.jpg)
\r\n
LIG넥스원 보안실 정 인 표 수석매니저
\r\n
\r\n
\r\n지난 11월 개최된 2013 산업보안 아이디어 공모전에서 만난 LIG넥스원의 ‘참여형 보안활동을 통한 임직원 보안의식 제고방안’은 누구나 알고 있지만 쉽게 시도하지 못했던 임직원의 보안교육에 대한 내용이었다. 대부분의 산업기술 유출사건이 전·현직 임직원에게서 시작되지만, 우리는 여러 가지 이유로 임직원 교육에 소흘하고, 임직원 역시 보안에 대해 관심을 두지 않고 있다. 이런 상황에서 재미난 아이디어로 무장한 LIG넥스원의 임직원 보안의식 제고방안은 신선한 발상이었으며, 그 효과 또한 뛰어난 것으로 보였다.
\r\n
\r\n
\r\n
LIG넥스원은 참여형 보안활동을 통한 임직원 보안의식 제고 방안으로 지난 산업보안 아이디어 공모전에서 우수상을 수상했습니다. 이에 대한 자세한 소개를 부탁드립니다.
\r\n
LIG넥스원의 참여형 보안활동을 통한 임직원 보안의식 제고 방안은 보안 교육과 보안 활동으로 진행되는데, 둘 다 임직원의 참여를 유도하는 데 중점을 두고 있습니다.
\r\n
\r\n
참여형 보안 교육은 보안교육에 임직원을 참여시켜 사례 제시나 게임 형식으로 쉽고 재미있게 이뤄집니다. 특히, 임직원들의 흥미와 참여를 위해 영화나 드라마, 뉴스나 코미디 등을 이용한 멀티미디어 교보재를 만들어 보급하고, 직접 해킹 시연을 통해 경각심을 불러일으키는 등 다양한 방법을 적용한 것도 LIG넥스원만의 특징입니다. 또한, 참여형 보안 활동은 직원들이 직접 보안의 자가 점검을 할 수 있는 툴을 만들어 보급해 책임의식을 가질 수 있도록 했으며, 사내 UCC나 사내 보안표어 등을 모집해 참여를 유도했습니다.
\r\n
\r\n
\r\n
LIG넥스원은 대한민국을 대표하는 종합방위산업체로 알고 있습니다.
\r\n
LIG넥스원은 국방과학연구소가 2008년 10월 선정한 국내 10대 명품 무기체계 중 4대 체계(청상어, 신궁, 해성, 현무)를 생산하고, 5대 체계(K9 자주포, K21 보병전투장갑차, K2 전차, 군위성통신체계, KT1 기본훈련기)의 연구개발에 참여한 국내 최고의 종합방산업체로, 대한민국의 오늘을 지키고 자주국방의 꿈을 이루는 기업입니다.
\r\n
\r\n
이에 우리 LIG넥스원 보안실은 최고의 시설 및 정보보호시스템 운영을 통해 피땀 흘려 얻은 회사의 소중한 첨단기술력과 성과를 내외부의 다양한 보안위협으로부터 완벽히 지켜내고자 노력하고 있습니다. 특히, 시설이나 시스템의 완벽한 운영과 함께 인적보안의 중요성을 절감해 임직원 참여형 보안활동을 추진하고 있으며, 그 결과 모든 임직원들이 보안은 방위산업체 종사자에 있어서 생명과도 같다는 것을 인식하고 보안활동에 적극적으로 참여하고 있습니다.
\r\n
\r\n
이러한 노력으로 LIG넥스원은 최근 10여 년간 국방부 중앙보안감사 최우수 및 우수 인증을 연속해서 받으며 보안업무의 탁월한 성과를 인정받은 보안 일등기업입니다.
\r\n
\r\n
\r\n
방위산업체는 그 어떤 기업보다 보안이 중요할 것같습니다. 평소 LIG넥스원 보안은 어떻게 이뤄지는 지 궁금합니다.
\r\n
최근 방위산업체에 대한 해킹 시도, 카드사 개인정보유출 등 국내외 유수기업과 기관의 보안사고 기사가 하루가 멀다 하고 보도되고 있습니다. 국내 최고 방위산업체인 LIG넥스원에서는 보안역량 강화 및 각종 보안사고 예방을 위해 물샐틈없는 다양한 보안활동을 전개하고 있습니다.
\r\n
\r\n
첫째, 임직원의 보안의식 제고 및 보안실무지식 함양을 위해 전임직원을 대상으로 사이버보안교육을 실시했으며, 신입사원에 대한 보안교육을 필수 이수과정으로 운영하고 있습니다. LIG넥스원의 사이버보안교육 콘텐츠는 보안의 달인 구멍 황보안 선생과 LIG넥스원맨이라는 상반된 캐릭터의 아기자기한 대화를 통해 전체 과정을 쉽고, 재미있게 풀어냈습니다. 이 밖에도 임직원을 모델로 한 다양한 보안사고 사례 제시, 코믹한 게임 형식의 문제 풀이 등으로 구성되어 보안교육이 지루하고 딱딱하다는 선입견을 깨고 임직원으로부터 큰 호응을 얻고 있습니다.
\r\n
\r\n
둘째, 각 부서마다 선발된 부서 보안실무자가 보안일선을 지키는 최고 책임자임을 인식케 하여, 보안업무 수행결과를 보안실무자 업무평가 시 반영하고 있습니다. 또한 부서보안실무협의회 운영, 월간보안행사 자료 배포 등 다양한 지원활동과 보안우수활동자 포상 등 격려활동을 통해 보안담당자가 전사적인 보안정책을 전 임직원에게 전파하는 역할을 원활히 수행 할 수 있도록 지원하고 있습니다.
\r\n
\r\n
셋째, 임직원의 보안경각심을 높이기 위해 보안점검 및 관제활동을 강화하고 있습니다. 매월 1회 생활보안점검 외 수시·불시 보안점검 및 정보보호 시스템을 활용한 보안관제 활동을 전개하고 있으며, 보안벌점제를 통해 보안활동결과를 전사적으로 공유하여 임직원의 보안경각심을 고취하고 향상된 보안수준을 지속적으로 유지하도록 하고 있습니다. 한편으로 보안점검 및 관제활동에 앞서서 임직원 스스로 보안에 유의할 수 있는 분위기 조성을 위해 보안위반 처리기준 공유, 보안자가점검 체크리스트 및 매뉴얼 공유, 보안위반사례 교육 등의 활동도 병행하여 추진하고 있습니다.
\r\n
\r\n
.jpg)
\r\n
마지막으로 다채로운 보안 이벤트를 통해 임직원의 참여를 유도하고 있습니다. 보안 UCC, 보안표어 공모 등 각종 사내 공모전과 함께 보안규정 상 개인보관이 금지되어 있는 문서의 자진 반납 시 벌점 대신 상품을 지급하는 문서자진반납 이벤트와 보안규정에 대한 퀴즈를 맞힌 사람에게 상품을 주는 보안의 달인 이벤트 등을 실시하고 있으며, 생활보안점검 결과 우수부서 및 우수인원 포상, 보안업무 개선제안 시스템 운용 등을 통해 임직원들이 보안에 대해 관심을 갖고 참여할 수 있도록 유도하고 있습니다.
\r\n
\r\n
방위산업체 종사자에게 보안은 업무 수행 시 가장 우선적으로 생각해야 할 지상과제이지만, 여러모로 불편하고 귀찮은 일임에 틀림없습니다. 이로 인해 머릿속에서는 보안을 준수해야 한다고 생각하면서도 바쁜 일정에 쫓기다 보면 보안을 소홀히 하게 되어 본인도 모르게 보안사고 당사자가 되는 것도 엄연한 현실입니다.
\r\n
\r\n
앞서 말씀드린 것과 같이 LIG넥스원에서는 임직원 친화적인 다양한 보안활동을 전개하여 임직원 머릿속에 보안규정을 억지로 집어넣는 것이 아닌 모든 임직원이 스스로 보안의 중요성을 인식하고, 보안수칙을 생활화할 수 있도록 노력하고 있습니다.
\r\n
\r\n
마지막으로 인력이나 비용 등의 문제로 산업보안을 실천하지 못하는 중소기업에게 조언을 부탁드립니다.
\r\n
자원이 부족해 뛰어난 인재와 기술로 승부해야 하는 대한민국에 기술유출과 같은 보안사고는 기업의 존망에 관한 문제일 뿐만 아니라 국가의 존망과도 관련된 문제입니다. 특히, 방위산업체인 LIG넥스원은 기업보안이 국가보안이며 보안업무가 국가를 수호하는 활동이라는 소명의식을 가지고 맡은 바 업무를 수행하고 있습니다. 이러한 소명의식을 바탕으로 자사에서는 최근 심화되고 있는 방위산업체에 대한 해킹 공격에 대응하여 단순히 자사의 정보자산 보호에 머물지 않고 유관기관 및 업체와 공조하여 악성코드 분석 등의 해킹 대응 역량을 키워 방위산업체 및 국가 보안에 기여할 수 있도록 노력하겠습니다.
\r\n
\r\n
또한 BYOD, 클라우드 등 최신 정보보호 트렌드에 맞는 보안 대응방안을 수립하여 업계 선도적인 보안기업이 되도록 하며 이러한 결과물을 타 업체와 공유하여 전체 방위산업체의 보안수준을 향상시켜 나가도록 하겠습니다. 아울러 지금까지 LIG넥스원이 보유한 보안조직 운영 노하우, 보안담당자 육성, 보안교육 콘텐츠 등을 회사 협력업체뿐만 아니라 더 많은 기업과 공유할 수 있도록 노력하겠습니다.
\r\n
\r\n
보안담당자의 입장에서 제안드릴 사항은 많은 기업들이 입으로는 보안의 중요성을 이야기하지만 정작 보안조직은 지원부서로 편제시키고 보안업무는 부차적 업무로 생각하고 있다는 점입니다.
\r\n
\r\n
정말 보안을 중요하게 생각하는 회사라면 윤리경영을 위해 감사실을 CEO 직속으로 운영하듯, 보안조직도 CEO 직속으로 편제하고 전임 보안담당관을 두어야 합니다. 보안사고가 난 후에야 희생양을 찾듯 보안담당자를 찾고, 소 잃고 외양간 고치기 식의 땜질 처방을 할 것이 아니라 평소에 보안담당자가 소신껏 일할 수 있도록 조직 측면에서 배려가 필요하다고 생각합니다.
\r\n
\r\n
또한, 제반 보안활동에 대한 법적 의무화 작업도 필요할 것입니다. 예를 들어 모든 직장에서 성희롱 교육을 받아야 하는 것과 같이 일정 시간 이상 보안교육을 이수하도록 제도화 할 필요성이 있다고 생각하며, 보안점검과 같은 활동도 법제화 되어 철저한 내부점검 및 결과 유지가 지속 될 수 있도록 보안 유관기관 및 정책 담당자들의 관심이 필요한 때라고 생각합니다.
\r\n
\r\n
\r\n
<사진, 글 : 원병철 기자>
\r\n
\r\n
[월간 시큐리티월드 통권 제206호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>
