먼저 보안담당자란 직업은 일반 사람들이 생각하는 것과 실제는 많이 다른 것 같다. 이는 보안의 영역이 워낙 넓어 각자가 상상하는 업무가 다르기 때문이다. 보안업무를 맡고 있는 입장에서 보안업무는 크게 두 가지로 나누어 볼 수 있다. ‘지키고 싶은 것’과 ‘지켜야 할 것’이다. 너무 단순하게 바라보는 측면도 있지만 본인의 성향, 관심, 능력 등이 보안이라는 업무 특성상 많이 녹아날 수 있기 때문이다. ‘지키고 싶은 것’은 아마도 순전히 보안담당자가 됐다는 사명감에 불타올라서 나열된 일거리들이거나 본인이 알고 있는 지식에 근거해서 만들어낸 업무들이다. 일반적으로 보안담당자가 회사에 나타나면 무슨 업무를 하는지 대부분 모른다. 아주 드문 경우지만, 본인도 모를 수 있다.

그럼 보안담당자라는 관점에서 무엇을 해야 하나를 생각해 보면, 가장 쉽게 눈에 띄는 출입통제가 있다. 즉, 건물 자체의 출입관리에서부터 전산실, 사무실 출입관리가 여기에 포함된다. 좀더 세밀하게 들어가면 부서마다 부서 안에 또 다른 구역이 있는 경우가 많고,  평범한 사무실이라 해도 보안이 필요한 구역이 있기도 하고 필요 없는 구역이 있기도 하다, 전산 분야에서 종사한 경우라면 방화벽이나 논리적인 접속관리를 ‘지키고 싶은 것’ 범주로 많이 넣어서 주 업무로 삼게 된거나 그러한 것들만을 주 업무로 삼고 싶어 한다. 논리적인 접근이라 하면 시스템에 접근 권한부터 인터넷을 사용하는 권한, 메일 시스템을 사용하는 권한, 각종 업무용 프로그램을 접속하는 권한 등 상당히 세밀화 되어야 하는 것들이 많고 전문지식을 요하는 것이 대부분이다. 물리적인 보안과 비교해 보면, 같은 보안이지만 또 다른 세계인 것이다. 또 한 가지 절대 간과해서는 안 되는 영역으로는 회사 경영방침의 일부분으로 보안정책이 있을 것이다. 보통의 경우 인식이 미흡한 부분이지만 보안에 있어서 그 어느 분야 못지 않게 중요한 분야이다.

이렇게 단순하게 ‘지키고 싶은 것’만 살펴보면 단순하게 접근할 수도 있고 상당히 깊이 있게 접근해야 할 필요성도 있다. 그러면 ‘지키고 싶은 것’만 하면 훌륭한 보안이라고 할 수 있을까? 일단 짧은 기간동안이라면 업무만족도는 높다고 할 수도 있겠다. 원하는 부분만을 하다보면 반드시 해야 하는 보안 영역을 업무 영역에 충분히 포함시키지 못하거나, 너무 한 곳에서 집중하여 필요 이상으로 보안 수준을 높게 가져가서 다른 업무 영역에 도움이 되지 못할 수 있다. 보안이 문제를 예방하는 역할을 하기 보다는 보안을 위한 보안으로 전락해서 보안 수준을 적절히 운영하지 못하고, 마치 회사의 사활에는 관계가 없는 그 무엇인가로 비쳐지기도 하는 것이다. 보안은 처음부터 모든 영역에 걸쳐 있어야 하고 댐처럼 사방팔방 어느 곳도 허술해서는 안 되는 것이어야 하는데 지키고 싶은 것만을 강조하면 스스로가 고립만 되고, 그 자체가 구멍이 될 수도 있다. 그래서 점차로 ‘지키고 싶은 것’에서 ‘지켜야 할 것’으로의 전환에 대해 곰곰이 생각하게 되는 것이다.

그러면 어떻게 하는 게 보안담당자로서 적절한 것인가. 우선 ‘지키고 싶은 것’에서 출발하기 보다는 반드시 ‘지켜야 할 것’을 하나 둘씩 정의해 가면서 늘려 나가는 것으로 방향을 잡는 게 보안이 고립되거나 소외되지 않는 방법으로 바람직하다고 본다. 지켜야 할 것은 처음부터 사내의 기본 정책으로 정의되고 범위가 정해져 최고관리자의 지원에 의해서 진행되는 것을 기본으로 한다. 그러면 모든 구성원의 지지와 협조를 얻어서 보안수준을 확립할 수 있기 때문이다.  

<글 : 이 종 화 HSBC은행 보안담당이사(jukelee@kr.hsbc.com)>

[월간 시큐리티월드 통권 제164호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>