정보보호 거버넌스 프로젝트를 주도하면서 보안규정을 개정하고 정보보호협의회를 구성하는 등 철저한 보안 의식의 중요성을 강조, 실천하는 포스코의 김도형 정보기획실 정보보호그룹 총괄을 만나 포스코만의 보안 노하우를 엿봤다.   

군복무를 통해 전산통신체계 및 IT운영 실무지식을 체득하고 공공기관(한국정보보호진흥원, 한국전산원 등)에 근무하면서 정보보호기술 연구개발 및 침해사고처리 실무 능력을 갖추게 됐다는 김도형 총괄은 “혁신에 도전하고 윤리적인 기업문화를 갖춘 포스코는 현장중심 경영과 함께 노력하고 도전하는 직원에 대한 지원을 아끼지 않는 회사”라며 애사심을 드러냈다. 특히 그는 포스코가 국내 최초사례로 모든 사내문서를 중앙 서버에 저장시키는 ‘문서 중앙화 프로젝트’를 완료, 회사자료를 산업기밀/영업비밀 보호취지에서 노경협의회와 함께 이벤트(보안서약 및 실천다짐)를 통해 직원들이 보안을 생각하고 실천하는 정보보호 기업문화를 구축하고 있다는 자부심으로 가득 차 있었다.

아울러 김 총괄은 “개인의 발전이 곧 회사의 발전”이라며  “자기계발을 위해 끊임없이 노력하고 회사의 발전을 위해 주어진 업무 외 해야 할 일을 스스로 찾으며 경영진에게 자신의 일이 얼마나 중요한지 꾸준히 어필하는 노력이 중요하다”고 강조했다. 그는 또 “자기계발을 위해 열심히 공부를 하는 한편 업무 과정에서도 문제를 끝까지 해결하려고 하는 노력이 필요하다”며 “그 과정에서 재미를 느껴야 한다”고 덧붙였다. 현재 포스코는 최고정보책임자(CIO)가 비즈니스 프로세스 중심으로 IT 및 보안을 책임지고 있으며 정보보호그룹에서 전사적인 정보보호체계를 운영(기획,진단,IT운영) 하면서 양 제철소의 보안관리조직을 포함하는 정보보호위원회와 부서별 보안담당자 및 그룹사와 정보보호협의체를 구성해 보안이슈 및 현안을 공유하고 있다.

특히 포스코는 제도적 측면에서는 그룹사 차원의 단일화된 보안관리체계의 정립과 글로벌 플레이어로의 도약을 위해 필요한 IT 컴플라이언스 체계 강화, 기술적인 측면에서는 다양한 엔드 포인트 솔루션의 효율적 운영과 전사적인 협업 및 소통을 강화하기 위한 ‘Smart-Work 추진’에 따른 신규 ICT 환경(모바일 보안 등)에서의 안전한 서비스 제공을 위한 보안체계 구축을 기획하고 있다.

김 총괄은 “향후 차세대 정보시스템의 보안기술의 예측을 위해 융합기술(Convergence Technology)과 비즈니스 중점기술(Business Driven Technology)을 연구하고 정보시스템의 효율적 운영과 정보보호가 내제화된 프로세스(정보유출 방지체계, 정보시스템 로그관리)를 구축할 예정”이라고 밝혔다.

정보보호, 기업활동의 ‘필수가결’

김 총괄은 기술경쟁 심화로 회사 기술정보를 경쟁사에 제공하거나 경기회복 시점의 기업 M&A를 통한 발생할 수 있는 정보유출 사고를 우려했다. 정보보호의 중요성을 알기 때문에 보안이 기업활동에 미치는 영향을 누구보다도 더 잘 이해하고 있는 것이다. 그는 “모든 조직에서 효율성 및 생산성을 위해 아웃소싱(out-sourcing)을 활용하고 있고 회사의 규모에 따라 계열사와 출자사도 존재한다”며 “이 경우 개인정보 및 기술정보를 공유하게 되는데 철저한 보안관리가 이뤄지지 않을 경우 사고로 연결되는 경우가 많다”고 지적했다.

그는 또 “이에 따른 문제점을 개선하기 위해 프로세스를 재설계하거나 핵심 프로세스를 인소싱(in-sourcing)하는 방안을 검토해야 한다”고 덧붙였다. 특히 김 총괄은 외국에 비해 R&R(Role and Responsi bilities)이 정립되지 않고 업무 프로세스가 명확하지 않은 점을 국내 보안 관리의 큰 문제점으로 꼽았다.

또한 그는 “기업마다 학문적, 실무적인 지식소양을 갖춘 정보보호 전문가들을 많이 봤지만 회사마다 고유한 기업문화와 상이한 업무 방식에도 불구하고 정보 보호에는 획일화된 기준을 적용하고 있다”며 “정보보호 기업문화 정착을 위해선 기업에 적합한 정보보호관리체계를 구축하고 비즈니스 마인드로 무장된 보안 담당자가 양성돼야 한다”고 주장했다.

그가 바라보는 보안 담당자의 모습으로는 첫째, 기술 전문가로서 인터넷 프로토콜 및 IT운영관리를 공부해야 하고 고도화된 비즈니스 프로세스를 이해하기 위해 자신의 업무와 더불어 트렌드에 관심과 통찰력을 키워야 하며 둘째, 법 제도의 이해와 문서작성 및 갈등 관리를 위한 커뮤니케이션 능력을 배양해야 한다고 설명했다.

아울러 김 총괄은 “보안 담당자의 양성과 함께 중요한 것은 회사의 보안 마인드”라며 “포스코는 직원들에게 기업의 보안 수준을 향상시키는데 일조할 수 있도록 참여를 독려하고 보안 교육 등 다양한 활동을 통해 충분한 보안 지식을 숙지할 수 있도록 노력하고 있다”고 설명했다.

이와 관련 포스코는 정보보호 신고센터를 수시로 운영하고 있으며 인식재고 설문 및 보안캠페인을 연중 진행하고 있다. 올 초에도 정보보호 캠페인을 전개해 높은 호응을 이끈 바 있다. 이는 회사의 영업비밀과 핵심기술 유출이 대부분 전곀痴?직원에 의해 이뤄진다는 점에서 직원 개개인의 정보보호 실천의 중요성을 다시 한 번 강조하기 위한 취지에서다.

그는 “향후 정보관리와 정보취급인력 교육을 보안관리의 핵심으로 삼아 비즈니스 리스크를 발굴하며 정보보호를 실천하는 기업 문화를 만들기 위해 기업 리스크 관리체계를 구축할 것”이라며 “기업에서 정보보호가 경영관리 요소로 굳건히 자리매김하기 위해 완벽한 보안이 아닌 ‘최적대응’과 정보보호 체계의 ‘가시화’를 통해 현재의 개념적인 정보보호 수준을 구체적인 사실과 현실적인 내용으로 경영진과 소통하겠다”고 포부를 밝혔다.

<글 : 호애진 기자(is@boannews.com) 사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>