결정권자의 의지와 임직원 보안의식의 하모니...보안문화 이끌어야
  

[보안뉴스 김영민] 국가보안목표 가급 시설인 포스코에서의 보안은 어떻게 이뤄지고 있을까? 외부인에 대한 출입통제 시스템에서부터 보안정책, 그리고 그룹사 전체 임직원의 보안의식까지 마치 잘 맞물린 톱니바퀴와 같다고 할 수 있다.

하지만 포스코의 이러한 활동은 그리 오래되지 않았다. 2004년에는 소수의 보안담당 직원이 있었을 뿐이고 2008년에 들어서야 27개 전 그룹사에 대한 보안체계가 제대로 갖춰졌다.

포스코가 2012년 정보보호 대상을 수상한 만큼 무엇인가 특별한 것이 있다고 생각할 수 있겠지만, 그 특별함은 다른 것이 아니라 기본이 가장 잘 갖춰졌다는 점이다. 최고경영층의 정보보호에 대한 의지, 그리고 임직원들의 보안의식 향상이다.

“정보보호라고 하는 것이 포스코 하나의 회사만 잘 한다고 완성되는 것이 아니라 정보를 공유하고 협업하는 업체들도 보안수준이 같이 높아져야 보안의 완성도가 높아진다고 볼 수 있습니다.”

포스코 정보보호그룹 강윤평 팀장의 말이다. 하나의 기업에서 아무리 보안을 철저히 한다고 해도 협업을 하고 있는 곳에서 그렇지 못하다면, 구멍이 생길 수밖에 없다. 지난해 떠들썩했던 OLED 기술 유출사건도 협력사를 통해 일어났던 것을 보면 협력사의 보안수준 및 의식 역시 매우 중요한 항목이라고 볼 수 있다.

포스코의 보안체계는 어떻게 운영되고 있을까? 우선 첫 번째 단계로 협력모델을 만들기 위해 협력사 중 5개사를 대상으로 정보의 공유, 활용에 대한 Best Case를 만들고 회사의 정보 활용여부를 분석해 보안취약점 도출 및 개선안을 마련했다. 그리고 두 번째 단계로 대상을 확대해 철강, 소재, 경영지원 등의 영역을 담당하는 회사를 대상으로 보안 협력모델을 확산했다.

세 번째 단계로 보안 협력모델 을 통해 각사에서 가장 필요한 보안과제를 도출하고 도출된 과제를 개선하기 위한 코칭 활동을 통해 문제 해결을 가능하게 했다. 마지막으로 협력사 공통의 과제를 도출해 개선하고 이를 통해 포스코와 협력사의 보안수준을 동시에 향상시키는 활동 순으로 진행했다.

예를 들면 포스코 도면을 이용해 업무를 수행하는 건설사, 도면 제작사 등 여러 업체의 도면보안 취약점 개선을 위해 도면 활용의 보안취약점을 토론하고 타사 벤치마킹을 통해 학습하게 된다. 이를 통해 글로벌 도면관리 시스템을 구현했고 중요 핵심도면의 제작, 사용, 폐기 등의 흐름을 한눈에 파악할 수 있었으며, 정보유출의 이상행위를 모니터링 할 수 있는 체계를 마련한 것이다.

보안과 업무효율 반비례? Balance를 고려해야

협력사와의 보안체계를 구축하는 것도 중요하지만 이에 못지않게 기술적 보안을 위한 시스템 구축도 기업보안의 중요한 측면이다. 하지만 보안통제를 강화하면 업무효율이 떨어지고, 업무효율을 높이기 위해 보안통제를 약화시키면 보안위험에 노출될 수밖에 없다. 때문에 포스코에서는 스마트한 정보보호활동을 통해 업무효율 향상과 정보유출 리스크 최소화라는 두 마리 토끼를 모두 잡았다.

“직원은 정보보호 통제를 느끼지 못하는 편안함을 부여하고 정보유출 리스크는 최소화 하는 철저함을 유지하는 것 그것이 스마트한 정보보호라고 합니다. 다시 말하면 임직원이 지식근로자로써 본연의 업무를 편안한 상태에서 창의적이며 균형적으로 수행할 수 있도록 FAQ 등 보안서비스를 지원함과 동시에 침해, 유출 등의 내·외부 보안위협과 위험으로부터 관제, 점검 등으로 철저하게 대응해 회사 정보와 자산을 지키는 활동이라고 할 수 있습니다.”

보통 기업 내에서 정보보호를 위한 보안정책을 수립할 때 가장 먼저 부딪히는 것은 업무 효율성이 떨어질 것이라는 우려다. 관련 부서 및 외부에서 업무를 수행할 때도 보안에 있어 몇 단계 관문을 거쳐야 하기 때문이다.

“통제 수준과 업무효율성은 반비례되는 함수 관계에 있습니다. 통제 수준을 높일 경우 업무 효율성이 떨어진다는 것입니다. 결국 Balance를 어느 수준에 맞추는가 하는 것이 가장 중요한 정책적 판단일 것입니다. 이를 해소하기 위해서는 기술적 조치와 직원들의 합의가 필요하다고 생각합니다.”

강 팀장에 의하면 통제도 중요하지만 임직원들의 업무를 저해해서는 안된다는 것이다. 그렇다면 포스코에서는 이를 위해 어떤 방안을 마련했을까? 우선 포스코는 인증되지 않은 외부인이 내부에 접근할 수 없도록 내부와 외부의 경계선에 복합 보안 통제 시스템을 구축해 내부에서도 외부로 정보유출이 불가능하도록 구현해 놓고 있다.

하지만 내부에서는 임직원들이 별도 통제 없이 문서 공유, 활용이 가능하고 협업을 할 수 있는 구조가 마련돼 있다. 이를 위해 문서 정보는 클라우드 개념으로 서버에 존재하고 구글검색 시스템을 적용해 권한 있는 사용자가 원하는 정보를 쉽게 찾아 활용할 수 있도록 하고 있다.

보안을 하나의 문화로, 생활로

업무 효율과 보안 시스템의 적절한 Balance를 유지하는 것과 동시에 포스코는 전 직원들의 보안의식을 높이기 위해 주기적인 교육은 물론, 불시점검 등을 실시해 정보보호 마인드가 생활화됐는지를 확인하고 있다. 이와 함께 최근 변화되는 정보보호관련 법률을 반영해 사내 정보보호 정책을 개정하고 업무기준을 재정비 하는 등 최신 흐름에 맞게 정보보호 정책을 반영하고 있는 것은 물론 정보유출 방지, 외부침입 통제 등을 위해 다수의 보안시스템을 운영하는 등 빈틈없는 기술보안 체계를 운영하고 있다.

보안 마인드를 높이기 위한 가장 좋은 방안은 무엇일까? 실제로 상황에 직면하고 이를 해결할 수 있도록 하는 것이다. 모의훈련과 각 부서에 대한 업무활동 분석과 이를 통한 취약점 개선, 그리고 적절한 상벌체계를 갖추는 것이다.

이를 살펴보면 전 임직원들의 보안마인드 향상을 위해 매월 1회 150여개 부서를 대상으로 찾아가는 보안 서비스를 진행함과 동시에 피싱, 스미싱 테스트 그리고 습득한 USB 사용 등에 대한 테스트를 불시에 실시해 대응수준을 확인하고 있다. 이와 함께 외부인이 어디까지 들어가서 물건을 가지고 나올 수 있는지에 대한 모의훈련도 실시하고 있다. 이러한 모의훈련은 평소 보안위험에 대처할 수 있는 역량은 물론 보안의식의 향상으로 이어진다는 것.

“인프라는 기본적인 부분이고 직원들의 의식이 자연스럽게 문화로 만들어지는 것이 가장 중요하다고 생각합니다. 집체교육을 통해 정보보호의 중요성, 기업보안의 중요성을 아무리 역설해도 실제로 겪어보지 않으면 바르게 대처하기가 어렵고 보안의 중요성에 대해 알지 못합니다. 보안을 하나의 문화로 만드는 것이 중요합니다. 보안문화 트렌드가 만들어져 보안의식이 높아지면 자연스럽게 보안위험에 대처하고 개선할 수 있습니다.”

기업보안 최고 결정권자의 의지 중요

이러한 시스템을 구축하기까지 많은 어려움이 있을 수 있다. 시스템을 마련하기 위해서는 예산 등의 확보도 필요하지만 그보다는 최종결정권자의 마인드가 더 중요하다. 아무리 좋은 시스템을 제안해도 최종 결정권자가 승인하지 않으면 아무것도 할 수 없기 때문이다. 그런 면에서 포스코는 보안 환경을 마련하기에 매우 좋은 환경을 갖췄다고 볼 수 있다. 포스코의 보안정책에 최고경영층의 적극적인 지원이 이뤄지고 있기 때문이다.

“모의해킹으로 그룹사 내부를 외부에서 접근, 내부 자료를 취득해 회장단에 보고한 적이 있습니다. 사고의 개연성을 어필한 것인데 이에 대한 대응 시스템을 바로 구축할 수 있었습니다. 보안 시스템 구축은 생산과 직결되는 것이 아니기에 투자에 소홀할 수 있는데 최고 결정권자의 적극적인 의지는 매우 중요하며, 이는 기업의 보안성을 향상시켜 우수한 경쟁력을 가져올 수 있다고 생각합니다.

Q. 산업기술 공모선 수상을 축하드립니다. 당시 발표한 클라우드 보안관리 모델에 대한 설명을 부탁드립니다.

저희 회사에서는 구글 클라우드 서비스를 이용하면서 몇 가지 보안관리 전략을 세웠습니다. 첫째, ERP/MES등 핵심정보가 저장되어 있는 시스템은 클라우드를 적용하지 않고 자체 데이터 센터에 정보를 저장합니다. 클라우드 서비스를 이용하는 것은 메일, 검색, 영상회의, 지도, 일정관리 등으로 제한하고 있습니다.

둘째, 모든 문서는 클라우드에 저장되지 않고 DRM 암호화를 적용해 자체 데이터 센터에 저장됩니다. 메일 송수신시 원문이 첨부되지 않고 URL 링크만 첨부되어 전송되고 파일 단위로 접근 권한을 제어하므로 권한 없는 사람은 조회조차 불가능합니다.

셋째, 구글에서는 클라우드 서비스에 대해 바이러스 및 해킹 등 외부 공격으로 부터 강력한 방어체제를 갖추고 있습니다. 인터넷 구간에서는 모든 데이터를 보안 프로토콜로 보호해 통신하고 있고 저장된 모든 데이터는 난독화 되어 있으므로 인가받지 않은 사용자가 데이터에 대한 식별이 불가합니다. 그리고 복수의 데이터센터에 데이터가 저장되므로 유사시 재난대응 및 복구에 장점이 있습니다.

Q 포스코에서는 기업보안을 위한 다양한 활동 모델을 개발하는데 비해 중소기업에서는 그렇지 못한 게 현실인데요.  

기업에서 보안활동을 하기 위해서는 일정부분 비용투자가 필요한 것이 사실입니다. 중소기업의 경우 생산과 직결되지 않은 보안분야에 비용투자를 하는 것이 쉽지는 않습니다. 이러한 경우 대기업에서 투자한 보안 인프라를 중소기업이 활용할 수 있도록 제도적으로 뒷받침해준다면 중소기업은 최소의 비용으로 보안 인프라를 사용할 수 있게 되어 비용 부담을 줄일 수 있다고 생각합니다.

그리고 보안에 대한 전문적인 경험과 지식을 가지고 있는 인력이 대기업에는 다수 존재합니다. 무엇보다 보안은 실무 경험이 매우 중요합니다. 이는 학원이나 책을 통해 배울 수 없는 것이죠. 대기업의 보안담당자와 중소기업의 보안담당자간의 인력교류 프로그램을 통해 노하우에 대한 교류가 이루어진다고 하면 중소기업의 보안수준은 한단계 높아질 것으로 생각됩니다.

이상적인 기업보안이란 무엇이라고 생각하십니까?

직원 스스로가 정보를 지켜야 한다는 마인드가 철저해 제도적으로 강제하지 않더라도 스스로 정보보호를 하는 기업이 가장 이상적이지 않을까 생각합니다. 그것은 곧 정보보호가 그 기업의 문화로 정착되어 누구나가 당연히 해야 할 것으로 인식하는 단계를 의미합니다.

우리가 예전에는 자동차 운전할 때 안전벨트를 불편한 것으로 인식하고 안전벨트 없이 운전하다가 경찰이 단속을 하게 되면 마지못해 안전벨트를 했었더라면 지금은 사람들의 안전에 대한 의식수준도 높아지고 사회적으로도 안전벨트의 중요성에 대해 인식을 하기 때문에 지금은 누구나 차를 타면 안전벨트를 하게 됩니다.

이와 같이 기업보안에 있어서도 직원들이 회사 정보보호를 위해 자연스럽고 당연하게 해야 한다는 인식을 갖게 만드는 것이 가장 이상적인 기업보안이라고 생각합니다.

[김영민 기자(sw@infothe.com)]