2014년 새롭게 신설한 Security Project 기사는 기업의 산업보안 책임자 혹은 산업보안팀의 인터뷰를통 해 그 기업의 산업보안 솔루션을 소개하고자 기획됐다. 글로벌 기업과 대기업을 중심으로 산업보안의 중요성이 강조되면서 기술유출 등 사건사고가 줄어들었지만 중소기업은 아직 제자리걸음을 하고 있기에, 좋은 사례를 발굴해 중소기업들이 벤치마킹할 수 있는 기회를 마련하고자 한다. 그 첫 번째로 국내 전자산업의 대표 주자인 LG전자 정보보안팀과 산업보안 사례를 소개한다.
\r\n
\r\n
\r\n
LG전자 정보보안팀 산업보안파트 윤 병 석 차장
\r\n
\r\n
LG전자의 정보보안팀은 산업보안 파트와 개인정보보 호 파트가 존재하며 윤병석 차장은 산업보안 파트를 맡 고 있다. 사실 정보보안팀이라는 소속에 산업보안 파트가 있다는 것이 조금 의아했지만, 그 중심은 산업보안이며 최근 경향에 의해 정보보안도 융합되고 있다고 윤병석 차 장은 설명했다.
\r\n
\r\n
예를 들면, 스마트폰이 전화기에서 PC에 가까워지는 것 처럼, 이제는 보안도 명확했던 시절에서 영역을 나누는 것이 아닌 하나로 봐야한다는 것이다. 예전에는 해킹에 의한 사고는 정보보안팀의 업무였지만, 이제는 어떻게 해킹이 가능했는지, 혹은 해킹을 위해 외부에서의 침입 은 없었는지를 확인하기 위해 산업보안과 정보보안이 동 시에 이뤄져야 한다는 것이다. 이는 CCTV 역시 마찬가 지다. 네트워크 기반의 CCTV를 구입하고 사용하기 위해 서는 어느 정도 솔루션을 이해해야 할 수 있기 때문에 모 든 분야를 알아야 한다고 윤 차장은 강조했다. 자기분야 의 전문가는 물론, 계속 관련 분야를 공부하고 발전해야 하는 시대라는 것이다.
\r\n
\r\n
최근 산업보안 트렌드는 물리보안과 정보보안의 융합입 니다. LG전자 정보보안팀 역시 산업보안에 가까웠는데 최근 둘 다 아우르는 형태로 진화하고 있습니다. 업무환 경이 네트워크화 되고 스마트폰 등 스마트 기기가 업무에 필수로 자리잡으면서 이제는 두 가지 다 필요하게 됐기 때문입니다. 그 예로 스마트폰 관리를 위한 MDM을 들 수 있죠.
\r\n
\r\n
LG전자만의 MDM으로 스마트 디바이스 위협 줄여
\r\n
LG전자 정보보안팀은 지난 11월 개최된 2013 산업 보안 아이디어 공모전에서 MDM(Mobile Device Management) 시스템으로 대상을 수상했다. MDM은 BYOD(Bring Your Own Device, 개인 모바일 디바이스 를 회사업무에 사용하는 것)이 대중화되면서 보안위협이 증가하자 등장한 시스템이다. 회사에서 통제할 수 없는 네트워크(테더링 등)나 스마트폰 카메라, 영상통화 등으로 인해 기업비밀이 외부로 유출될 수 있기 때문에 이를 통제할 수 있는 솔루션이 필요해진 것이다.
\r\n
\r\n
휴대폰이 처음 나왔을 때부터 보안위협이 될 것이라고 봤습니다. 2011년부터 본격적으로 검토를 시작했고 2012년에 MDM을 적용하기 시작했습니다. 윤 차장은 MDM을 검토한 이유 중에 스마트폰에 의한 정보유출 등이 있었냐는 질문에 공식적으로 스마트폰에 의한 피해는 없었지만 의심스러웠던 적은 있었다고 대답했다. 때문에 실제 피해를 입기 전에 MDM를 준비했다는 것이다.
\r\n
\r\n
LG전자가 사내 MDM을 적용하기로 결정하면서 몇 가지 문제점이 돌출됐다. 우선 개인 소유물인 스마트폰을 회사에서 컨트롤 한다는 사생활 침해에 따른 직원들의 불만이 제기됐다. 또한 MDM 앱의 상시 운용으로 배터리가 빨리 닳는 다는 주장도 있었으며, 소프트웨어의 충돌도 문제점으로 제기됐다. 특히, 사내에서 스마트폰 카메라를 사용할 수 없다는 것이 가장 큰 문제였다.
\r\n
\r\n
이것들을 해결하기 위해 LG전자는 기술적인 노력을 기울이는 것은 물론 임직원들을 설득하기 시작했다. 우선, 일부 임직원들이 문제 삼았던 스마트폰 분실 시 개인정보 삭제 기능을 없애고, 임직원들이 직접 공개 평가단을 맡도록 해 프라이버시 침해를 극복했다. 또한, MDM 솔루션이 회사 안에 들어왔을 때만 구동하도록 해 배터리 소모를 줄이고, 끊임없는 프로그램 개선을 통해 소프트웨어 충돌의 문제를 해결했다. 무엇보다 사내에서 사용할 수 있는 카메라 앱을 만들어 촬영한 사진은 회사 내에서만 활용할 수 있도록 해 보안성과 편의성을 높였다.
\r\n
\r\n
BYOD는 이제 업무에서 꼭 필요한 부분이 되었기 때문에 편의성과 보안성을 높이는 데 주력했습니다. 특히, MDM 명칭공모 등 임직원이 MDM에 대한 거부감을 없애고 쉽게 사용할 수 있도록 하는 등 많은 노력을 기울였습니다.
\r\n
\r\n
LG전자의 MDM은 개발비용이 꽤 들었다고 윤 차장은 설명했다. 기존 솔루션을 LG전자의 입맛에 맞게 계속 바꿔나갔기 때문이다. 특히, 배터리 문제를 해결하기 위한 테스트 등 초기 비용이 많이 들었다고 한다. 다만 이후에 LG전자 MDM을 적용하는 계열사나 다른 기업들은 더 쉽고 저렴하게 적용할 수 있을 것이라고 윤 차장은 강조했다.
\r\n
\r\n
돈 안 드는 보안, 그것은 바로 직원 스스로 하는 것
\r\n
또 다른 산업보안 솔루션에 대한 질문에 윤 차장은 팀 시큐리티 스코어 제도를 설명했다. 기존 보안정책에서는 보안부서가 보안에 대한 정책을 결정하면 일반 직원들이 정책을 지키는 형태였다. 그런데 LG전자의 팀 시큐리티 스코어는 부서 전체가 스스로 보안에 필요한 것을 찾아 실천하고, 실천한 것에 대한 점수를 매기는 형태였다. 이렇게 되면 부서별로 점수 차가 생기는 데, 그 차이 때문에 억지로라도 보안을 스스로 챙기게 된다는 것이다. 즉, 예전에는 ~만 안하면 된다에서 이제는 ~을 해야한다로 바뀌었다는 것이다.
\r\n
\r\n
처음에는 직원들이 귀찮아하면서 저희 원망을 많이 했었습니다. 하지만 시간이 지나면서 직원들 스스로 보안을 챙기게 되고, 심지어 보안팀에서는 생각지도 않았던 부분을 직원들이 제안하는 등 발전적인 모습을 보여주기 시작했습니다. 여기에 직원에게 포상 등 동기부여를 해주면서 그 효과는 배가되었습니다.
\r\n
\r\n
윤 차장은 이것을 돈 안 드는 보안이라고 설명했다. 돈은 많이 들지 않으면서 보안에 대한 임직원들의 태도가 달라지고 보안의식이 제고된다는 것이다.
\r\n
\r\n
기업보안에서 중요한 것은 보안이 직원들의 마인드와 연결이 우선되어야 한다는 것입니다. 직원들이 스스로 하는 지속가능한 보안이 된다면, 그리고 경영진의 보안에 대한 의지가 확고하다면 그 어떤 솔루션이나 시스템보다 완벽한 보안이 되지 않을까 생각합니다.
\r\n
\r\n
\r\n
윤 차장의 기업보안 Tip
\r\n
\r\n
1 임직원의 불편함을 해결하라.
\r\n
LG전자는 스마트폰 분실 시 개인정보 삭제 기능을 임직원의 요구에 따라 삭제했다.
\r\n
\r\n
2 보안과 편의성의 접점을 찾아라
\r\n
스마트폰의 사진촬영 기능은 업무에서 편리하게 사용되기 때문에 사내에서만 사용할 수 있는 전용 사진촬용 앱을 만들었다.
\r\n
\r\n
3 임직원 참여를 통해 거부감을 없애라
\r\n
MDM 명칭을 사내공모를 통해서 정하는 등 MDM에 대한 거부감을 없애는 것은 물론 자연스럽게 홍보가 되도록 했다.
\r\n
\r\n
4 돈 안 드는 보안을 찾아라
\r\n
팀 시큐리티 스코어 제도 등 임직원 스스로가 보안을 할 수 있는 솔루션을 개발해 적용했다.
\r\n
\r\n
<글 : 원병철 기자>
\r\n
\r\n
[월간 시큐리티월드 통권 제204호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
\r\n
