빌 게이츠(Bill Gates)는 “보안은 이제까지 우리가 그 어떤 산업군에서도 겪은 바 없었던 가장 심각하고도 무서운 도전이고 이는 그저 단순한 보안 취약점을 고쳐 나가면 되는 그러한 상황이 아니라 새로운 보안기술 개발에 대한 끊임없는 투자를 필요로 한다”고 말했다. 빌 게이츠의 말처럼 보안은 기업의 생존과 국가경쟁력의 키워드로 등장하고 있다. 그러나 우리는 아직도 이를 인식하지 못하고 사이버공격 및 해킹, 산업 스파이 등으로 인해 우리의 소중한 산업기술이 유출되고 있으며 이로 인해 많은 국부를 낭비시키는 부끄러운 일을 멈추지 못하고 있다.

기업에서 보안사고가 발생될 경우 주가하락 등 직접적인 피해는 물론 고객과 기업간 신뢰관계를 훼손시켜 막대한 영업손실을 일으키고 이로 인해 최고 경영진이 경질돼 경영에 큰 차질을 초래할 수도 있다. 이와 같은 위협을 사전에 방지하기 위해 환경변화에 따른 위험을 분석하고 향상된 보안기술을 개발해 단계적으로 안전한 보안관리 상태를 유지시킬 수 있도록 CEO는 보안 경영체계를 구축해야 한다.

기업에서 무엇보다 중요한 것은 CEO 의지가 담긴 보안정책을 수립해 시행하는 일이고 보안정책은 조직의 중요자산을 안전하게 관리하기 위한 법겚敦?및 관례의 집합으로 내ㆍ외부적, 계획적, 우발적 위협으로부터 정보자산을 보호하는 것을 목적으로 한다.

이와 같은 보안정책은 일반적으로 기업의 경우 보안규정, 보안조직, 보안교육, 보안감사, 보안투자로 분류해 기업 여건에 맞게 수립, 시행한다. 보안규정은 기업의 정보자산을 보호하기 위해 가장 기본이 되는 것으로 전임직원이 보고 실천할 수 있도록 내용이 모호해서는 안되며 표현이 정확하고 선언적이기 보다는 구체적인 실행이 가능하도록 이해하기 쉬워야 한다.

보안조직은 보안전담조직을 구성하는 것이 가장 바람직하나 그렇지 못할 경우 보안 담당자를 임명할 수 있다. 그러나 어떠한 경우라도 보안조직이 없어서는 안되며 사이버교육, 자체교육, 전문가초빙교육 등의 보안교육을 지속적으로 실시해야 한다. 이 외에도 보안감사는 보안업무 실효성 확보 차원에서 전 분야를 1년에 2회 이상 정기 및 수시 감독 활동을 하고 결과에 따라 유공자 포상과 위반자 징계 조치를 병행해야 한다.

보안투자는 보안의 밑거름이지만 당장의 성과로 이어지지 않기 때문에 인색할 수 밖에 없다. 그러나 기술유출 사고가 발생된 기업은 보안의 중요성을 인식하고 과감하게 투자하고 있다. 따라서 기업형편에 맞게 우선순위를 정해 매년 일정비용을 지속적으로 투자하는 것이 바람직하다.

보안정책을 구체화하기 위해 보안경영 통제항목을 수립하는데 여러 내용을 고려할 수 있으나 인적자원관리, 자산관리, 시설관리, IT보안관리로 제한했다.

1. 인적자원관리

인적자원관리는 보안의 주체로서 신규 및 경력 채용자는 채용계약서 작성시부터 신중할 필요가 있고 보안서약서 및 보안교육을 실시해야 한다. 재직자의 경우 통상적으로 연봉 계약서를 작성할 때 보안서약서를 함께 징구하지만 중요 프로젝트에 참여하는 경우는 별도로 비밀유지 서약서를 징구한다. 잊지 말아야 할 것은 높은 이직률에 대비, 차별화된 보상시스템으로 안정을 유지하면서 주기적인 보안교육과 보안점검을 통해 내부자에 의한 기술유출을 방지하는 노력이 필요하다.

퇴직자는 많은 관심과 보안대책이 요구되며 보안담당자는 퇴직자의 정보반납 및 개인정보 삭제, 비밀유지약정체결, 퇴직자 보안교육, 퇴직후진로 및 동향파악 등을 사전에 조치해 문제발생시 유리한 결과를 가져 오도록 한다. 협력업체의 경우 신뢰를 바탕으로 편의성을 우선하는 관행이 있어 어려움은 있지만 기술협력, 기술자문, 투자협정, 컨설팅, 연구개발 시에는 반드시 비밀유지 계약을 체결한 후부터 진행해야 한다.

자산관리는 기본적으로 자산목록(Asset Inventory)대장과 관리책임자가 임명돼 있어야 한다. 자산목록관리 절차는 자산을 분류해 각자산별 소유관계와 등급을 명확히 정의한 후 문서화해 관리한다. 그리고 부서와 회사 간 자산목록 거래방법은 은행의 입출금통장처럼 이뤄지게 하며 안전한 관리를 위해 각 자산별로 접근권한과 반출 및 폐기 절차를 마련해야 한다.

2. 시설보안 관리

시설보안 관리는 중요자산의 침해와 유출을 방지하기 위해 주요시설을 공용구역, 일반구역, 제한구역, 통제구역으로 구분, 각각 보안대책을 마련해 관리하는 시스템이다.

공용구역은 출입문, 로비, 대기실, 엘리베이터, 주차장 등으로 기술유출 및 침해가 발생하는 경우는 드물지만 인원 및 차량 출입통제, 반출ㆍ입 관리, 화상감시 및 방범 시스템을 설치해 비인가자를 통제할 수 있는 보안 대책이 요구된다. 일반구역은 일반사무실, 회의실 등으로 출입 승인만 받으면 쉽게 들어 갈수 있고 보안틈새가 보이면 의외로 유출 및 침해 가능성이 높은 곳으로 출입통제 및 화상 감시 시스템을 이용한 보안대책이 필요하다.

또한 제한구역은 장비실, 전기실, 기계실 등으로 직접적인 기술유출 및 침해 보다는 설비들의 훼손, 파괴, 오작동시 보안위험이 발생되므로 외부인 출입제한에 적합한 통제 및 화상감시용 시스템을 이용한 보안 대책이 효과적이다.

특히 통제구역은 연구소, 중요제품 생산라인, 전산실 등으로 근무자와 승인자 외는 엄격하게 출입을 금지하는 곳으로 출입통제 및 화상감시, 도ㆍ감청 방지 및 전자파 차폐용으로 적합한 보안대책이 강구돼야 한다. 갑작스런 재해로 제한구역과 통제구역에 피해가 발생할 경우 기업경영에 치명적인 결과를 가져오기 때문에 사전에 우발계획을 준비하고 주기적인 자체 훈련과 전문기관 지원사항도 평소에 협조해야 한다.

3. IT보안 관리

IT보안관리는 개인용PC, 노트북, 보조기억매체, 정보관리시스템으로 그 범위를 제한했다. 개인용PC는 ID 및 패스워드, 화면보호기설치(5-10분), 보안용 소프트 설치, 백신프로그램, 중요문서 암호화, 외부 e-mail 사용통제 및 파일크기 제한, PC외부 반출시 저장내용 삭제 및 보안조치, 공유폴더 사용시 암호화, 중요 문서 백업관리 등이다.

노트북 관리는 사용자 식별 및 인증절차로 비인가자 사용금지, 하드디스크내 중요정보 저장금지, 이동식 저장장치 통제, 사전승인 후 외부반출, 노트북 보안서약서 징구 등이다. 또한 보조기억매체 관리 절차는 디스켓, HDD, USB메모리, CD, DVD 등을 관리대장에 등록, 일반용, 비밀용으로 구분, 업무 목적 외 사적 사용금지 및 사용 전 승인을 받고 사용하게 한다.

정보관리시스템은 기업에 맞는 각종 보안 솔류선을 도입해 사용할 수 있으나 미국의 유명한 해커 ‘렌 로즈’의 말처럼 보안은 20%의 기술과 80%의 관리노력으로 유지된다는 것을 한번쯤 생각해 보고 꼭 필요한 장비는 전문가의 도움을 받아 최우선적으로 구축해야 한다.

<글 : 김치홍 중소기업 전문 보안 연구소 소장(kch7987@hanmail.net)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>