그럼 보안담당자라는 관점에서 무엇을 해야 하나를 생각해 보면, 가장 쉽게 눈에 띄는 출입통제가 있다. 즉, 건물 자체의 출입관리에서부터 전산실, 사무실 출입관리가 여기에 포함된다. 좀더 세밀하게 들어가면 부서마다 부서 안에 또 다른 구역이 있는 경우가 많고, 평범한 사무실이라 해도 보안이 필요한 구역이 있기도 하고 필요 없는 구역이 있기도 하다, 전산 분야에서 종사한 경우라면 방화벽이나 논리적인 접속관리를 ‘지키고 싶은 것’ 범주로 많이 넣어서 주 업무로 삼게 된거나 그러한 것들만을 주 업무로 삼고 싶어 한다. 논리적인 접근이라 하면 시스템에 접근 권한부터 인터넷을 사용하는 권한, 메일 시스템을 사용하는 권한, 각종 업무용 프로그램을 접속하는 권한 등 상당히 세밀화 되어야 하는 것들이 많고 전문지식을 요하는 것이 대부분이다. 물리적인 보안과 비교해 보면, 같은 보안이지만 또 다른 세계인 것이다. 또 한 가지 절대 간과해서는 안 되는 영역으로는 회사 경영방침의 일부분으로 보안정책이 있을 것이다. 보통의 경우 인식이 미흡한 부분이지만 보안에 있어서 그 어느 분야 못지 않게 중요한 분야이다.

이렇게 단순하게 ‘지키고 싶은 것’만 살펴보면 단순하게 접근할 수도 있고 상당히 깊이 있게 접근해야 할 필요성도 있다. 그러면 ‘지키고 싶은 것’만 하면 훌륭한 보안이라고 할 수 있을까? 일단 짧은 기간동안이라면 업무만족도는 높다고 할 수도 있겠다. 원하는 부분만을 하다보면 반드시 해야 하는 보안 영역을 업무 영역에 충분히 포함시키지 못하거나, 너무 한 곳에서 집중하여 필요 이상으로 보안 수준을 높게 가져가서 다른 업무 영역에 도움이 되지 못할 수 있다. 보안이 문제를 예방하는 역할을 하기 보다는 보안을 위한 보안으로 전락해서 보안 수준을 적절히 운영하지 못하고, 마치 회사의 사활에는 관계가 없는 그 무엇인가로 비쳐지기도 하는 것이다. 보안은 처음부터 모든 영역에 걸쳐 있어야 하고 댐처럼 사방팔방 어느 곳도 허술해서는 안 되는 것이어야 하는데 지키고 싶은 것만을 강조하면 스스로가 고립만 되고, 그 자체가 구멍이 될 수도 있다. 그래서 점차로 ‘지키고 싶은 것’에서 ‘지켜야 할 것’으로의 전환에 대해 곰곰이 생각하게 되는 것이다.

그러면 어떻게 하는 게 보안담당자로서 적절한 것인가. 우선 ‘지키고 싶은 것’에서 출발하기 보다는 반드시 ‘지켜야 할 것’을 하나 둘씩 정의해 가면서 늘려 나가는 것으로 방향을 잡는 게 보안이 고립되거나 소외되지 않는 방법으로 바람직하다고 본다. 지켜야 할 것은 처음부터 사내의 기본 정책으로 정의되고 범위가 정해져 최고관리자의 지원에 의해서 진행되는 것을 기본으로 한다. 그러면 모든 구성원의 지지와 협조를 얻어서 보안수준을 확립할 수 있기 때문이다.

<글 : 이 종 화 HSBC은행 보안담당이사(jukelee@kr.hsbc.com)>

[월간 시큐리티월드 통권 제164호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>