• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

믿을 사람 하나 없는 세상, CEO도 예외는 아냐 2016.01.22

직원들 보안 의식엔 신경 곤두세우나 임원진에겐 너그러워
가장 민감한 정보 풍부히 접해온 임원진의 퇴사는 비상사태

[보안뉴스 문가용] 지난해 초, 체서피크에너지(Chesapeake Energy)사는 前 CEO를 고발했다. 퇴사하면서 기밀을 가지고 나갔다는 게 그 이유였다. 기밀에는 석유 및 가스 착굴지역으로 예정된 곳에 대한 지도와 경쟁사에 대한 정보도 포함되어 있었다. 카풀 전문 기업인 리프트(Lyft)도 2014년 말에 前 COO를 고소했다. 신제품 개발 계획 및 금융 정보를 가지고 퇴사해 경쟁사인 우버(Uber)에 입사한 것이 그 이유였다.

▲ 어허, 난 그런 사람 아닐세.


이런 사건들이 의외로 꽤나 많다. 물론 그 중엔 허위사실도 있곤 해서 C자 붙은 임원진들이 전부 잠재적 배신자라고 할 수는 없다. 하지만 늘 직원이 문제다, 아르바이트들이 문제다, 파트너사가 문제다, 라고 하는 위대하신 지적들 가운데 왜 여태껏 C자 붙은 임원진분들에 대해서는 언급을 공손하게 자제해왔는지 한 번 생각해볼만 하다. 따지고 보면 제일 높은 권한을 갖고 가장 은밀한 정보에 가장 쉽게 손이 닿는 사람들이 바로 그들인데 말이다.

더 중요한 건 ‘퇴직하는 자’에 대한 보안 조치가 상당히 느슨하다는 것도 위 사건이 주는 교훈이다. 참 신기하다. C레벨 운영진을 뽑을 때 회사들은 얼마나 주의에 주의를 기울이는가? 굉장히 격렬한 인터뷰도 여러 차례 진행하고 배경조사는 기본이다. 심지어 수사 수준의 뒷조사를 하는 곳도 심심찮게 있다. 그런데 그렇게 공들여 뽑은 C레벨 운영진이 회사를 그만둘 때도 이렇게 까다롭고 복잡한 과정을 거치는가? 퇴사와 보안을 연결시켜 놓은 정책이 존재하는가? 아직 Yes라고 대답할 만한 곳이 그렇지 않은 곳보다 훨씬 적은 게 현실이다.

그러므로 기업들은 직원들이 회사를 나갈 때의 위험부담을 파악하고 줄일 수 있는 방법을 모색해야 한다. 그리고 이를 정책으로서 공표해야 할 것이다. 이를 위해선 최소 다음 두 가지 과정이 반드시 필요하다.

1. 퇴사 의사를 밝힌 임직원의 온라인 활동을 잠정 퇴사일 30일 전부터 관찰한다. 이는 권고사직을 받은 임직원의 경우도 마찬가지다.

2. 여러 가지 이유로 누군가 회사를 떠나기로 결정했다면, 회사의 보안 담당자는 당사자를 면담해 회사의 기밀보호 관련 정책들을 다시 한 번 검토한다. 그리고 그 정책에 나온 사항에 비춰 퇴사자가 아무런 이상이나 위반 행위를 하지 않았다는 걸 확인하는 절차가 필요하다.

이는 일반 직원은 물론 임원급들에게도 엄격하게 적용해야 한다.

가끔 높은 직책에 있던 사람이 아주 급하게 회사를 나가야 되는 때가 있다. 이런 저런 정책에 의한 절차가 다 지켜질 시간적인 여유가 없을 것이다. 그럴 때는 CEO가 직접 나서서 퇴사자에 대한 보안 점검을 서둘러 진행해야 한다. (CEO가 나서면 뭐든 절차가 빨라지는 건 만국공통 아니던가.) 그런데 이게 되려면 입사 초기부터 ‘퇴사 시에는 보안 점검을 반드시 해야 한다’는 사규가 있음을 인지시키고 확인을 받아야 한다. 즉, 퇴사 시의 보안은 입사 때부터 고려해야 한다는 것이다.

그런데 CEO가 나가야 한다면? 그것도 급히? 이때는 임원단 전체가 움직여야 한다. 이를 위한 태스크포스를 임시로 지정하고 구성한다 해도 전혀 ‘오바’가 아니다. 여기엔 보안 책임자도 포함되어야 하며 법무부 책임자도 함께해야 한다. 보안과 기밀에 대한 사규를 꼼꼼히 점검하고 기술적인 조치도 필요하다만 취해야 한다.

회사의 기밀은 밖으로 새어나갈 경우 회사에 커다란 타격을 입힌다. 심지어 망하게 할 수도 있다. 가장 중요한 기밀을 다뤄온 사람들이 퇴사를 한다고 했을 때 ‘온정’만 믿어서는 안 된다. ‘설마 그러겠어?’라는 마음이 가장 큰 취약점이다. C레벨 임원진이 나간다는 건 요즘 같은 세상에선 비상사태다. 새해에 혹여 사규와 정책을 점검할 계획이 있다면, 임원진의 퇴사와 같은 경우에 대한 대책도 마련해야 할 것이다.

글 : 마이크 티어니(Mike Tierney)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>