기업이 핵심적인 기업자산을 효과적으로 보호하기 위해서는 보안 리스크 관리에 대한 경영진의 합리적인 인식과 지원, 온·오프라인에 대한 전문성을 갖춘 보안조직, 그리고 구성원의 보안에 대한 의식제고가 함께 어우러져야 효과를 거둘 수 있다.

그러나 우리나라 기업들은 보안업무를 IT 보안 업무로만 치부하거나 경영전략이나 경영진 수준의 보안관리가 아닌 세부적인 방법론에 몰두하고, 보안장비와 같은 하드웨어를 늘리는 것이 보안의 최선책으로 인식하는 경향이 있다.

최근 발생하고 있는 산업기술 유출의 대부분은 내부자와 관련되어 있으며, 대부분의 핵심기술 유출통로는 온라인이 아니라 오프라인을 통해 이루어지고 있는 실정이다. 예를 들어 USB, 외장하드 등과 같은 휴대용 메모리 기기를 이용한 유출이 상당 부분을 차지한다고 볼 수 있다.

따라서 IT 보안 중심의 첨단 보안장비를 갖추고 온라인 감시를 강화한다고 해서 기술유출 문제가 해결되는 것은 아니다. 그러므로 기술유출 통로의 일부분인 온라인 감시에 보안투자를 집중할 것이 아니라 기업의 핵심적인 비즈니스 프로세스를 어떻게 효과적으로 관리하느냐가 기업보안 관리의 성패를 좌우한다는 패러다임의 변화가 요구된다.

이에 외국의 많은 주요기업들은 이미 기업보안 정책과 함께 보안 리스크 관리전략을 수립하고, 모든 사업장을 유기적으로 조직화하여 보안업무를 효과적으로 수행하는 최고보안책임자(CSO : Chief Security Officer)를 두고 있다. 이에 반해 우리나라는 대기업조차도 실제적으로 보안정책의 수립이나 CSO 업무를 수행하는 독립적인 조직을 운영하는 기업은 거의 없는 실정이다. 이는 매우 안타까운 현실로 국내 기업도 하루빨리 보안 리스크 관리전략을 수립하여 실행할 수 있는 CSO 조직을 두어야 한다. 이것이 우리 기업의 보안수준이 한 단계 업그레이드 될 수 있는 지름길이다. 

<글 : 강 현 우 LS전선 보안관리팀장(khwoo@lscable.com)>

[월간 시큐리티월드 통권 제163호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>