Total 개념의 Security 조직 구성·운영으로 리스크 감소

[보안뉴스=백봉원 ASIS International Korea Seoul 사무총장] 지난해 삼성은 유독 환경 안전사고가 많이 발생했다. 화성반도체 공장 불산 유출사례(8명 사상자), 기흥 발광 다이오드 공장 화재, 삼성정밀화학 물탱크 폭발(15명 사상자) 등 연이어 크고 작은 안전사고가 일어난 것이다.

이로 인해 결국 삼성은 삼성엔지니어링 대표이사를 경질하고 이러한 사고에 대비한 안전과 사고 예방 강화에 초점을 맞추고 있다. 안전 분야 투자 증대 및 보안의식 향상을 위한 조직문화 개선에 중점을 두고 조직을 정비하며 대학에 관련 학과를 신설해 인력 채용을 확대하는 방안 등도 추진하겠다고 발표했다. 특히 환경 안전분야 뿐만 아니라, 각 계열사에 CSO를 두고 보안 분야를 보강한 것은 의미가 있다고 생각한다.

타 기업들도 ‘현재 잘 진행되고 있는데, 굳이 보안조직을 두어야 하나?’라는 의문점만 가지고 있다가 결국 사고가 발생해 그때서야 부랴부랴 보안조직을 만들어 조직문화를 만들어가는 우(愚)를 겪지 않도록 해야할 것이다.

전에도 언급한 바 있지만, 이런 보안조직의 활동으로 구성원의 보안의식 고취 및 교육 홍보 등으로 각종 리스크(Risk)를 예방하고 사건사고를 미연에 방지할 수 있는지, 그리고 선진 기업들이 왜 Total 개념의 보안조직을 두어 운영하고 있는지 이유를 생각해 볼 필요가 있는 것이다.

Corporate Security 업무 자격

기업보안 책임자는 Total Security의 개념을 정확하게 이해하고 포괄적이고 거시적인 관점에서 조직을 관리할 수 있는 능력이 있는지 신중히 고려되어야 한다. ‘기업보안 업무를 위한 기본 소양이 무엇인가?’ 라고 묻는다면 다양한 업무 경험과 상황판단, 그리고 임기응변이라고 말하고 싶다.

전문 종합과정인 보안의 업무 특성상, 회사의 전체 사업부문의 리스크관리 차원에서 가급적 다양한 분야에서 업무를 경험한 직원이라면 좀더 효율적으로 업무를 수행할 수 있다. 사건사고의 발생 및 조사는 해당 업무의 성격을 가급적 잘 이해해야 문제 해결에 접근하기가 용이하고 시간을 단축할 수 있기 때문이다. 또 갑작스러운 사건사고에 대한 판단력도 중요하며, 빠른 임기응변ㅇ 상황의 확대를 막을 수 있는 매우 중요한 능력이라고 할 수 있다.

그러나 경력직원의 경우, 업무이해도 및 대응능력 측면에서 나을지 모르나 반드시 적격자라고는 말할 수 없다. 재직 시절에도 보안업무와 맞지 않는 성격이라 느꼈던 직원은 상황판단능력, 소위 센스가 떨어지는 직원이었던 것으로 기억한다.

때로는 오히려 그러한 소양을 가진 신입사원을 뽑아 잘 육성하는 것이 더 효과적일 수 있다. 신입사원의 경우 업무적인 측면에서 받아들일 수 있는 기본 소양이 다양하고 창의력이 풍부하다는 점, 또 기존 구성원 조직에 신선함을 준다는 차원에서 선호될 수도 있는 것이다. 

주관적인 부분이겠지만 ‘보안업무에 적합하다’라고 선호했던 직원의 유형을 과거에 회자되었던 ‘ㄲ’의 유형으로 정리해보고자 한다. 물론 아래 언급되는 사항들이 비단 Security 업무에만 적합한 사람으로 국한되지는 않겠지만 면접 시에 가급적 업무 적격자로 확인했던 것으로 기억하고 있다.

첫째, ‘끼’가 많은 사람을 선호했다. 일할 때 열심히 일하고 회식 등의 자리에서 누구보다도 재미있게 어울리는, 즉 공사를 구별하며 신바람을 이끌 수 있는 직원이다. 대부분의 이런 직원들은 일을 재미있게 할 뿐 아니라 상황 판단력이 뛰어나고 지혜로워 Security 업무에 적합했던 직원으로 기억하고 있다.

둘째, ‘꾀’이다. 여기서 말하는 ‘꾀’란, 지식을 말하는 것이 아니고 지혜를 말한다. 간혹 지식은 풍부한데 그 지식을 활용하지 못하여 안타깝게도 일하면서도 성과를 못내는 직원들이 있다. 그러나 지혜로운 사람은 비록 알고 있는 지식은 짧아도 문제를 해결하는 능력과 판단력이 우수하여 좋은 성과물을 만들어낸다.

셋째는 ‘깡’이다. 어려운 상황이라 하더라도 의지와 용기로 문제를 해결하려는 직원이야 말로 추진력이 있는 필요한 사람이다.

넷째는 ‘꿈’이다. 비전(Vision)을 가지고 즐겁게 업무에 임하는 사람과 마지못해 업무를 처리하는 직원과는 업무의 과정은 물론이거니와 성과 부분에서도 분명히 차이가 있다.

다섯째는 ‘꼴’이다. Security 업무를 하는 직원으로서 자신감과 첫인상, 호감 등도 중요한 부분이다.

현재 국내 Security 관련 업무의 주류를 이루고 있는 군이나 경찰 또는 IT분야 출신이 기업보안 업무에 ‘적합하다, 아니다’라고 단정지울 수는 없지만, 군경 지휘관으로서 통찰력과 관리능력을 지닌 사람이라면, 그리고 업무 유사성을 고려한다면 보다 적합할 수 있다고 생각한다. 그러나 꾸준한 자기계발과 적성 그리고 노력이 있는 사람이라면 기업보안 업무에 도전할 수 있을 것이다.

이러한 능력을 평가할 수 있는 잣대인 보안분야 자격시험 중 CPP(Certified Protection Professional)라는 것이 있다. CPP는 국제적으로 인증된 Security 관련 자격으로 Security 8가지 주요 분야의 테스트이며 Security 전반의 영역에서 지식과 경영능력을 입증하는 시험이다. 테스트 영역은 Security Principles and Practices, Business Principles and Practices, Investigations, Personnel Security, Physical Security, Information Security, Crisis Management, Legal Aspects로 실시하게 된다.

자격 요건은 보안실무 경력 7년 이상이어야 하고, 시험문제는 영문으로 포괄적인 상황의 해석을 요하는 문제가 출제돼 취득이 쉽지는 않다. 그러나 일단 취득하기만 한다면 전 세계에서 인정받는 자격을 획득하는 것뿐만 아니라 해외 기업에서는 모셔가는 형태로 상당한 예우를 받을 수 있다.

ASIS(American Society of Industrial Security)에서 주관하며 이외 ASIS에서 주관하는 Security 관련자격증은 Professional Certified Investigator(PCI), Physical Security Professional(PSP) 등이 있다. 보안 분야에 공부하고 업무에 관심 있는 사람들은 눈여겨 볼만한 자격증이다.

Corporate Security 초기 운영단계

기업에서 보안조직을 구성하여 업무를 시작하게 된다면 다음과 같은 단계로 계획할 수 있다. 첫 단계는 ‘Security Operations’에 대한 기반의 확립이다. Corporate Security의 조직과 기능을 구성하고, Security Staff Members들에 대한 On-The-Job Training과 필요 시, Corporate Security가 잘 운영되고 있는 회사를 Benchmarking하는 것도 검토할 수 있다. 그리고 동시에 매뉴얼과 절차를 정리하고 수립한다.

두 번째 단계는 ‘Infrastructure’를 구축하는 것이다. Access Control System 및 Perimeters 등을 재검토하고 정해진 기준에 맞도록 조정한다. 또한 업무의 성격과 내용을 직원 등 Business Partner들에게 홍보해 참여를 이끌어 내고 Security Awareness가 향상될 수 있도록 노력해야 한다.

아울러, 정리된 매뉴얼과 절차를 표준화해 관리할 수 있도록 해야 한다. 이때, Security 관련 투자에 대한 예산 확보가 중요하므로 경영진 설득과 이해를 얻는 것이 중요한 관건이 될 것이다.

세 번째는 Security의 정착과 한 단계 업그레이드할 수 있는 체계를 확립하는 일이다. Security Function을 강화하고 지속적으로 Security Infrastructure의 업그레이드를 지속함으로서 기업 전반에 최선의 Security(Best-in-class security) Service가 제공될 수 있도록 한다.

사실 기업마다 상이하겠지만 보통 1, 2단계는 3~4년 정도 소요될 것으로 생각하며, 개인적으로는 이때의 업무가 가장 재미있었던 시기로 기억한다. 이후 어느 정도의 기반이 구축되면 그 다음부터는 Investigation 분야의 업무 비중이 높아가기 시작된다.

그러나 Investigation 업무 역시, 초기 단계에는 업무의 독특한(?) 특성상 재미있었지만 업무에 부담이 있다는 것을 시간이 지나면서 알게 되었다. 친한 동료에게 차 한잔을 위해 방문했을 경우, ‘잘 지내냐?’가 아닌 ‘여기 무슨 일 있냐?’ 라고 묻곤 했으니까.

[글_ 백 봉 원 ASIS International Korea Seoul 사무총장

(메일 : jhpaik100@daum.net / 카페 : http://cafe.naver.com/securitycso)]

      <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>