보안강화, 비즈니스의 첫출발  

Q. 먼저, 기업보안에 관심을 가지게 된 배경과 그간 수행했던 주요 프로젝트에 대해 설명해 달라.

A. 현재 홍콩에 소재한 글로벌 컨설팅사에서 수석 보안 컨설턴트로 재직하고 있으며, 약 25년 전부터 보안과 인연을 맺어 일을 해오고 있다. 특히, 기업보안, 손실방지, 위기관리 분야에서 다양한 경험과 전문지식을 갖추고 있다고 자부하고 있으며, 현재 재직하고 있는 글로벌 컨설팅사는 아태지역에서 기업보안 교육, 보안관리 상담, 위험평가 및 분석, 위기관리 계획, 모의훈련, 감사, 임원관리 프로그램 등과 관련한 사업을 전개하고 있다. 우리의 주 고객은 다국적 기업을 비롯한 정부 및 민간조직, 하이테크 기업, 병원, 제조업체, 제약회사, 학교 등을 들 수 있다.

Q. 최근 기업보안의 침해유형도 각양각색으로 변하고 있는데, 시대의 변화에 따른 변천과정에 대해 설명한다면.

A. 산업스파이와 기업정보 수집은 어떻게 다를까. 산업스파이는 이윤추구를 위해 조직적이지만 불법적이고 비도덕적인 방법으로 경제, 산업, 상업적 대상과 관련된 독점적이고 민감한 정보, 사업계획, 연구개발 데이터를 수집하는 행위를 하는 사람이다. 기업정보란 다소 새로운 용어로서 타 업체와의 경쟁에서 우위를 점하기 위한 정보, 내부정보 소스, 마케팅 정보 및 기타 정보의 가치 혹은 이의 수집활동을 의미한다. 사업기밀을 빼내기 위한 정보수집 활동에는 함정수사에서 도청에 이르기까지 수많은 방법이 있다. 최근에는 사이버 시대의 도래로 정보가 인터넷상에서 자유롭게 이동할 수 있게 됨으로써, 산업스파이들이 개척(?)할 수 있는 또 다른 분야가 생기게 된 것이다.

Q. 기업보안에 대한 경영자들의 인식이 점차 높아지고는 있지만 아직 미비한 수준이다. 보안과 경영자와의 상관관계에 대해 설명해 달라.

A. 앞으로 기업 총수들은 기업 인프라에 가해질 보안위협 및 위험, 특히 신제품의 디자인 및 기술과 관련된 보안에 관해 깊이 인식하고 위협에 대처할 수 있어야 한다. 1980년대까지만 하더라도 많은 기업들은 사업상의 이유로 보안상의 결함과 손실들이 대외적으로 노출되는 것을 꺼려해서 많은 손실을 감수해야만 했다. 그러나 1990년대와 2000년대에 들어 이러한 태도는 많은 변화를 가져왔다. 이제 기업은 자발적이고도 능동적으로 보안 컨설턴트 또는 정부와 협력해 산업스파이를 색출하고 비도덕적인 행위를 저지른 범죄자들을 단호히 처벌하는 추세다.

Q. 기업보안은 각 국가별 문화와 정서에 따라 조금씩 차이가 있을 것 같은데.

A. 서구에서는 효과적인 보안 시스템 개발이 매우 활발하다. 그러므로 다국적 기업들은 보안을 위해 자원 및 인력을 할당, 기업자산을 철저히 보호·감시하고, 재난시에는 복구한다. 보안전문가들 또한 다양한 교육기관이나 대학에서 보안관련 교육·훈련을 받아 보안 수준을 높일 수 있는 기회가 있다. 그들에게 보안은 직업일 뿐 아니라 자신의 몸값을 책정하는 주요한 경력에 속한다. 반면, 아태지역의 기업들은 보안전문가들을 기용하는데 있어 보다 소극적이고 부정적이다. 기업경영자의 관점에서 볼 때, 보안은 비용이다. 보안이 단순한 비용이건 고부가가치 서비스이자 수익의 원천이건, 보안은 실제 구현하는 것 그 자체만으로 평가되어야 한다. 최근 많은 대학들이 다양한 보안교육 및 훈련 프로그램을 운영하고 있다. 이것은 보안전문가들이 지식과 기술을 강화하는데 많은 도움은 되지만, 보안이 전문적인 직업으로 널리 인식되고 있는지, 중요한 경력으로 간주되고 있는지는 여전히 판단하기 어렵다. 

Q. 한국의 경우 기업보안에 대한 중요성은 인식하고 있지만, 수반되는 비용으로 인해 적극적으로 도입하기에는 어려운 점이 있다. 아태지역 소재 국가들의 경우, 기업보안에 대한 인식은 어느 정도 수준인가.

A. 아태지역에도 보안이 잘 구축돼 있는 업체가 의외로 많다. 여기서는 언급할 수가 없지만 업종별로 보면, 이동통신, 반도체, IT, 석유화학, 금융, 제약분야의 다국적 기업 및 사법기관, 대사관 등을 예로 들 수가 있다.

기업보안에 대한 올바른 접근방식은 명확하고 예방적이며 전략적이어야 한다. 시간, 돈, 노력을 들여 많은 투자를 하고 있는 기업이 있다면, 이 기업은 인적자산과 가치 있는 정보를 보호해 기업을 성공으로 이끌 수 있는 보안 시스템이 충분히 갖추어져 있는지를 가장 먼저 자문해야 할 것이다. 하지만 이상과 현실은 항상 괴리가 있는 법, 그 괴리를 어느 정도 줄이느냐가 중요하다. 대다수의 다국적기업 및 글로벌 기업은 기업자산을 보호하는데 많은 비용을 투자하고 있다. 이렇게 함으로써 이 기업들은 보안을 통해 얻고자 하는 목표를 명확히 세운다. 21세기에 기업들이 직면한 난제 중 하나는 위협 및 위기관리에 관한 것으로 ‘사업 위협 및 위기의 최소화, 사업 기회의 최대화’가 바로 그것이다.

기업체가 보안을 하지 않는 것을 두고 이것을 단순한 옳고 그름의 문제로 접근해서는 안된다. 기업들은 ‘보안’이 사업 및 조직문화의 일부라는 것을 인정하고 지원을 아끼지 말아야 한다. 보안전문가들은 직업적 안정감을 얻어야 하며, 경력이 쌓일수록 성장해야 한다. 보안분야와 관련한 평생 학습과 지속적인 개발 또한 중요한 과제다.

Q. 기업보안을 위해 검토 또는 고려해야 할 점이나 추진계획 수립에 대해 조언한다면.

A. 첫째, 산업스파이 행위의 발생 가능성과 이것이 조직에 미칠 영향을 고려해야 하고, 손실을 최소화하기 위한 모든 타당한 조치를 취해야 한다. 둘째, 사정 작업을 위해 믿을 만한 전문 보안 컨설턴트를 선택해야 한다. 셋째, 소송을 위해 법률 전문가를 찾아야 한다.  

Q. 기업보안 컨설팅이라고 생각하면 그 범위가 매우 광범위한데, 업무흐름에 대해 설명해 달라.

A. 보안 컨설팅을 의뢰받고 착수할 경우, 맨 처음 하는 일은 실행 가능성 조사, 위험평가, 영향분석이다. 잠재 위협에 대해 경고하고, 생명, 정보, 자산, 사업기밀, 심지어 합작 및 인수합병 계획을 보호하기 위한 전략적·전술적 해결책을 찾는 것이 목표다.

Q. 기업보안 시스템 도입시 가장 먼저 고려해야 할 점은 무엇인가.

A.  정보통제 정책, 계획, 시스템, 프로그램, 지침 등이 갖추어져 있어야 한다. 보안은 조직원 모두의 책임인 것이다. 이것과는 별도로, 좋은 보안 시스템은 양질의 전문가, 물리적 및 전자적 보안 시스템, 사건조사, 보안검사·조사 및 감사, 보안의식, 훈련 프로그램 등을 포함해야 한다. 가장 중요한 것은 경영진의 의지와 지원이다. 이로써 기업보안은 성공할 수 있는 것이다.

Q. 기업보안은 도입도 중요하지만 관리 및 운영이 더욱 중요하다. 효율적인 운영방법에 대한 노하우를 제시한다면.

A. 보안전문가들은 조직 내외의 불법, 비도덕적 행위를 감지할 수 있는 전문지식을 갖추고 있어야 한다. 직원은 조직의 훌륭한 자산이다. 이들은 항상 존중받고 신임을 얻어야 한다. 보안은 기업문화의 일부로서 전직원의 임무이다. 이렇게 되었을 때 해당 기업의 보안 시스템은 최고의 시스템이 될 수 있다.

Q. 마지막으로 보안 컨설턴트로서 기업경영자와 보안담당자에게 당부하고 싶은 점이 있다면.

A. 사업영역에서 경쟁력을 갖추려면, CEO들은 보안목표를 기업목표에 통합시켜야 한다. 보안문화는 기업조직 문화의 중요한 부분이다. 보안 시스템을 도입해서 운영한 성과는 바로 기업의 성과에 그대로 포함될 것이다. 오늘날 보안전문가들은 보안전문가로서는 물론, 때로는 기업경영자로서의 역할도 수행할 수 있어야 한다. 이렇게 해야만 기업활동과 기능을 더 자세히 파악할 수 있다. 이것은 보안의 개념과 활용법을 기업보안에 맞게 수정·쇄신해 기업보안을 전략적인 수익의 원천이 될 수 있도록 하기 위함이다. 훌륭한 보안기준이나 관행 마련, 바람직한 모델의 벤치마킹, 국제인증 획득 등과 같은 일련의 보안강화 활동은 반드시 행해야 한다. 유비무환이 곧 보안이다.  

=====================================================================

시큐리티월드ⓒ        

  <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>