[인터뷰] 박찬석 BAT코리아 보안담당이사 

[보안뉴스 김영민] 국내에서 보안책임자의 중요성이 높아지고 있다. 대기업 등에서는 예산을 투자해 관련 부서를 조직하고 시스템을 마련하고 있으며, 관련 기관 및 협회에서도 전문가 양성을 위한 교육과정을 진행하고 있다. 하지만 아직까지 해외에 비하면 아직 인식이 부족한 것이 사실이며 보안을 담당하는 이들 역시 이를 인정하고 있다.

▲BAT 코리아 박찬석 이사

그렇다면 국내에서 비즈니스를 하고 있는 해외기업은 어떠할까? 이들은 국내기준이 아닌 전 세계를 기준으로 한 보안 프로세스를 마련해 적용하고 있다. 이에 던힐, 켄트 등의 담배로 유명한 BAT코리아를 방문해 어떤 보안 프로세스를 마련하고 있는지, 그리고 보안담당자에게 필요한 역량은 무엇인지 들어봤다.

‘보안 매니저는 비즈니스 매니저가 돼야 한다.’ BAT 코리아 박찬석 이사의 지론이다. 단순히 기업보안을 위한 업무환경의 통제나 획일적인 보안정책만으로는 부족하다는 것으로 보인다. 왜 그럴까?

그의 말에 의하면, 비즈니스를 이해하는 과정에서 적절한 보안정책을 세울 수 있고, 이에 맞는 시스템을 마련할 수 있다는 것이다. 단순히 CCTV를 설치하고 지문인식, 스피드게이트, 보안요원(Security Guard) 운용 등으로 출입통제를 하는 것은 기업의 전체적인 보안을 위한 하나의 세부 수단일 뿐이다. 그렇다면 어떻게 보안정책을 수립해야 할까? 가장 중요한 것은 현재 자신이 몸담고 있는 기업에서 비즈니스 환경이 어떻게 흘러가고 있으며, 또 회사에서 보호해야 할 주요 가치로서 무엇을 강조하고 있는지를 먼저 파악해야 한다는 것이다.  

“삼성전자에 필요한 보안정책과 BAT코리아에서 필요한 보안정책이 같을 수는 없습니다. 내가 속해 있는 기업의 본질적인 사업적 가치에 대한 접근이 필요하고, 우리 회사의 목표가 무엇인지 어떤 자산을 보호해야 하는지를 인식하고 그에 따른 보안정책을 만들어야 합니다.”

기술개발이 중요한 기업과 마케팅이 중요한 기업과는 보호대상이 다르다. 그리고 철저하게 비즈니스에 초점을 맞추고 이를 통해 보안정책을 수립, 업무를 진행해야 적절한 방법이 마련된다는 것이다. 이와 함께 박찬석 이사는 보안 매니저의 전문성을 강조하고 있다. 최근 국내에서도 보안 매니저에 대한 인식이 높아지면서 적절한 예산과 인력이 투입되고 있지만 아직까지는 대기업에 국한되고 있다.

“재무업무나 인사업무를 담당하던 사람이 보안업무를 할 수 없습니다. 이유는 보안의 큰 그림을 그릴 수 없기 때문입니다. 보안을 업무를 제대로 하려면 큰 그림을 가지고 작은 단위로 구체적인 시행방침을 세워야 합니다. 기업의 비즈니스는 계속 변화하는데 전문성이 없다면 적절하게 보안을 통제할 수 없습니다.”

박찬석 이사의 말대로라면, 보안 매니저는 비즈니스 마인드와 보안 업무에 대한 전문성을 다 갖추고 있어야 한다. 하지만 국내의 상황은 어떠할까? 기업보안과 관련된 각종 세미나 토론회 등에서 국내 기업의 99%를 차지하고 있는 중소기업에서는 보안에 투자할 여력이나 인식이 낮다는 얘기를 들을 수 있다. 때문에 겸직을 하는 경우가 많거나, 책임자가 없는 경우도 볼 수 있다. 물론 기업에 따라 보안이 크게 중요하지 않다면, 문제가 없지만 기술을 보유하고 있거나 글로벌 기업으로 성장하는 기업에서는 전문성을 갖춘 보안 매니저가 필요하다.

기업보안 회사와 구성원 안전이 밑바탕 돼야 한다

그렇다면 박찬석 이사가 몸을 담고 있는 BAT의 보안정책의 큰 그림은 무엇일까. 우선 BAT코리아는 삼성전자나 LG전자처럼 예민한 산업기술 등을 다루는 기업보다는 정보보호 리스크가 적다고 할 수 있다. 때문에 포커스를 두고 있는 것은 중요한 마케팅 프로젝트나 재무적인 데이터, 그리고 생산과 관련한 공정 등의 정보를 보호하는 것에 초점이 맞춰져 있다. 하지만 다국적 기업이고 담배라는 제품을 다루고 있기에 보안업무의 범위는 국내 기업보다 넓다.

“BAT코리아의 보안업무는 궁극적으로 회사의 성장과 수익, 그리고 평판을 제고시키는 것에 기여하는 것이지만 다국적 기업의 특성상 외국인 직원과 그 가족들을 국내에서 안전하게 보호하는 것이 포함돼 있습니다. 그리고 담배 비즈니스의 특성상 불법유통을 방지하거나 이를 최소화하는 것이 보안업무의 하나입니다. 물론 회사의 정보나 마케팅 전략 등이 외부로 새어 나가지 않게 하는 것은 기본이라고 할 수 있습니다. 또한 사업의 리스크와 위기를 통합 관리하는 업무도 수행하고 있습니다.”

박찬석 이사가 말하는 BAT코리아의 보안업무는 회사의 자산과 운영을 보호하고 직원들이 국내외에서 안전하게 업무를 할 수 있는 환경을 마련하는 것이다. 그 다음이 비즈니스에 중요한 정보를 보호하는 역할을 수행하는 것이다.

통일된 보안 시스템, 각종 위협에 대응

다국적 기업은 대체적으로 국내기업보다 보안환경이 우수하다. 이유는 다양한 국가에서 비즈니스를 진행하고 있기에 국내 환경만이 아닌 전 세계의 환경을 고려하고 있다. 또, 보안의식 역시 국내보다는 훨씬 높다고 할 수 있다. BAT코리아 역시 마찬가지다.

“한국의 경우, 남미, 동남아시아, 유럽, 아프리카 등에 비해 보안위협이 상대적으로 적습니다. BAT는 전 세계를 대상으로 비즈니스를 하고 있기에 한국의 보안환경이 아닌 보안이 열악한 나라들에 대한 위협을 고려하고 있어 보안위협에 대한 인식이 국내기업보다 훨씬 높다고 할 수 있습니다. 또한, 100년이 넘는 기간동안 운영된 기업으로 보안업무에 대한 자료들이 잘 정리되고 공유돼 있습니다. 이를 참고해 요건에 맞는 적절한 보안정책을 수립할 수있고 위기에 빠르게 대처할 수 있습니다.”

박찬석 이사의 말대로 100년이 넘는 기간동안 수립된 보안정책 및 업무자료는 다양한 보안위협에서 기업을 보호하기에 더할 나위 없을 것으로 보인다. 또한 전 세계적으로 통일된 보안 매뉴얼이 마련돼 있기도 하다.

내·외부 적절한 통제수단 마련 보안성 UP

BAT코리아에서 시행하고 있는 몇 가지를 살펴보면 다음과 같다. 우선 정보보안 프로세스가 잘 구축돼 있는지 정보보호에 대한 환경 컨트롤이 가능한지, 이를 어떻게 다루고 있는지, 정보접근에 대한 통제가 이뤄지고 있는지 등에 대한 수십 가지 항목에 대해 각 나라별로 위협평가를 실시하고 이를 체크해 하나의 표로 만든다. 때문에 잘되고 있는 국가의 시스템을 벤치마킹해 적용할 수 있어 그룹의 전체적인 보안수준이 높아질 수 있다. 또한, 비즈니스를 진행하면서 발생할 수 있는 영업비밀 등의 유출을 막기 위해 벤더사들의 보안을 점검하고, 지원하고 있다.

“마케팅 프로젝트를 벤더사들과 진행하는 경우가 있습니다. 예를 들어 글로벌마케팅을 담당하는 주요 벤더사가 있으면 2차 벤더사가 있고 프로젝트의 내용과 크기에 따라 3차 벤더사도 있습니다. 단계가 많아질수록 리스크는 점점 커진다고 할 수 있습니다. BAT에서는 이런 리스크를 줄이기 위해 벤더사 선정에 참여하고 벤더사 평가단의 구성요원으로 보안환경 수준이 어떤지를 점검합니다. 그리고 프로젝트를 안전하게 보호하는 측면에서 보완이 필요한 부분에 대해 요구사항을 전달하고 지원하고 있습니다.”

1차 벤더사뿐 아니라 2, 3차 벤더사의 보안환경까지 고려하는 것은 업무의 가중을 가져올 수 있지만 협력사 등을 통해 발생할 수 있는 영업비밀 등의 유출을 막기 위해서는 최선의 노력이라고 할 수 있다. 이외에도 BAT코리아는 세부업무부서 단위로 업무자료의 접근을 통제해 해당부서에서만 열람을 할 수 있도록 하는 업무자료관리정책(Records Management Policy)을 시행하고 있으며, 불시에 클리어 데스크(Clear Desk) 점검을 통해 리스크를 줄이며 직원들의 보안의식을 제고하고 있다.

또한, 사업의 영속성 관리(Business Continuity Management)라는 보안 툴을 통해 사업의 위협을 분석하고 큰 리스크 상황들에 대해서 각 부서별로 우발계획이 수립될 수 있도록 지원하고 있다. 이에 대해서는 연 1회 계획을 보완하고 각 우발계획별로 매년 시나리오 훈련을 진행하고 있다.

“BAT코리아에서 시행하고 있는 보안방침들은 어떻게 보면 업무에 많은 불편을 가져올 수 있습니다. 하지만 보안위협을 줄이기 위해서는 많은 노력이 필요합니다. 위협을 고려한 적절한 통제수단을 마련하고, 직원들에게 충분히 설명하는 것은 물론 계도기간을 부여합니다. 그 이후에는 강력히 시행해 기업문화로 정착되도록 하고 있습니다.”

현재 BAT에서 마련한 보안방침은 이외에도 여러 가지가 있다. 기업운영의 목표는 무엇보다 매출을 통해 수익을 보장하는 것이다. 모든 보안방침은 회사의 평판을 높이고 보다 안전한 업무환경을 만들고 손실을 최소화함으로써 기업의 목표에 기여하는 것이다. 이와 관련 박찬석 이사는 시큐리티의 본질은 보이는 가치와 보이지 않는 가치를 통해 재무적인, 평판적인 측면에서의 부정적 요소를 최소화하는 것이라고 강조했다.

[박찬석 이사가 제시하는 Security Tip]

첫 번째 경영진이 보안업무의 가치를 인식해야 한다. 철저히 탑다운 방식인 보안은 밑에서 아무리 중요하다고 떠들어봐야 시행될 수 없다.

두 번째 직원들의 보안의식이 상향평준화 돼야 한다. 보안의식이 강한 사람과 약한 사람이 있다. 하지만 보안환경은 이를 통합해 운영하고 있어 전 직원들의 보안의식이 상향평준화 돼야 기업의 보안수준도 높아진다.

세 번째 전문성을 갖춘 보안책임자가 있어야 한다. 비즈니스 환경은 계속 변하기에 때마다 적절하게 보안을 통제할 수 있는 전문성을 갖춘 책임자가 있어야 그에 따른 보안 환경을 구축할 수 있다.

네 번째 적절한 보안 시스템이 갖춰져 있어야 한다. 설비는 물론 보안절차, 매뉴얼 등이 마련돼 있어야 하며, 이를 통해 위협에 적절하게 대응할 수 있다.

다섯 번째 적절한 예산이 지원돼야 한다. 설비를 마련하고 보안체계를 갖춰야 보안위협에 대응할 수 있다. 단 현재 수준을 계속 유지하거나 추가적으로 보완해야 할 것들을 갖추기 위해서는 의사결정자들을 설득할 수 있는 구체화된 계획이 마련돼야 한다.

[김영민 기자(sw@infothe.com)]

<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>