보안업무의 중요성, 경영진에게 어떻게 알리는 것이 효과적인가

기업보안을 담당하는 실무자와 책임자들에게 있어 업무상 가장 큰 고민은 무엇일까? 예를 들자면 수많은 보안 시스템 중 어떤 보안 시스템을 도입할 것인지, 직원들의 보안교육을 어떻게 시행할 것인지, 또는 외부인을 어떤 방법으로 융통성 있게 통제해야 하는지 등이 보안 실무자들이 갖게 되는 고민 중 하나가 될 수 있을 것이다. 하지만 무엇보다 가장 큰 고민은 바로 이런 모든 보안업무의 필요성을 CEO를 비롯한 경영진에게 어떻게 알릴 것인가라는 문제일 것이다. 실제로 한 기업의 보안체계가 효과적으로 운영되고 있는지 살펴보기 위해서는 해당기업의 대표이사를 만나보면 금방 알 수 있을 정도로 아직까지 기업 보안체계를 향상시킬 수 있는 결정적인 열쇠는 전적으로 경영진이 쥐고 있다고 봐도 과언이 아니다. 

적극적이고 열정적인 보안담당자가 되라!

보안책임자들이 경영진에게 보안업무의 중요성을 설득하는 방법은 보통 두 가지로 나뉜다. 적극적으로 경영진을 설득해 보안의 중요성을 알리는 유형과 소극적인 자세로 자신의 주어진 업무만 담당하는 유형이 그것이다. 현대 기업에서는 전자의 유형이 좀더 바람직한 보안책임자의 유형으로 볼 수 있지 않을까 싶다.

그렇다면 보안의 중요성을 적극적으로 경영진에게 알리는데 있어 어떤 방법을 사용하는 것이 효과적일까? 이 부분은 사실 오래전부터 많은 보안담당자들이 갖고 있던 가장 큰 고민 중 하나였다. ‘보안이 무조건 중요하다고 강변해볼까.’ 중요한 것은 이렇듯 고민만 거듭하다 정답을 찾지 못할 경우 적극적인 보안담당자들도 소극적인 유형의 보안담당자로 변모할 수 있다는 사실이다. 다시 말해 경영진을 설득할 수 있는 방법을 찾지 못할 경우 보안담당자의 결정에 의해 그 회사의 보안체계가 수립되는 것이 아니라 전적으로 경영진의 의지에 따라 그 회사의 보안수준이 결정될 수 있다는 것이다.

보안업무의 결과를 수치화·체계화하라! 

르노삼성자동차의 전사보안매니저인 안무룡 차장은 이에 대한 주제발표를 통해 보안업무의 중요성을 경영진에게 설득하기 어려운 이유로 보안이 구체적인 데이터를 산출하기가 어려운 무형의 자산이기 때문이라고 설명한다. 즉, 기업에서 보안체계가 효과적으로 운영된다고 할지라도 그 효과를 구체적인 수치로 산출할 수 있는 것이 아니기 때문에 많은 경영진들이 투자에 인색할 수밖에 없다는 것이다.

물론 보안체계를 효과적으로 구축하게 되면 값으로 환산할 수 없을 정도로 높은 가치를 지닌 핵심정보의 유출을 사전에 차단할 수 있고, 그로 인해 회사의 수익이 올라갈 수 있다. 그리고 경영진 또한 이런 부분에 대해 어느 정도 인식하고 있는 게 사실이다. 하지만 이런 모든 과정이 눈에 보이는 정확한 결과로 이어지지 않으면 충분한 예산을 확보하기 쉽지 않다는 데에 문제가 있다.

이에 대한 방안으로 안무룡 차장은 “객관적이고 전문적인 보안 컨설팅을 통해 보안체계를 도입할 경우에 얻게 될 효과를 정확히 수치화·체계화하는 것이 중요하다”고 강조한다. 이러한 방법을 동원한다면 경영진이 보안을 위해 얼마만큼의 투자를 했고, 그로 인해 어느 정도의 효과를 얻었는지 정확히 파악할 수 있다는 것이다. 덧붙여 그는 “때로는 보안사고로 이어지는 충격적인 시나리오를 만들거나 사건·사례 등을 모아 경영진에게 제시하는 것도 보안예산을 확보하는 데 큰 효과를 볼 수 있다”고 말한다. 일종의 충격요법을 통한 설득인 셈이다.

보안담당부서를 CEO 직속부서로 배치하라!

PKL의 박흥식 부장은 “국내 기업 특성상 보안에 투자하는 것이 인색할 수밖에 없다는 사실을 직시할 필요가 있다”고 전제한 뒤, “이러한 문제를 해결하기 위해서는 보안담당부서가 CEO 직속부서로 배치돼 회사 경영진과의 잦은 대면을 유도하고, 보고체계를 단일화할 필요가 있다”고 말했다. 보안업무에 대한 보고가 여러 단계를 거칠 경우 중간에 누락될 수도 있고, 보안담당자의 의도가 잘못 전달될 수 있어 경영진이 보안의 중요성을 피부로 절감하지 못할 수 있다는 것이다. 이렇듯 보안부서가 CEO 직속부서로 배치돼 보안관련 결재라인이 단순화된다면 보안책임자가 CEO에게 직접 업무보고를 할 수도 있고, 이를 통해  보안의 중요성을 CEO에게 자연스럽게 인식시킬 수 있다는 주장이다.

기아자동차 김치홍 팀장도 “보안업무를 수치화해 보여주는 것에 대해 전적으로 공감한다”고 말한 뒤 “이와 함께 회사에 중요한 자산이 얼마나 있는지 경영진이 한 눈에 파악할 수 있도록 돕는 것이 중요하다”고 강조했다. 아직까지 많은 경영진들은 지켜야할 핵심정보의 중요도를 제대로 파악하지 못하는 경우가 많다. 이에 대해 경영진이 확고히 인식할 수 있도록 정보의 가치를 정확히 제시해야 한다는 지적이다.

보안담당자의 자질 키우는 것이 우선과제

지엠대우 백봉원 팀장은 “우리나라와 외국의 시큐리티 개념과 수준에 있어서는 분명한 차이가 있음을 인정해야 한다”고 말한 뒤 “이러한 차이를 좁히기 위해서는 보안담당자 스스로 토털 시큐리티 매니저로써의 자질을 키우는데 노력해야 한다”고 말했다. 즉, 자신이 수행하는 보안업무에 걸 맞는 충분한 지식을 갖췄을 때 경영진에게 보안에 대한 투자를 이끌어낼 수 있다는 설명이다. BAT코리아의 박찬석 이사도 보안담당자 자질이 중요하다는데 뜻을 같이 한다. 그는 “회사가 보안담당자에게 무엇을 요구하는지 정확히 인식할 필요가 있다. 예를 들어 네트워크 보안업무를 요구하는지 또는, 물리적인 보안업무를 요구하는지에 대해 정확한 개념이 확립돼 있어야 하고, 자신이 수행할 수 있는 보안업무를 스스로 확대해 나가야 한다”고 강조했다. 

기업은 수익을 창출하는 것이 첫 번째 목표라 할 수 있다. 이런 점을 감안해 본다면 경영진은 수익 측면에 민감할 수밖에 없다. 모임에 참석했던 보안담당자들은 하나같이 이 부분을 집중 공략할 필요가 있다고 입을 모았다. 가령, 100억의 수익이 나더라도 정보유출로 30억 손실이 발생했다고 봤을 때, 3억을 투자해 이 손실을 막는다면 27억은 이익이라는 관점을 CEO에게 집중 부각시킬 필요가 있다는 것이다. 이렇듯 보안체계 강화를 통해 업무손실로 입는 피해를 최소화할 수 방안을 마련한다면 어렵지 않게 보안에 대한 투자를 성사시킬 수 있다는 점도 강조했다.

‘두드리면 열릴 것이다’라는 말이 있다. 경영진에게 보안의 중요성을 일깨우기 위해 다양한 방법과 대책을 강구하는 것이야말로 보안담당자의 역할이고 책임이다. 그리고 경영진의 의지에 따라 대부분의 투자가 결정되는 국내 기업 특성상 이는 보안담당자가 반드시 유념해야할 필수항목 중 하나일 것이다.  

[김용석 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>