기업보안 이슈 되짚어보기

한국기업보안협의회(KCSMC : Korea Corporate Security Managers┖ Council)는 지난해 11월 발족된 이래 1년여 간 기업보안이슈를 지속적으로 제기하면서 보안책임자간 정보교류 및 의견교환의 자리로 확고히 자리매김했다. 지난 11월 8일 한국씨티은행의 신문로 씨티코프센타에서 개최된 모임에서는 올 정기국회를 통과한 산업기술유출방지법의 주요골자에 대해 논의하고, ‘직원들의 부정행위 방지’에 관한 박찬석 회장의 주제발표와 회원 상호간 토론이 밤늦도록 이어졌다.

11월에 개최됐던 KCSMC 모임에서는 북한의 핵실험과 ‘산업기술유출방지및보호에관한법률(이하 산업기술유출방지법)’의 공포 등 기업보안체계에 영향을 미칠 만한 굵직굵직한 이슈가 제기된 탓인지 참석한 회원들의 열기가 그 어느 때보다 뜨거웠다.

 

굵직굵직한 산업보안이슈 논의

우선 모임장소를 제공했던 한국씨티은행 CSIS팀의 이성규 팀장은 글로벌 금융그룹인 씨티그룹과 씨티은행의 보안체계에 대해 소개하는 자리를 통해서 금융권 보안의 키포인트가 무엇인지 되짚어볼 수 있는 기회를 갖도록 했다.

이 팀장은 “씨티그룹은 회사의 보안헌법과 같은 Security & Safety Policy를 체계적·구체적으로 수립해놓고, 전 세계의 모든 씨티은행 지점에서 이를 철저하게 지켜나가도록 했다”며, “금융권은 물론이지만, 모든 기업에 있어 보안의 첫걸음은 보안정책 및 지침을 최대한 세부적으로 만든 다음, 이를 확실히 수행할 수 있도록 지원하고, 여건을 조성하는 일”이라고 설명했다.        

한국씨티은행의 보안체계에 대한 설명이 끝난 후, 지난 9월말 정기국회를 통과해 정식 공포된 바 있는 산업기술유출방지법의 주요골자에 대해 기자가 간략하게 설명하는 시간을 갖고, 법안에 대한 회원들의 의견교환이 활발하게 이뤄졌다.

산업기술유출방지법의 제정취지와 목적에 대해 협의회 회원 대부분은 공감하면서도 제11조에 ‘국가핵심기술의 수출’ 조항 등에 대해서는 해외법인 및 공장을 설립·운영하거나 해외업체와의 협력관계를 구축하는데 있어 장애요인으로 작용하지 않을까 우려하는 목소리도 있었다.

그러나 산업기술보호협회 설립을 규정한 제16조 등 여러 조항은 기업이 보안체계를 강화하는데 있어 그간 어려움을 겪던 정보부족이나 지원 미흡 등의 문제를 상당부분 해소될 수 있으리라는 데 뜻을 같이 했다.       

부정행위의 필수포함요소 ‘의도적’과 ‘기만’

<주제발표를 맡았던 KCSMC 박찬석 회장>

산업기술유출방지법에 대한 열띤 토론이 벌어진 다음에는 이번 모임의 토론주제인 ‘직원들의 부정행위 방지’에 대해 BAT코리아 보안담당이사이자, KCSMC 박찬석 회장의 발표가 이어졌다.

박 회장은 발표를 시작하면서 “직원 4명중 3명은 회사로부터 무엇인가 훔칠 가능성이 있고, 4명중 1명은 항상 무엇인가 훔치고 있으며, 4명중 2명은 환경이 허락한다면 훔칠 것이다?”라는 이야기로 화두를 던지며, 대부분의 국내기업 경영진들이 직원들의 부정행위에 무관심하다고 지적했다.

이어 그는 “의도적인 기만을 바탕으로 한 규정에 반하거나 불법적인 행위”라고 부정행위(fraud)의 개념을 정의하면서 부정행위에는 ‘의도적(intentional)’이라는 것과 ‘기만(deception)’이라는 2가지 요소가 반드시 포함된다“고 덧붙였다. 이와 함께 박 회장은 “직장동료들은 의심나는 부정행위를 인지하고도 문화적인 이유로 또는 보복이 두려워 말하려고 하지 않는다”는 한국적 조직문화의 특성을 도마 위에 올려놓기도 했다. 

그의 발표에 따르면 부정행위는 상존하는 비즈니스 리스크로, 통계에 의하면 대부분의 경우 현재 혹은 과거 직원들이 연루돼 있을 뿐만 아니라 복잡하며 조사하는데 시간이 걸린다. 특히, 부정행위자들은 회사 내에서 신뢰 받고 있는 직원들이며, 경우에 따라 직위가 높은 매니저일 수도 있다는 것이다. 더욱이 통제절차의 미숙함과 경영진의 무관심이 부정행위를 조장할 수 있다는 지적이다.   

박찬석 회장은 “이러한 부정행위가 발생할 경우 직원들의 스트레스 및 법적인 조치에 따른 비용이 증가하게 됨은 물론 회사이미지 실추와 회사가치 하락에 의한 주주이익 손실이 발생하고, 장래에 비즈니스 기회가 감소하는 심각한 피해로 이어지게 된다”며, “부정행위의 위험을 줄일 수 있는 방안, 일례로 주요 직책 입사자들에 대한 백그라운드 체크 및 내부고발제도 활성화 등의 대책이 필요한 시점”이라고 설명했다. 

부정행위의 일반적 유형

·절도(제품, 부품 또는 현금)/ 서류 중복 조작  

·계획보다 부족한 제품 배달/ 판매전 부풀림/ 회계자료 조작

·회사비용 처리 영수증 조작(위조 또는 부풀림) 

·특정한 계약업체에 특혜 제공 또는 비용 부풀림(대가를 받음)

·위조 수표 또는 Credit Card 발행     

·융자 부정행위/ 조작된 손익계산서

·컴퓨터 거래 부정행위  

통제절차 수립이 부정행위 예방에 ‘첩경’

박찬석 회장의 주제발표가 끝난 후, 회원들은 각자의 경험을 토대로 부정행위의 유형과 방지대책에 대한 의견을 교환했다.

한국씨티은행의 이성규 팀장은 “우리나라 대기업 직원들은 계약관계에 있는 중소업체 담당자에게 술값을 대신 부담토록 하는 등 과도한 요구를 하는 경우가 비일비재하다”며, “이러한 문제를 해결하기 위해 중요한 결정은 두 사람 이상이 결정토록 하는 등의 제도적 장치를 마련할 필요가 있다”고 말했다. “가장 간단한 예로 한국씨티은행에서는 사무실에서 퇴근할 때도 항상 두 사람 이상 함께 나오도록 하고 있다”고 그는 설명했다.

또한, 보안컨설팅 전문업체 Hill&Associates의 김성근 이사는 기업 내의 부정행위 조사경험을 예로 들면서 “국내기업의 경우 부정행위 방지업무는 보안업무영역에서 대부분 제외돼 있을뿐더러 백그라운드 체크나 내부고발제도도 활성화되지 못한 상태”라고 지적하며, “기업 자체적으로 부정행위 방지업무에 대한 체계적인 정립이 필요하다”고 강조했다.  

KCSMC 박찬석 회장은 마무리 발언을 통해 “통제절차를 보다 체계적으로 마련해놓는 것이 기업내 부정행위를 예방하는 데 있어 첩경”이라며, “이를 위해 기업보안담당자들이 보다 적극적인 역할을 해야 할 시점”이라고 당부했다. 

[월간 시큐리티월드 권준 기자(info@boannews.com)]

           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>