\r\n포스코 정보기획실 정보보호그룹 강 윤 평 팀장
\r\n
\r\n
국가보안목표 가급 시설인 포스코에서의 보안방침은 어떻게 이뤄지고 있을까? 외부인에 대한 출입통제 시스템부터 보안정책, 그리고 그룹사 전체 임·직원의 보안의식까지 마치 잘 맞물린 톱니바퀴와 같다고 할 수 있다. 하지만, 포스코의 이러한 활동은 그리 오래되지 않았다. 불과 2004년도에는 소규모(추가)의 보안담당 직원이 있었을 뿐이고, 2008년에 들어서야 27개 전 그룹사에 대한 보안체계가 갖춰졌다. 포스코가 2012년 정보보호 대상을수 상한 만큼 무엇인가 특별한 것이 있다고 생각할 수 있겠지만, 그 특별함은 다른 것이 아니라 기본이 가장 잘 갖춰졌다고 할 수 있다. 최고 경영층의 정보보호에 대한 의지, 그리고 임·직원들의 보안의식 향상이다.
\r\n
\r\n
\r\n
정보보호라고 하는 것이 포스코 하나의 회사만 잘 한다 고 완성되는 것이 아니라 정보를 공유하고 협업하는 업 체들도 보안수준이 같이 높아져야 보안의 완성도가 높아 진다고 볼 수 있습니다.
\r\n
\r\n
포스코 정보보호그룹 강윤평 팀장의 말이다. 하나의 기업 에서 아무리 보안을 철저히 한다고 해도 협업을 하고 있 는 곳에서 그렇지 못하다면, 구멍이 생길 수밖에 없다. 지 난해 떠들썩했던 OLED 기술 유출건도 협력사를 통해 일 어났던 것을 보면 협력사의 보안수준 및 의식 역시 중요 한 항목이라고 볼 수 있다.
\r\n
\r\n
포스코의 보안체계는 어떻게 운영되고 있을까? 우선 첫 번째 단계로 협력모델을 만들기 위해 협력사 중 5개 사를 대상으로 정보의 공유, 활용에 대한 Best Case를 만들고 회사의 정보 활용을 분석해 보안취약점 도출 및 개선안을 마련했다. 그리고 두 번째 단계로 대상을 확대해 철강, 소 재, 경영지원 등의 영역을 담당하는 회사를 대상으로 보 안 협력모델을 확산했다. 세 번째 단계로 보안 협력모델 을 통해 각 사에서 가장 필요한 보안과제를 도출하고 도 출된 과제를 개선하기 위한 코칭 활동을 통해 문제 해결 을 가능하게 했다. 마지막으로 협력사 공통의 과제를 도 출해 개선하고 이를 통해 포스코와 협력사의 보안수준을 향상시키는 활동을 한다.
\r\n
\r\n
예를 들면 포스코 도면을 이용해 업무를 수행하는 건설 사, 도면제작사 등 여러 업체의 도면보안의 취약점 개선 을 위해 도면 활용의 보안 취약점을 토론하고 타사 벤치 마킹을 통해 학습한다. 이를 통해 글로벌 도면관리 시스 템을 구현했고 중요 핵심도면의 제작, 사용, 폐기 등의 흐 름을 한눈에 파악할 수 있고 정보유출의 이상행위를 모니 터링 할 수 있는 체계를 마련한 것이다.
\r\n
\r\n
보안과 업무효율 반비례? Balance를 고려해야
\r\n
협력사와의 보안체계를 구축하는 것도 중요하지만 이에 못지않게 기술적 보안을 위한 시스템 구축도 기업보안의 중요한 측면이다. 하지만 보안통제를 강화하면 업무의 효 율이 떨어지고 업무의 효율을 높이기 위해 보안통제를 약 화시키면, 보안위험에 노출될 수밖에 없다. 때문에 포스 코에서는 스마트한 정보보호활동을 통해 업무효율 향 상과 정보유출 리스크 최소화라는 두 마리의 토끼를 잡 았다.
\r\n
\r\n
직원은 정보보호 통제를 느끼지 못하는 편안함을 부여하 고 정보유출 리스크는 최소화 하는 철저함을 유지하는 것 그것이 스마트한 정보보호라고 합니다. 다시 말하면 임직원이 지식근로자로써 본연의 업무를 편안한 상태에서 창 의적이며 균형적으로 업무수행이 가능하도록 FAQ 등 보 안서비스를 지원함과 동시에, 침해, 유출 등의 내·외부 보안위협과 위험으로부터 관제, 점검 등을 통해 철저하게 대응해 회사의 정보와 자산을 지키는 활동입니다.
\r\n
\r\n
보통 기업 내에서 정보보호를 위한 보안정책을 수립할 때, 가장 먼저 부딪히는 것은 업무 효율성이 떨어질 것이라는 우려다. 관련 부서 및 외부에서의 업무를 수행할 때도 보 안이란 부분에 몇 단계 관문을 거쳐야 하기 때문이다.
\r\n
\r\n
통제 수준과 업무 효율성은 반비례되는 함수 관계에 있 습니다. 통제 수준을 높일 경우 업무 효율성이 떨어진다 는 것입니다. 결국 Balance를 어느 수준에 맞추는가 하는 것이 가장 중요한 정책적 판단일 것입니다. 이를 해소하 기 위해서는 기술적 조치와 직원들의 합의가 필요하다고 생각합니다.
\r\n
\r\n
강 팀장에 의하면 통제도 중요하지만 임직원들의 업무를 저해해서는 안된다는 것이다. 그렇다면 포스코에서는 이 를 위해 어떤 방안을 마련했을까? 우선 포스코는 인증되 지 않은 외부인이 내부에 접근할 수 없도록 내부와 외부 의 경계선에 복합 보안 통제 시스템을 구축해 내부에서도 외부로 정보유출이 안되도록 구현해 놓고 있다. 하지만 내부에서는 임·직원들이 별도 통제없이 문서의 공유, 활 용이 가능하고 협업을 할 수 있는 구조가 마련돼 있다. 이 를 위해 문서 정보는 클라우드 개념으로 서버에 존재하고 구글 검색시스템을 적용해 권한있는 사용자가 원하는 정 보를 쉽게 찾아 활용할 수 있도록 하고 있다.
\r\n
\r\n
보안을 하나의 문화로, 생활로
\r\n
업무 효율과 보안 시스템의 적절한 Balance를 유지하는 것과 동시에 포스코는 전 직원들의 보안의식을 높이기 위 해 주기적인 교육은 물론, 불시점검 등을 실시해 정보보 호 마인드가 생활화 됐는지를 확인하고 있다. 이와 함께 최근 변화되는 정보보호관련 법률을 반영해 사내 정보보 호 정책을 개정하고 업무기준을 재정비 하는 등 최신 흐 름에 맞게 정보보호 정책을 반영하고 있는 것은 물론 정 보유출 방지, 외부침입 통제 등을 위해 다수의 보안시스 템 을 운영하는 등 빈틈없는 기술보안 체계를 운영하고 있다.
\r\n
\r\n
보안 마인드를 높이기 위한 가장 좋은 방안은 무엇일까? 실제로 상황에 직면하고 이를 해결할 수 있도록 하는 것 이다. 모의훈련과 각 부서에 대한 업무활동 분석과 이를 통한 취약점 개선, 그리고 적절한 상벌체계를 갖추는 것 이다. 이를 살펴보면 전 임·직원들의 보안 마인드 향상 을 위해 매월 1회 150여개 부서를 대상으로 찾아가는 보 안서비스를 진행 것과 함께 피싱, 스미싱 테스트 그리고 습득한 USB 사용 등에 대한 테스트를 불시에 실시해 대 응 수준을 확인하고 있다. 이와 함께 외부인이 어디까지 들어가서 물건을 가지고 나올 수 있는지에 대한 모의훈련 도 실시하고 있다. 이러한 모의훈련은 평소에 보안위험에 대처할 수 있는 역량은 물론, 보안의식의 향상으로 이어 진다는 것이다.
\r\n
\r\n
인프라는 기본적인 부분이고 직원들의 의식이 자연스럽 게 문화로 만들어지는 것이 가장 중요하다고 생각합니다
\r\n
\r\n
집체교육을 통해 정보보호의 중요성, 기업보안의 중요성 을 아무리 역설해도 실제로 겪어보지 않으면 바르게 대처 하기가 어렵고 보안의 중요성에 대해 알지 못합니다. 보 안을 하나의 문화로 만드는 것이 중요합니다. 보안 문화 트랜드가 만들어져 보안의식이 높아지면 자연스럽게 보 안위험에 대처, 개선이 가능합니다.
\r\n
\r\n
기업보안 최고 결정권자의 의지 중요
\r\n
이러한 시스템을 구축하기까지 많은 어려움이 있을 수 있다. 시스템을 마련하기 위해서는 예산 등의 확보도 필 요하지만 그보다는 최종 결정권자의 마인드에 달려있다. 아무리 좋은 시스템을 제안해도 최종 결정권자가 승인을 하지 않으면, 아무 것도 할 수 없기 때문이다.
\r\n
\r\n
그런 면에 포스코는 보안 환경을 마련하기에 매우 좋은 환경을 갖췄다고 볼 수 있다. 포스코의 보안 정책에 최고 경영층의 적극적인 지원이 이뤄지고 있기 때문이다.
\r\n
\r\n
모의해킹으로 그룹사 내부를 외부에서 접근해 내부 자료 를 취득해 회장단에 보고한 적이 있습니다. 사고의 개연 성을 어필한 것인데 이에 대한 대응 시스템을 바로 구축할 수 있었습니다. 보안 시스템 구축은 생산과 직결되는 것이 아니기에 투자에 소홀할 수 있는데 최고 결정권자의 적극 적인 의지는 매우 중요하며, 이는 기업의 보안성을 향상시 켜 우수한 경쟁력을 가져올 수 있다고 생각합니다
\r\n
\r\n
강 팀장의 기업보안 Tip
\r\n
\r\n
1 협력사와 공통의 모델을 만들어라
\r\n
포스코는 협력사와의 협업 시 토론과 벤치마킹을 통해 보안 체계 를 만들었다.
\r\n
\r\n
2 보안과 업무효율의 밸런싱을 맞춰라
\r\n
내외부의 복합 보안 통제 시스템을 구축해 내부 정보유출이 안 되도록 구현하고, 내부에서는 공유, 활용이 가능한 구조가 마련됐다.
\r\n
\r\n
3 보안을 문화로 만들어라
\r\n
불시에 모의 테스트를 실행해 임·직원의 보안의식 향상과 언 제 어느 때라도 보안위험에 대처가 가능한 체계를 만들었다.
\r\n
\r\n
\r\n
보안정책 아닌 보안문화를 이끌어야!
\r\n
\r\n
산업기술 공모선 수상 을 축하드립니다. 당시 발표한 클라우드 보안관 리 모델에 대한 설명을 부탁드립니다.
\r\n
저희 회사에서는 구글 클라우드 서비스를 이용하면서 몇 가지 보안관리 전략을 세웠습니다. 첫째, ERP/MES등 핵심정보가 저장되어 있는 시스템은 클라우드를 적용하 지 않고 자체 데이타센터에 정보를 저장합니다. 클라우드 서비스를 이용하는 것은 메일, 검색, 영상회의, 지도, 일정관리 등으로 제한하 고 있습니다. 둘째, 모든 문서는 클라우드에 저장되지 않고 DRM 암 호화를 적용해 자체 Data Center에 저장됩니다. 메일 송수신시 원문 이 첨부되지 않고 URL Link 만 첨부되어 전송되고 파일 단위로 접근 권한을 제어하므로 권한 없는 사람은 조회조차 불가합니다. 셋째, 구 글에서는 클라우드 서비스에 대해 바이러스 및 해킹 등 외부 공격으 로 부터 강력한 방어체제를 갖추고 있습니다. 인터넷 구간에서는 모 든 데이터를 보안 프로토콜로 보호해 통신하고 있고 저장된 모든 데 이터는 난독화 되어 있으므로 인가받지 않은 사용자가 데이터에 대 한 식별이 불가합니다. 그리고 복수의 데이터센터에 데이터가 저장 되므로 유사시 재난대응 및 복구에 장점이 있습니다.
\r\n
\r\n
포스코에서는 기업보안을 위한 다양한 활동을 모델을 개발 하는데 비해, 중소에서는 그렇지 못합니다.
\r\n
기업에서 보안활동을 하기 위해서는 일정부분 비용투자가 필요한 것 이 사실입니다.
\r\n
중소기업의 경우 생산과 직결되지 않은 보안분야에 비용투자를 하는 것이 쉽지는 않습니다. 이러한 경우 대기업에서 투자한 보안 인프라 를 중소기업이 활용할 수 있도록 제도적으로 뒷받침 해준다면 중소 기업은 최소의 비용으로 보안 인프라를 사용할 수 있게 되어 비용에 대한 부담을 줄일 수 있다고 생각합니다. 그리고 보안에 대한 전문적 인 경험과 지식을 가지고 있는 인력이 대기업에는 다수 존재합니다. 무엇보다 보안은 실무의 경험적인 부분이 중요한 점이 많이 있습 니다. 이는 학원이나 책을통해 배울 수 없는 것입니다. 대기업의 보안 담당자와 중소기업의 보안담당자간의 인력교류 프로그램을 통해 노 하우에 대한 교류가 이루어진다고 하면 중소기업의 보안수준은 한단 계 높아질 것으로 생각됩니다.
\r\n
\r\n
이상적인 기업보안이란 무엇이라고 생각하십니까?
\r\n
직원 스스로가 정보를 지켜야 한다는 마인드가 철저해 제도적으로 강제하지 않더라도 스스로 정보보호를 하는 기업이 가장 이상적이지 않을까 생각합니다. 그것은 곧 정보보호가 그 기업의 문화로 정착되 어 누구나가 당연히 해야할 것으로 인식하는 단계를 의미 합니다. 우 리가 예전에는 자동차 운전할때 안전벨트를 불편한 것으로 인식하 고 안전벨트 없이 운전하다가 경찰이 단속을 하게 되면 마지못해 안 전벨트를 했었더라면 지금은 사람들의 안전에 대한 의식수준도 높아 지고 사회적으로도 안전벨트의 중요성에 대해 인식을 하기 때문에 지금은 누구나 차를 타면 안전벨트를 하게 됩니다. 이와 같이 기업의 보안에 있어서도 직원들이 회사 정보의 보호를 위해 자연스럽고 당 연하게 해야 한다는 인식을 갖게 만드는 것이 가장 이상적인 기업보 안이라고 생각합니다.
\r\n
\r\n
\r\n
<사진, 글 : 김영민 기자>
\r\n
\r\n
[월간 시큐리티월드 통권 제205호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
