오늘날의 세계는 국가간 또는 기업간에 경제적인 국경이 없어지고 전 세계가 하나의 단일화된 시장으로 나아가고 있다. 이에 인적ㆍ물적 교류가 빈번하고 외국인 취업자가 증가해 국내 거주 외국인이 100만 명에 이르고 있다. 따라서 이들에 의한 기술유출 가능성이 그 어느 때보다도 높은 실정이기 때문에 기업의 실정에 맞는 보안관리가 중요한 키워드로 등장했다. 그리고 기업에서는 최첨단 기술력의 확보가 기업의 흥망 성쇠를 판가름하는 중요한 요소가 되자 경쟁기업에 대한 핵심정보의 수집 노력을 치열하게 전개하게 됐다.

기업의 입장에서 보면 많은 연구개발비를 투자해 쌓아온 핵심기술이 불법 유출된다면 국가 경쟁력은 물론, 대외경쟁력 강화에 심각한 타격을 입기 때문에 이들 기술들을 보호하는 산업보안 관리의 생활화는 이제 기업의 생존문제가 걸린 중요한 키워드가 됐다.

실제로 몇 해 전에 우리나라의 중견 벤처회사인 A사에서 양방향 단말기 핵심기술 외국인 전문가 B를 채용했는데 약 1년 정도 근무하던 도중에 처우 및 주거환경 불만 등을 이유로 돌연 출국하면서 핵심기술 자료를 CD에 담아 갖고 나간 사실이 있었다. 더구나 그나마 남아있던 자료마저도 전량 파괴한 사실을 뒤늦게 발견됐다. 그 후 외국인 B의 행적을 추적한 결과, 외국 정보요원으로 추정되는 단서가 포착된 바 있었으나 해당국에서는 전혀 모르는 일이라는 답변만 했고 결국 예상치 못한 핵심기술 유출사고에 직면한 A사는 도산하고만 안타까운 사건이 있었다.

더욱이 USB 등 대용량 저장매체가 발달하면서 정보활동 기술이 첨단화되고 지능화 돼 가고 있기 때문에 A사처럼 보안을 등한시 한다면 애써 개발한 첨단기술이 순식간에 빠져 나가고 기업이 도산되는 결과를 초래할 것이다.

예방 보안관리 마인드로의 대전환이 필요

그 동안 우리나라의 CEO들을 대상으로 보안에 대한 인식을 묻는 설문조사를 보면 보안에 대한 인식과 투자가 매우 부족하다는 결과가 나온 바 있었다. 그 이유야 많겠지만 우선적으로 보안관리를 할 만한 정보나 기술이 별로 없다고 봤던 것이다. 이들은 스스로 갖고 있는 기술이나 정보에 대한 가치를 미국이나 일본 등 선진국의 것과 비교하면서 우리 기술 수준을 너무 낮다고 생각했고 또한 지킬만한 것이 없다고 봤던 것이다.

또한 기업들은 지금까지 사고 없이 잘 지내왔기 때문에 보안에 대한 인식은 오히려 기업 활동에 생산적이지 못하고 지장을 주는 것으로 잘못 생각하는 경향이 있었다. 다시 말해 보안이란 새로운 시스템을 만들어서 기업을 통제하고 규제만 하는 것으로서 기업의 생산성을 떨어뜨린다고 인식하고 있었던 것이다.

중국에 진출했던 국내 휴대폰 제조기술 중견 업체인 M사의 경우 영업이익에만 치중해 현지에 파견됐던 연구원들에 대한 보안관리를 소홀히 한 결과, 이들이 중국 C사에 매수된 일이 있었다. 그 후 중국 C사에 의해 동일한 제품이 대량 생산된 후 국내에 저가로 들어와 판매되자 이로 인해 M사는 주식시장에서 상장된 주식이 폐기될 위기에까지 몰린 사건이 있었다.

이처럼 보안사고는 한번만 일어나도 치명적이고, 특히 자금력이 취약한 중소기업의 경우 한 번의 사고로 재생불능의 상태에 빠지는 경우가 많기 때문에 사고를 당하기 전에 미리 예방 보안대책을 강구하기 위한 인식의 대전환이 필요하다고 본다.

보안관리를 위한 CEO의 임무와 역할은

#보안에 대한 의식의 변화가 뒤따라야 한다  

CEO의 보안에 대한 인식은 그 조직의 보안 수준에 막대한 영향을 미친다. CEO는 수많은 결정권한이 있고 화려한 스포트라이트를 받는 자리이지만 자신의 결정에 따라 직원들의 밥줄이 달려있기 때문에 부담스러운 자리이기도 하다. 즉, 기업에 있어서 CEO의 보안에 대한 인식과 수준에 따라 기업의 흥망을 가름하는 중요한 척도가 될 수 있음을 말하고 있다. 보안은 인식이 선행된 습관이 뒤따라야 한다. 습관화된 보안 마인드만이 완벽한 보안 관리를 유지할 수 있기 때문이다. 따라서 보안을 귀찮게 여기고 리스크 관리에 들어가는 비용을 낭비로 여기는 의식부터 바뀌어져야 하며 이를 기피하고 영업실적만을 중시하는 ‘작은 생각’으로는 결코 지속 가능한 경영은 이뤄질 수 없을 것이다.

#기업실정에 맞는 보안관리 체계를 구축하는 일이다

보안관리 책임자는 다른 업무와 부수적으로 병행해 수행하는 자리라는 생각을 갖지 말고 독립적이고 권한 있는 지위를 구축해 줘야 할 것이다. 그리고 세계 곳곳으로부터 들어오는 보안위협 요인을 총괄적으로 파악, 분석하고 이를 지휘, 통제할 수 있는 시스템을 만들어 줘야 한다. 특히 보안관리 책임자는 보안과 관련된 모든 문제를 항시 CEO에게 직접 보고할 수 있는 라인을 유지토록 해줘야 할 것이다.

#자체 보안업무 규정을 명확히 수립해야 한다

보안업무 규정에는 기업의 보안을 디자인하고 점검겵愎洑玖?보안부서가 정기적으로 또는 수시 보안감사를 시행할 수 있는 내용들이 포함돼야 한다. 보안규정의 내용이 너무 무리하거나 추상적이어서는 안되며 실현가능한 범위 내에서 수립돼야 할 것이다. 또한 보안정책과 절차 및 책임이 문서로 명확히 규정돼야 하고 보안업무 심사분석을 통해 다음 연도의 보안업무 계획을 수립하며 사고예방에 주력하되 보안사고와 관련된 보고서 및 처리결과의 유형별 분석이 잘 돼 있는지를 철저해 검토해야 한다.

#보안관리에 대한 투자비용을 늘려야 한다

우리나라의 경우 보안에 대한 투자가 기업예산의 1% 정도를 약간 상회하는 실정이며 이것마저도 보안부서에 대한 인력 충원이나 교육보다는 장비를 새로 구입하거나 교체하는 정도다. 그러므로 앞으로는 선진국 수준인 10%수준까지 끌어올리는 등 보안관리에 대한 투자비용을 아끼지 말고 늘려야 할 것이다.

#조직 간의 원활한 협력체계 구축을 조성해야 한다

보안은 보안 전담부서에서만 다루는 일로 간주하고 다른 부서는 무관심하기 쉽다. 그러므로 항상 기업 내의 다른 부서와 원활한 협력체계를 구축될 수 있도록 분위기를 조성하고 기업 내 전 부서가 참여하는 ‘보안업무 협의기구’를 만들어서 기업 내부의 보안상 예상되는 문제점을 미리 점검하고 심의하도록 해야 할 것이다. 

#예방 보안활동에 솔선수범해야 한다

보안에 대한 자가진단 체크리스트를 통해 사전 점검하는 것은 물론, 관련 정보를 수집하고 이를 바탕으로 보안 리스크에 대한 전략을 개발하고 주기적으로 평가를 하며 미래의 위기상황에 대한 대비를 철저히 해야 할 것이다. 아울러 CEO가 보안에 대한 생활준칙을 세워 솔선수범한다면 조직 구성원들의 보안의식도 자연히 강화될 것이고 보안을 실천하고 예방하는 원동력이 될 수 있을 것이다.   

#직장윤리와 교육을 강화해야 한다

‘내가 한 연구는 내 것이다’라는 생각을 버려야 하며 기업이 경쟁력을 잃고 망하면 나도 존재할 수 없다는 인식을 구성원들이 갖도록 해야 할 것이다. 따라서 한탕주의와 물질만능주의에 빠져 돈에 매수되거나 유혹받는 일이 없도록 직장윤리에 대한 교육을 강화해 나가야 한다. 그리고 기업의 지속가능한 성과를 위해서는 정직성을 유지할 수 있는 ‘윤리경영’이 기본원칙으로 제시돼야 할 것이다. 그 성과가 금방 눈에 띄는 것은 아니지만 기업의 안전을 위해 할 수 있는 가장 바람직하고 장기적인 투자는 윤리와 교육의 강화임을 잊어서는 안 된다.    

#보안에 대한 위기관리 능력의 배양이 필요하다

윌리엄 파렛의 저서 ‘위기의 CEO’에서 “보안이 곧 경쟁력이고 기업의 총체적인 리스크 관리는 CEO의 몫이다”라며 보안과 리스크 관리의 중요성을 강조하고 있는 그의 말을 귀담아 들을 필요가 있다. 2년 전 우리나라의 모 백화점 인터넷 사이트에서 고객정보가 유출됐던 사건으로 당시 업계에 큰 파장을 불러 일으켰다. 관련 업체에 엄청난 손실을 끼친 이 사건은 CEO에게 보안과 위기관리 능력의 중요성을 새삼 일깨워 준 바 있었다. 기업들은 대부분 적은 비용으로 가능성이 높은 리스크를 예방할 수 있는 것만 관리하는 경향이 있어 치명적 리스크를 소홀히 다뤄 결국 결정적 타격을 입는 불상사를 당할 수 있다. 그러므로 CEO는 위기를 정확히 예측하고 적절히 대응할 수 있는 리스크 관리능력의 배양이 필요하다.

<글 : 정진홍 서울과학종합대학원 산업보안 MBA 대학원장(jhjeong@assist.ac.kr)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>