• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기고] 보안활동의 기반은 협력과 신뢰 2014.01.28

보안담당자에 대한 신뢰와 지속적인 후원이 기업 최고의 보안대책
   

[보안뉴스=김창오 블루코트 코리아 이사] 보안 활동에 있어 가장 중요한 것은 협력(協力)과 신뢰(信賴)이다. 최근 발생하고 있는 보안사고들의 내용을 보면 보호해야 할 대상이 바뀌고 있음을 알 수 있다. 즉 보안활동의 대상이 기존에는 내부 자산에 있었다면, 최근에는 고객의 개인정보로 바뀌고 있다.


이처럼 보안활동의 대상이 바뀜에 따라 보안의 목표 달성을 위해서는 개인정보와 관련 있는 업무 책임자들이 함께 고민해야 한다. 지난 2002년 월드컵 4강 진출 성공의 원동력은 무엇이었을까?


과거 우리나라 축구는 골을 넣은 한 명의 선수에만 관심이 집중됐으나, 2002년 월드컵에서는 수비수를 포함한 모든 선수들에게 관심이 쏟아 졌다. 한 명이 잘하는 축구에서 모두가 같이 잘하는 협업 축구를 했던 것이다.


월드컵 4강이라는 위업을 달성할 수 있었던 것은 모든 선수가 공동의 목표를 위해 각자의 역할에 최선을 다한 협업 축구 때문이었다. 그러나 10여년이 지난 대한민국의 축구대표팀은 조직력이 무너지면서 경기에서 좋을 결과를 얻지 못한 경우가 많았다.


이처럼 보안 목표를 달성하기 위한 또 하나의 과제는 공동의 목표를 설정하는 것이다. 공동의 목표가 설정됐을 때 모두의 역량이 하나로 모아질 수 있게 된다. 이에 ‘고객의 개인정보’ 보호라는 목적을 달성하기 위해서는 공동의 목표가 뚜렷이 설정되어야만 가능한 것이다.


조직책임자는 공동의 목표를 인식할 수 있는 기회를 모든 구성원들에게 골고루 부여하기 위해 노력해야 한다. 보안의 공동 목표를 인식시키는 방법으로는 교육기회  제공과 제도 강화가 있다. 조직구성원들의 공동 목표에 대한 인식이 없이는 성공적인 보안 목표 달성은 불가능하다.


기업 임직원들은 일년에 1회 이상의 보안교육을 받도록 하고 있다. 또한 개인정보 취급자와 주요 직급자들에 대해서는 추가적인 보안교육을 받도록 하고 있다. 이러한 반복적인 보안교육을 통해 경영진의 의지와 회사의 공동 목표를 직원들에게 전달한다. 지속적인 보안교육 강화 활동은 회사의 보안 수준을 유지함에 있어 매우 중요한 역할을 하고 있다. 그 결과 회사는 보안관리가 강력한 기업으로 인식될 수 있다.


이와 동시에 중요한 것이 하나 더 있다. 바로 보안담당자에 대한 신뢰와 믿음이다. 회사의 보안 목표를 성공적으로 달성하기 위해서는 경영진의 적극적인 후원이 필요하다. 경영진의 후원은 보안담당자에 대한 신뢰와 믿음으로 나타난다.


역사적 사건으로 우리에게 잘 알려진 중국 ‘적벽대전’에 대한 이야기를 살펴보자. 이 전투에 대해서 우리가 기억하고 있는 것은 제갈량의 지략과 10만개의 화살, 그리고 조조의 패전이다. 적벽대전 결과에 대해 대부분의 사람들은 제갈량의 지략에 의한 승리만을 기억하고 있다. 그러나 우리는 전쟁의 결과에서 조조의 패전 원인에 대해 살펴볼 필요가 있다.


조조는 스스로 수병부대의 정예 장수를 숙청했다. 당시의 조조 진영의 수병 장수들 또한 본인의 직무를 충실히 수행했다. 다가오는 적군을 향해 화살을 쏜 것은 당시 수병의 직무를 정확하고 충실히 수행한 일이었음에도 불구하고 제갈량의 지략에 속았다는 이유로 수병 장수의 책임을 물어 숙청한 것이다. 만약, 부하장수를 한번 더 믿고 다음 전투를 대비했다면 적벽대전의 결과는 달라질 수도 있었을 것이다.


앞서 예를 든 수병 장수의 상황은 보안담당자들이 맞닥뜨리는 현실과 매우 유사하다. 안개속의 공격자는 보안을 위협하는 숨어있는 적군과 같다. 보안담당자들은 공격에 대응하기 위해 노력하지만 가시적인 성과로 인정받기는 매우 어렵다. 백번을 잘 막아내다가 한번의 결과로 모든 평가를 결정짓게 된다면 보안 관리에 대한 성장은 기대하기 어려울 것이다.


보안담당자들은 누구나 대부분 “보안관련 사고는 발생하지 않으면 본전이다”라는 말을 한다. 보안활동은 보험과 같아 100% 완벽한 보안을 기대하기 어렵다. 우리 속담에 ‘지키는 사람이 열이라도 도둑 한 사람 못 당한다’는 말이 있다. 그렇기에 우리는 100% 보안을 위해 노력한다고 말할 뿐이지 절대로 100% 보안을 할 수 있다고는 말하지 않는다.


간혹 발생하는 보안사고가 있을 때마다 중소기업과 대기업은 대처하는 방법에 있어 차이가 난다. 작은 기업은 보안사고에 대한 책임을 보안담당자에게 전가하고 문책을 하는 것으로 사건을 마무리한다. 하지만 대기업은 보안담당자에 대한 더 많은 신뢰와 지원 약속을 통해 스스로 문제를 해결하도록 한다.


성공적인 보안은 하루아침에 이룰 수 있는 일이 아니다. 해당 조직의 내부 사정을 속속들이 알고 보안을 강화하기 위해 노력해 온 보안담당자가 현재의 문제를 해결하기 위한 최고의 적임자라는 것을 대기업 경영자들은 알고 있는 것이다.

보안담당자의 올바른 양식과 뛰어난 전문가 정신이 보안활동의 전제 요소임은 두말할 나위 없다. 만일 여러분의 회사에 보안문제가 있다면 보안담당자에 대한 믿음과 신뢰를 바탕으로 하는 든든한 후원이야말로 가장 효과적인 보안대책이 될 수 있을 것이다.
[글 _ 김 창 오 블루코트 코리아 이사(peter.kim@bluecoat.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>