\r\n
\r\n\r\n\r\n| \r\n .jpg)
|
\r\n\r\n| \r\n 한화S&C 정보보호팀 전 혁 팀장 |
\r\n
\r\n
고객사의 데이터 관리와 IT 컨설팅, SI(Systrm Integration), NI(Network Integration) 등의 서비스를 제공하고 있는 한화S&C의 보안수준은 어느 정도일까? 이전 본지에서 방문한 한화IDC 센터의 경우 외부인의 출입을 철저히 통제하고 있으며, 내부직원이라고 할지라도 각 실, 층별로 레벨을 설정해 출입을 제한하고 있었다. 아무래도 중요한 데이터를 관리하는 곳이기에 당연한 조치로 보인다. 그렇다면, 본사에서는 어떤 보안정책을 마련해 운영하고 있는지 기업 내 보안정책 및 개인정보를 담당하고 있는 전혁 팀장을 만나봤다.
\r\n
\r\n
\r\n
최근 개인정보유출, 산업기술유출 등에 대한 이슈가 발생하면서 기업 내에서도 이에 대한 준비를 위해 부산한 보습을 보이고 있다. 과거 많은 기업들이 기업 내에서의 정보유출을 차단하기 위한 방편으로 CCTV, 출입통제 그리고 PC단에 대한 방안을 마련해 왔다면, 이제는 내부직원 및 협력사 직원 등에 대한 정책을 마련해 관리하고 있다. 또한, 외부 해킹에 대한 수단만이 아닌 DLP, DRM 등의 도입으로 내부자료의 유출도 차단하고 있다. 물리보안 시스템과 정보보안 시스템의 마련, 내·외부 직원들에 대한 보안정책 마련은 이제는 기업 내의 정보유출이 하나의 보안수단으로는 쉽지 않다는 것을 방증하고 있다.
\r\n
\r\n
한화S&C 역시, 크게 다르지 않다. 한화S&C에서 운영하고 있는 IDC센터의 경우 고객의 데이터를 관리하는 곳이기에 그만큼 보안수준이 높다고 할 수 있지만, 일반적인 업무를 진행하는 본사에 IDC센터 수준을 적용한다면 오히려 업무효율을 저해할 수 있다. 하지만 IT 서비스를 제공하고 있는 곳이기에 다른 기업보다는 고객사보다는 높은 보안솔루션 및 정책을 마련하고 있다.
\r\n
\r\n
“기업 내 보안수준이 가장 높은 분야를 꼽는다면 금융사를 들 수 있습니다. 한화S&C 역시 이와 비슷한 수준의 솔루션 및 정책을 마련하기 위한 노력을 하고 있습니다. 데이터의 관리와 회사 IT 자원들을 운영하는 서비스를 하고 있다 보니 고객사보다 보안수준이 낮아서는 안되기 때문입니다. 때문에 최근의 이슈 등에 대응하기 위한 노력을 하고 있습니다. 그리고 가장 쉬운 방법은 법 규정을 지키는 것입니다”
\r\n
\r\n
규제와 업무효율 갭 줄여야
\r\n
법 규제의 강화는 기업의 보안수준을 높이는 결과를 가져오고 있다. 하지만 각 기업별로 제공하는 서비스나 여건이 다르기에 획일화되고 최소한의 요건인 법 규제에만 따르는 것은 업무 편의성이나, 운영 서비스의 제약, 보안의 공백을 가져오게 된다. 때문에 최소한 법에서 정한 바를 지키면서 각 기업에 필요한 수단을 마련해야 한다.
\r\n
\r\n
“대부분의 기업에서 물리적인 부분은 잘 갖추고 있지만, 최근 정보유출 사고가 발생하는 것을 보면 이를 통제할 구체적인 방안이 마련돼 있지 않기 때문입니다. 인터넷진흥원 등에서 규제라는 측면에서 가이드라인을 제시하고 있으며, 기업은 이를 통해 사내 정책를 마련해 관리체계를 의무화해야 합니다. 하지만 규제와 운영 두 가지를 놓고 보면, 상호반대 되는 것이기에 규제가 너무 강하면 업무의 효율성이 떨어지고, 업무의 효율을 높이다보면 보안성이 떨어질 수 있습니다. 때문에 규제와 업무 효율, 둘의 차이를 줄이는 것. 이러한 내부정책을 만드는 것이 보안담당자의 역할입니다.”
\r\n
\r\n
‘나’만이 아닌 ‘모두’가 하는 것이 중요
\r\n
그렇다면 한화S&C에서는 어떤 정책 및 솔루션을 마련하고 있을까? 가장 기본적으로 물리적인 보안 시스템과 임직원들에 대한 비밀서약서는 기본이다. 그리고 외주업체도 보안관련 사항들을 명시화 시키고 있다. 또한 보안정책을 보완, 마련하는 과정에서 중요하다고 판단되는 것은 전사적으로 확대해 정책에 반영하고 있다. 특히, 특정사업 및 외주업체와 계약을 맺을 때 보안관련 특약사항을 만들어 이를 제시하고있다. 예를 들면, 외주사 내에 보안활동에 대한 교육이 지속적으로 이뤄져야 하고 이를 담당하는 이가 있어야 한다. 또한, 주기적인 관리통제가 이뤄져야 한다는 것.
\r\n
\r\n
“기존의 기업보안이 기술적인 측면에 집중됐다면, 이제는 정책·관리 측면에서 보강을 하려는 중입니다. 여기서 생각해야 할 것은 보안에 대해 정책을 마련하고 운영하는 이와 이를 지키는 이가 따로 있어서는 안 되는 것입니다. 기업의 보안을 제대로 하려면 운영자, 임직원, 그리고 외주직원이 다 같이 해야 하며 이것이 제일 중요합니다.”
\r\n
\r\n
전 팀장에 의하면, 여러가지 보안관련 정책, 요소 중 사람이 가장 중요하다는 것이다. 다양한 보안 솔루션보다는 가장 기본이 되는 사람에 대한 관리와 인식의 제고가 기업보안 수준을 높이는 가장 기본이라는 것이다. 현재 기업의 보안수준이 대동소이한 가운데, 어떤 보안솔루션을 도입해 수준을 높일 수 있을 것인가를 고민하기 보다는 어떻게 보안에 대한 인식을 제고시키고 이를 당연한 것으로 받아드릴 수 있도록 할 것인지에 대한 것을 고민해야 한다는 것이다.
\r\n
\r\n
보안! 사람, 정책, 기술 3박자 어우러져야
\r\n
이를 위해서는 보안 담당자의 역량이 중요하다. 보강이 필요한 부분을 정확히 파악하고, 법 규제와 기업의 수준을 알아야 한다. 이에 따른 기술적인 측면이나 정책을 마련할 수 있어야 한다. 그리고 윤리적인 측면과 많은 정보를 취급하는 업무이다 보니 커뮤니케이션 능력도 중요한다. 전 팀장에 의하면 보안 업무 중에 많은 부분이 변화를 관리를 하는 것이다. 커뮤니케이션을 어떻게 하느냐에 따라 임직원들의 실천으로 이어지느냐 정책으로만 남느냐로 나뉜다는 것이다.
\r\n
\r\n
“단순히 정책만 만드는 것이 아닌 임직원들 모두가 실천할 수 있도록 하는 것이 중요합니다. 보안은 누군가 해주는 것이 아닌 본인이 해야 한다는 인식을 갖게 하는 것, 이것은 정책을 만들고 보안 솔루션을 갖추는 것보다 가장 우선돼야 할 사항입니다. 그리고 이를 뒷받침하는 것이 기술적인 측면과 운영 프로세스입니다. 어느 한 가지가 아닌 모든 것이 잘 조화된다면 기업의 보안수준은 자연히 높아진다고 생각합니다.”
\r\n
\r\n
\r\n
<사진, 글 : 김영민 기자>
\r\n
\r\n
[월간 시큐리티월드 통권 213호 (sw@infothe.com)]
\r\n
\r\n
<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
