금지돼 있고 모든 고객자료는 암호화해 보관하고 있다”며 “서류는 쇄절하고 페기되는 PC들도 책임부서가 수거해 소프트웨어적으로 하드웨어적으로도 완전파기를 실시하고 있다”고 설명했다.

내부통제에 대한 수단 강화해야

최근에 발생하는 기업 보안사고는 주로 기업 기술정보 누출사고가 주된 유형이다. 이는 경영진의 기술 누출에서 오는 피해에 대한 심각성 부족과 직원들의 기술누설에 대한 죄의식 부족에서 오는 현상이다. 특히 회사 돈 몇 백만원을 훔치는 것은 엄청난 죄라고 생각하나 회사의 기술정보를 훔치는 것은 큰 죄라고 생각하지 않는 경향 때문이다.

이성규 부장은 “최근 기술보안 사고는 대부분이 외부로부터의 위협에 의한 것이 아니라 내부통제 실패에서 오는 결과”라며 “이러한 현상은 보안에 투자할 여력이 없는 중소기업뿐만 아니라 국내 굴지의 대기업에서도 똑같은 현상이 일어나고 있기 때문에 내부통제에 대한 수단을 강화해야 한다”고 강조했다.

특히 그는 직원 보안교육을 가면 현대 소나타 자동차와 독일 벤츠 자동차가 가격 면에서 왜 그렇게 큰 차이가 나는지에 대해 물어본다고 한다. 유럽형 자동차는 의자를 딱딱하게 만들어 오히려 안락함은 소나타가 났고 최고 속도도 비슷한 데 말이다.

이성규 부장은 그 차이를 ‘안전성’에서 찾았다. 사람들은 비싸더라도 안전한 차를 선호하기 때문이라는 것. 이와 같이 비싸더라도 안전한 차를 선호하는 것이 중요한 만큼 회사도 보안이 잘 돼있는 회사가 더 좋은 회사라는 사회적 인식이 중요하다는 것이 그의 지론이다.

그는 “장기적 안목에서 볼 때 보안을 위한 선행적 투자가 결국 비용을 더 절약하는 길이라는 것을 인식하는 사회적 분위기가 중요하다”고 밝혔다.

고진감래(苦盡甘來)

이성규 부장 역시 대다수의 보안 전문가가 느끼는 어려움에 직면하고 있다. 보안정책과 규칙을 엄격히 적용할수록 많은 직원들이 보안으로 인한 불편함을 토로하고 있기 때문이다. 보안의 중요성을 이야기하면 다들 수긍하고 동의하지만 당장 내가 불편하면 어떻게 나는 예외를 인정 받을 수 없는가 하고 요청한다는 것. 그러나 그는 직원들에게 보안의 중요성을 교육하고 인식시키는 것 뿐만 아니라 불편함을 감내시키고 체질화 시키는 것까지가 매우 중요하다는 것을 누구보다 더 잘 알고 있다.

그는 “체질화까지에는 많은 시간과 노력 및 전략이 필요하다”며 “보안책임자 입장에선 이러한 강요와 반발 그리고 체질화까지의 긴 시간을 참고 견뎌야 하는 인내가 요구된다”고 말했다.

그러나 노력에 대한 가시적 성과가 나타나고 그 성과에 대해 좋은 평가를 받을 때, 기쁨은 두배가 된다.

그는 “초창기에 나타난 약간의 사고들이 점차 개선돼 이제는 몇 년 동안 1건의 사고도 없는 것을 보면 내 스스로 뿌듯함을 많이 느낀다”며 “몇 년 전 씨티 아시아태평양지역 Country 보안책임자 중에 최우수직원으로 선발돼 멕시코에서 개최된 씨티 글로벌 보안책임자 컨퍼런스에서 아시아태평양보안팀 전체를 대표해 발표했을 때 큰 보람을 느꼈다”고 웃음지었다.

<글 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>