[인터뷰] 최진혁 한국기업보안협의회 회장(대전대 경찰학과 교수)

[보안뉴스 김정완] 산업기술·기밀 유출 방지에 대한 이슈가 높아지면서 인적 자원에 대한 효과적인 보안관리가 화두가 되고 있는 상황이다. 하지만 한국기업보안협의회 최진혁 회장(대전대 경찰학과 교수)에 따르면 정말로 무서운 위협은 바로 보안에 대한 임직원의 ‘무관심’ 혹은 ‘심적 저항’이라면서 ‘보안의 궁극적 목적에 상응하면서도 기본에 충실한 보안’을 강조한다.

특히 최진혁 회장은 “보안의 목적 달성을 위해 가장 중요한 것은 명확한 목표 설정 및 그에 따른 효과적인 보안프로그램의 실행”이라면서 “무엇보다 강조되어야 할 점은 조직 내 모든 구성원들이 보안의식을 함께 공유하고 유지·실천해 나감으로써 보안이 하나의 공통적 문화현상으로 정착할 수 있어야 한다는 것”이라고 강조한다.

또한 최진혁 회장은 산업기술·기밀의 유출을 방지하고 효과적인 보안관리를 위해서는 ‘보안의 정립’을 위한 기본적인 몇 가지 선결과제가 있다고 제언한다. 과거의 전통적인 통제 위주의 보안관리 전략보다는 지식정보화와 네트워크화로 대변되는 21세기의 인적 자원 특성에 맞추어 오히려 기본적 원칙에 충실한 보안의 틀을 형성해야 한다고 피력한다. 이에 그를 만나 그가 제언하는 ‘보안 정립을 위한 선결과제’에 대한 보다 상세한 이야기를 들어봤다.

- 기업이 보안의 가치를 인식하기란 쉽지가 않은데 어떤 노력이 필요한가?

우선 임직원들에게 보안부서 또는 보안관리자가 보안이라는 소기의 목적을 달성하기 위해 매일 무엇을 어떻게 얼마나 투자·노력하고 있는지를 효과적으로 적절히 보여줄 수 있어야 한다. 또한 보안기능이야말로 날로 그 위협이 증가하고 수법이 지능화되어가고 있는 산업스파이 활동으로부터 산업기술의 원천을 보호하고 기밀정보의 불법적 유출이나 남용을 최대한 억제시킴으로써 외부의 위협·위해로부터 조직과 그 자산을 보호해주는 ‘지킴이(Guardian)’의 역할을 한다는 것을 잘 납득시킬 수 있어야 한다.

즉 기업의 경우 보안부서나 보안 관련 비용이 부담 혹은 짐이 아니라 기업 경영의 일환으로서 이윤 증대에 이바지하며 기업이 건강하고 안전한 기반(Infrastructure)을 가질 수 있도록 도와주는 것이 바로 보안의 역할이다. 말하자면 기술 및 정보를 포함한 기업의 각종 자산을 보호하고 그에 대한 침해나 훼손을 예방하는 기능을 함으로써 반사적 이윤 창출에 기여하는 측면이 강조되어야 한다는 것이다.

따라서 보안에 대한 투자는 소모성 비용(Grudge Cost)이 아니라 적극적이고 생산적인 경영활동의 일환으로 간주되는 것이 옳다고 할 것이며 이를 위해 보안관리자는 최고경영진, 상급관리자, 부서장 또는 각 직능 대표, 그리고 임직원과의 유기적 관계 속에서 원만하게 의사소통하고 경영·관리활동에 참여하면서 보안의 가치와 중요성을 조직과 그 구성원들에게 이해시켜 인정받을 수 있도록 하는 것이 가장 우선적으로 요구되는 역할이라고 하겠다.

- 기업은 왜 ‘인적 자산의 중요성’에 주목해야 하는가?

흔히들 물리적 자산, 현금, 지적재산, 정보·기술 등을 일반적인 자산으로 간주한다. 그러나 특정 기업·기관과 같은 각 조직마다 그 고유한 자산들의 특성과 범주가 있겠지만 무엇보다 인적 자원이야말로 기업의 가장 소중한 자산이 아닐까 싶다. 창의적이고 숙련되며 전문성을 갖춘 인적 자산 없이는 조직의 발전과 목표 달성이라는 것은 무의미하거나 가능하지 않기 때문이다.

이처럼 유념해야 할 것은 인적 자원이야말로 가장 소중한 자산이라고 하겠으나 국내 상당수 기업·기관의 경우 인적 자원을 최우선적인 보호의 대상(자산)이라기보다는 오히려 기술·기밀 유출의 주요 원인이나 산업스파이 활동의 매체 경로로 인식해 통제 혹은 감시의 객체로 간주하는 경향을 흔히 목격할 수 있음은 심히 우려되는 부분이라고 하겠다.

이러한 동향은 최근 급증하고 있는 산업기술 침해 또는 기업의 영업비밀 유출 사고 등으로 인해 부수적으로 나타나는 반사적 현상이라고도 할 수 있겠으나 인적 자원이야말로 모든 유·무형 자산 중 최우선 순위를 가질 뿐 아니라 조직을 발전·성장시키는 근원으로서 가장 소중하게 보호받아야 한다.

즉 기술·기밀 유출의 원천이 되었거나 될 수 있는 위험요인(Risk Factor)을 발견해내고 프로세스(절차) 통제 및 유효하고 적절한 보안프로그램의 실행을 통해 그러한 보안상의 위협·위해를 예방해 나가는 것이 올바른 보안의 역할이지 이를 인적 자산에 대한 감시·통제 중심의 전략으로만 운용하는 것은 바람직하지 않다고 할 것이다.

따라서 기술이나 기밀의 유출을 방지하기 위한 인적 보안관리의 정당성과 필요성에는 모두가 동의하는 바이지만 그 가치와 중요도가 높아 조직 내 보호의 우선순위가 최상위인 인적 자산이 역으로 감시나 통제의 대상으로 전락하는 것은 지양해야 할 것으로 판단된다.

- 어떻게 직무 성취도를 통해 보안 관련 투자의 필요성을 정당화할 수 있는가?

기업 경영의 관점에서 볼 때 실적이 좋지 않은 곳에 기업의 재원(Budget)을 투자할 수는 없는 것이다. 사실상 많은 경우에 있어서 보안부서의 직무 성취도 문제는 자원의 부족, 특히 예산 부족으로부터 기인된다고들 하지만 그러한 단편적인 접근방법은 오히려 바람직하지 않다고 하겠다.

그러므로 보안부서의 직무 수행 상 어려움을 예산상의 문제로만 회피하지 말고 그보다는 제한된 자원으로 모든 것을 다 해결할 수는 없으므로 조직에서 가장 중요한 부분 또는 위험성의 중대함(Criticality)을 기준으로 분석적으로 접근해서 가장 그 중요도가 큰 부분부터 먼저 보안 역량을 강화시키고 집중해야만 한다.

그럼으로써 비록 보안 상 약간의 취약한 문제들이 존재하는 영역(들)이 있다 하더라도 자원 확보 여력과 우선순위에 따라 그 취약성을 보정하거나 또는 완전히 없앨 수도 있는 것이다.

이렇게 하여 산출되는 결과와 통계적 수치들을 이용해 경영관리자층에 인식시킴으로써 보안부서의 직무 성취도가 조직 목표나 경영활동에 직접적으로 연관됨과 더불어 보안 관련 투자의 정당성을 입증할 수 있도록 해야 할 것이다.

- 현명한 보안관리자라면 자산 보호를 위해 어떻게?

현명한 보안관리자라면 일반론적인 구두 브리핑으로만 접근하기 보다는 기업의 경영환경에 대한 개괄적 이해를 바탕으로 ‘위험요소평가(Risk Analysis/Assessment)’를 가급적 정기적으로, 예를 들면 1년 혹은 6개월 단위로, 정확히 분석하여 이를 명문화해 두어야 한다. 그리고 이를 바탕으로 전문 출판물, 형사사법 기관, 인터넷 등에서 획득한 정보 등을 종합하여 보안부서의 입장과 견해를 명쾌하게 경영관리자층에게 전달할 수 있어야 할 것이다.

한편으로 특정 기업에서 보안부서의 노력 혹은 기타 요인으로 인해 산업스파이 활동으로 인한 피해를 비롯해 도난·분실 등의 각종 사고나 무단침입 등의 사례가 없어지거나 줄어들어 상대적으로 안전한 근무환경이 창출되었을 경우 해당 기업의 경영관리자들은 더 이상 보안을 강화할 필요가 없다고 느낄 수도 있을 것이다. 그러한 보안의식의 약화 혹은 보안에 대한 투자의 감소는 대개의 경우 유사 문제가 다시 발생하거나 또는 손실비용 상쇄에 더 많은 비용을 지출해야만 하는 결과를 초래하기 쉽다.

그러므로 보안관리자는 자산 보호의 수요를 면밀히 파악하고 그 필요성이 항상 조직 내에 상존하고 있음을 최고경영진 및 임직원들에게 명확하고 적절히 설명할 수 있어야 한다. 아울러 현명한 보안관리자라면 보안을 비용의 측면으로만 보는 시각과 보안을 투자의 개념으로 보는 시각의 최고관리자층 간의 경영적 관점의 차이를 이해할 필요가 있다.

- 보안이 조직 목표 달성과 이윤 창출에 기여함을 어떻게 보여주어야 하나?

기업의 경우 이윤 추구를 그 기본적 목표로 설정하고 있기에 보안관리자 역시 오히려 이러한 점을 잘 활용해야 한다고 판단된다. 따라서 기업 내에서 보안부서에 편성되는 예산 및 보안을 위해 소요되는 비용이 기업 전체의 비용을 절약해 준다는 것을 늘 강조할 수 있어야 할 것이다. 어쩌면 기업 내에서 재무·회계부서가 보안과 관련된 비용을 보는 관점은 아마도 그들이 전기와 수도 같은 필수 공과금 청구서를 보는 시각과 크게 다르지 않을 지도 모른다.

즉 일반적으로 누구나 전기·수도 등의 공익시설·설비가 주는 서비스 또는 혜택은 필요로 하지만 그렇다고 그러한 것들이 눈에 띄는 이윤을 되돌려 주지는 않는다. 그렇다면 그들이 왜 보안만은 다르게 봐야 하는 지를 반문해 보고, 또한 보안이 반사적으로 기업의 이윤 창출에 기여함을 설명해줄 수 있도록 노력해야 한다. 그러기 위해서는 현실적이고 전략적이며 숙련된 솜씨로 잘 정리된 보안운영계획과 프로그램 등 구체적으로 표현된 자료 및 산술적 데이터를 십분 활용할 수 있어야 할 것이다.

- 마지막으로 보안을 ‘문화현상’으로 정착시켜야 한다고 강조했는데?

기업이나 기관에서의 보안 및 자산보호 활동의 핵심은 해당 조직 내에서 보안이 하나의 ‘문화현상’으로 정립되어야 한다는 점이다. 이는 조직 내에서 보안의식이 전체 구성원에 의해 항상 유지되고 ‘보안문화’가 형성되어 공유될 때 최상의 보안 프로그램이 가장 효과적으로 운용될 수 있을 것이며 이를 통해 이상적인 혹은 최고의 보안상태가 확보 가능해질 것이기 때문이다.

이를 위해 필요한 기반사항은 먼저 전문적 지식과 경험을 구비한 보안관리자 및 보안부서가 일체가 되어 다각적이고 합리적인 보안 프로그램을 체계적·효율적으로 운용하고 가용한 보안 관련 자원을 최적·최상의 상태로 활용하여야 한다. 그리고 모든 구성원들이 보안은 경영활동의 일부라는 공통된 인식을 갖고서 보안의식을 일상적으로 공고히 그리고 상호 유기적으로 유지해 나가는 것이 중요하다. 이를 통해 보안이 경영의 일환으로서 이윤 증대에 이바지하여 건강하고 안전한 조직 환경과 기틀 형성에 기여한다는 공감대의 형성이 시급히 필요할 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>