• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

툭 터놓고 얘기하는 보안의 잘못된 착각 3가지 2014.11.24

임직원 가족 같다? 고급정보 취급 고위직·기술연구직 유출 주범  

유출사고 없었다? 예방 시스템 없어 밝혀지지 않는 기업이 대부분

우리 회사 보안은 완벽하다? 경영자의 보안인식 부족 결과 


[보안뉴스=신현구 피앤에스파트너스 대표] 절대 배신할 사람이 없을 것이다. 우리 임직원 모두가 영원히 갈 것이다. 임직원을 회사가 믿지 못하면 어떻게 경영하겠는가?

1. 임직원 모두가 다 가족 같다?

이러한 생각들은 한마디로 말하자면 희망사항이고, 이상일 따름이며 실소를 금치 못할 잘못된 착각이다. 부모형제도 재산 때문에 이웃만도 못하게 지내는 것을 우리는 보지 못했는가? 물론 임직원을 믿지 말라는 게 아니다. 회사와 직원 상호간의 급부와 반대급부를 계약서나 정책기준에 의거해 상호 준수하고 존중해야 한다는 것이다.


평상시 매출도 좋고 분위기도 좋아 모든 조직원이 일치단결해 하나인양 보이는 건 사실이겠지만, 경기가 좋지 않아 급여나 처우가 열악해지거나 개인적인 근무 평가결과가 동료들에 비하여 뒤처지거나 기타 이유로 고용이 불안하다고 느낄 때도 과연 다 가족같이 생각한다고 확신할 수 있을까?


설령 기업 경기가 좋고 회사가 핵심인력에게 무한한 신뢰를 갖고 있다 하더라도 경쟁사에서는 호시탐탐 우리의 핵심정보를 확보하려는 욕심과 핵심인력에 대한 스카웃 노력을 하고 있다는 사실을 잊어서는 안 된다. 그 반증으로 최근 5년간 정보유출사고의 대부분은 전현직 임직원, 그것도 고급정보를 취급하는 고위직과 기술연구직의 소행으로 나타나고 있다.


이런 사태를 미연에 방지하기 위해서는 보안관리체계를 수립해 보안서약서와 반복적인 보안교육, 접근자 제한, 모니터링 및 매체제어 등의 노력이 평소에서 꾸준히 이루어져야 하는 것이다. 


2. 우리 회사는 이제껏 유출사고 한번 없었다?

지난 2012년 상공회의소 실태조사자료에 의하면 300개 상장 제조기업의 15%가 기술유출 경험이 있다는 통계가 있었다. 이는 결코 자랑할 일이 아니다. 또한 나머지 85%의 상장기업은 비밀정보가 유출되지 않았다는 말인가? 절대 그렇지 않다는 것은 자명한 사실이다.


이제까지 유출되어 왔고, 지금도 유출되고 있는 기업이 최소한 50% 이상인데, 피부로 느끼지 못하고 있거나 유출을 예방 및 탐지하는 시스템조차 없어 밝혀지지 않는 기업이 대부분이다.


기술 및 영업비밀 유출 소식을 접하다 보면 대부분 대기업에서 유출사고나 관계자 처벌 소식을 접하게 된다. 이는 대기업의 고급정보에 대한 집요한 정보입수 노력도 있겠지만 실제로는 웬만한 대기업은 핵심정보 유출을 미연에 예방하기 위한 부단한 노력을 하고 있으며, 특히 유출 증거을 확보할 수 있는 능력이 있기 때문이라고 봐도 된다. 그러나 국내 중소기업은 정보보호를 위한 사전적 노력이 결여돼 있는 게 현실이기 때문에 유출을 파악할 수 있는 활동이나 노력이 반드시 필요하다고 할 수 있다.  

  

3. 우리 회사의 보안은 완벽하다?

우리 회사의 보안은 완벽하다. 이런 생각을 갖고 있는 기업이 적지 않다. 그러나 안타깝게도 이 세상 어느 누구도 이런 말할 자격이 없다. 다 알다시피 현실은 보안체계가 매우 잘 구축돼 있다는 대기업도 유출사고로 피해를 입기 때문이다. 보안 시스템 구축을 위해 투자예산을 상신할 경우 경영자 입장에서는 곧바로 비슷한 질문이 나온다. “이거 도입하면 완벽한 거지?” “뚫리면 책임질 수 있지?” 황당하지 않을 수 없고, 경영자의 보안에 대한 이해 부족을 드러내는 질문일 것이다.


이러한 질문공세에 실무에서는 결재를 받기 위해 어쩔 수 없이 “최선을 다해 유출예방 활동을 하겠습니다”라는 말로 머리를 조아릴 수밖에 없다. 하지만 실제로 이렇게 해도 결국 유출사고가 발생해 보안부서장(보안임원)이 징계를 받은 사례는 비일비재하다. 이것이 얼마나 잘못된 경영자의 착각이란 말인가?

 

▲ P&S Partners 신현구 대표

이처럼 완벽한 보안은 존재하지 않는다. 마치 어린 자식이 울면서 과자를 사달라고 할 때 부모가 “그래 사줄테니까 앞으로 울지마”라는 수준일 수밖에는 없는 셈이다. 보안관리를 위한 기술적, 관리적, 물리적 등 모든 측면에서의 투자는 끊임없이 계속되어야 하며 꾸준히 관리되어야 한다.

 

다만 완벽한 보안을 목표로 최선을 다할 뿐인 것이다. 이를 위해 경영자는 보안부서나 보안담당자들에게 힘을 불어넣어 주어야 하고 권한을 강화해 주어야 한다. 유출사고가 발생했을 경우 보안부서장(보안임원)을 징계할 게 아니라 오히려 격려하는 문화를 만들어가는 일이 필요하다.

한 가지만 더 덧붙이자면 보안업무를 마치 허드렛일로 생각해서는 결코 기업정보를 보호할 수 없다. 10년 개발한 정보가 10분 만에 경쟁사에서 가져갈 수 있는 보안 환경 속에 살고 있음을 경영자가 하루빨리 깨달아야 한다.

[글_신현구 피앤에스파트너스 대표이사(peter@pnspartners.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>