[보안뉴스 김경애] 현업에서 종사하는 산업보안전문가들이 한자리에 모여 산업보안 전문가가 되기 위한 노하우와 필요한 지식에 대해 교류하는 자리가 마련됐다.

‘보안전문가 7인과의 만남’이란 주제로 서울과학종합대학원 조병철 교수가 진행을 맡은 가운데 서울과학종합대학원 정진홍 산업정보대학원장, 이길규 교수, aSSIST ISP 출신인 삼성코닝 보안팀 배재용 과장, LG전자 보안팀  박윤재 대리, 법무법인 한결 박상융 변호사 등 보안전문가들이 한자리에 모여 산업보안전문가로 성장하기 위해 연구해야 할 학문적 지식과 기술 노하우에 대해 조언하고, 정보교류를 하는 시간이 있었다.

다음은 보안전문가들과 보안전문가가 되려는 교육생들과의 질의응답 내용을 정리했다.

보안 경력이 없는 초보자가 보안 업계로 이직 또는 취직하기 위해 습득해야 할 보안지식 및 교육은 무엇이 있나요?

조 병 철 교수- 보안담당자에서 보안전문가로 발전하기 위해서는 보안관련 교육기관에서 진행하는 교육과정을 수료하고, 보안관련 자격증을 취득하는 것이 좋다.  국정원 근무 시절 여러 지원자들에 대해 면접을 본 경험이 있는데 아무래도 여러 지원자를 단 5분 안에 평가해야 하기 때문에 이력서에 표기된 자격증이나 보안 프로젝트 수행 업무에 대해 관심 있게 보게 된다. 특히, 어떤 보안 프로젝트를 수행했는지 여부가 중요하다.

후배들에게 추천해 주고 싶은 교육 및 학습 방법은 무엇인가요?

이 길 규 교수- 기업의 보안전문가는 모든 업무에 대해 파악하고, 각 분야의 취약점을 알고 보완할 수 있어야 한다. 오늘날의 기업환경은 치열한 경쟁관계 속에 있기 때문에 기존의 산업보안에서 영업비밀이나 특정기술을 지키는 것에 국한되지 말고, 다방면으로 지식을 습득해야 한다.

미국은 CEO가 중요한 사업계획에 대해 CSO와 사전협의하고, 검토한 후 결정한다. 이는 기업보안이 얼마나 중요한 지 단적으로 보여주는 예다. 따라서 글로벌 기업으로 성장시키기 위해서는 CSO가 기업경영과 관련된 모든 분야를 알고, 각 분야의 취약점을 분석할 수 있는 능력이 있어야 경쟁력을 갖춘 보안전문가가 될 수 있다. 뿐만 아니라 보안전문가는 계속 성장해야 하기 때문에 신입에서 대리, 과장, 차장, 부장 등 각 직급에 걸맞게 물리보안 영역, 인사관리 측면, 기업위기관리 등으로 역량을 키워가야 한다.

최근 내부인 USB 또는 HDD 등 저장장치를 활용해 정보를 외부로 반출하는 사례가 많은데, 기업 임직원의 보안의식 제고방안에는 어떤 것이 있을까요?

조 병 철 교수- 국정원 직원들은 아직도 스마트폰을 사용하지 않는다. 청와대 직원도 마찬가지다. 보안 리스크가 있기 때문이다. 이와 관련해 기업에서는 포렌식 감사 등의 업무를 강화하고, 직원들에 대해서는 이동식 저장장치 사용을 가급적 금지할 수 있는 방안을 모색해야 한다.   

현재 대부분의 기업들은 보안체계를 보안담당자 수준에 맞춰 구축하는 경우가 많은 것 같습니다. 이 때문에 기업마다 보안수준이 제각각인데 기준을 어디에 맞춰야 하는지 궁금합니다.

조 병 철 교수- 기본적으로 보안 거버넌스를 체계화하고, 국제표준을 따르는 것이 기준이 될 수 있으나, 현실적으로 기업의 보안책임자가 수립하는 보안이 그 회사의 보안수준이 될 수 있기 때문에 보안책임자의 역할과 능력이 매우 중요하다고 본다. 

보안의식이 없는 CEO에게 보안의식을 고취시키고 보안과 관련해 투자를 받기 위해서는 어떻게 해야 하나요?

이 길 규 교수- 보안담당자 입장에서는 회사의 보안실태 점검을 통해 그에 따른 문제점을 자연스럽게 얘기하는 것도 하나의 방법이 될 수 있다. 일반적으로 경영진의 보안의식을 고취시키기 위해 사고사례에 대해 체계적으로 정리해서 보고하는 일이 필요하다. 또한, 저예산으로도 보안을 강화할 수 있는 효율적인 방법을 연구하고, 어떤 성과가 나올 수 있는지 수치화된 결과를 도출할 수 있어야 한다.

정 진 홍 원장- 기술적·물리적 보안이 아무리 잘 되어 있어도 관리적 보안이 미흡하면 사고의 원인이 될 수 있다. 부장급 및 임원진 보안담당자는 보안관련 서류 작성방법에 대해 습득하고, CISO는 정보보호실태 분석을 통한 보고서 작성능력을 향상시키고, 정책능력을 갖춰야 한다. 특히, 경영적인 측면에서 산출방식(금액), 개인정보보호 등 법으로 규정되어 있는 부분에 대해 제대로 전달할 수 있어야 한다.

그러나 대부분 기업들의 보안조직이 체계적으로 갖춰져 있지 않거나 직급영향력으로 볼 때 제안하거나 보고할 위치가 되지 못하는 경우도 있다. CEO가 외부에서 보안이슈를 접하고 물어볼 때까지 기다려야 하는 상황이 되기도 한다. 따라서 이러한 환경에서는 CEO가 물어봤을 때 제대로 파악해서 보고할 수 있어야 한다. CEO가 물었을 때 제대로 알고 있지 않으면 새로운 정책에 대해 설득할 수 있는 기회를 놓쳐 버릴 수 있다. 

경찰이 기업을 압수수색 할 때 이로 인한 기업의 이미지 타격과 함께 경제적 손실도 막대합니다. 이와 관련 산업보안전문가가 고려해야 할 사항은 무엇인가요?

박 상 융 법무법인 한결 변호사- 기업에 대해 경찰이 산업보안 수사를 할 때 압수수색 과정에서 여러 가지 문제가 발생한다. 압수수색 과정에서는 경찰의 경우 영장발급 절차가 늦어져 증거인멸에 대한 우려가 있고, 법적인 절차에서도 사건 발생시점에 비해 늦게 이뤄져 조사가 더디게 진행된다. 또한, 압수수색을 당한 기업의 입장에서는 손해배상책임에 대해 집행할 기관이 없어 보상 받을 길이 없다. 산업보안의 다각적인 측면에서 이러한 점도 고민해 봐야 한다.

대기업의 보안전문가가 되기 위한 자격요건에 대해 알고 싶습니다.

박 윤 재 LG전자 대리- LG전자의 경우 이전에는 정보보안과 개인정보보호 파트로 나뉜데 비해 지금은 산업보안 파트와 개인정보보호 파트로 구분돼 있다. 그만큼 산업보안의 중요성이 커지고 있어 보안조직에도 영향을 미치고 있다. LG전자는 현재 전계열사의 보안수준을 높이는 활동을 하고 있어 보안인력이 많이 필요하다. 그러나 채용하려는 리더십 매니지먼트 스킬 보유자가 현재는 매우 부족한 실정이다. 내부직원을 돌리는 것도 한계가 있다. 따라서 산업보안전문가의 육성이 필요하고, 관리자 요건이 되는 인력이 많이 양성되어야 한다.

채 정 우 보안컨설턴트-보안 매니지먼트, 관리적 측면에서 보안 거버넌스 체계를 구축할 수 있어야 대기업에서 보안책임자로 활동할 수 있다고 본다.  

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>