\r\n

[시큐리티월드=중앙대학교 산업보안학과 김정덕 교수(jdkimcau@gmail.com)] 산업기술 유출을 방지하고 비즈니스 위험에 능동적으로 대처하기 위한 산업보안의 중요성은 더 이상 강조할 필요가 없다. 최근에 발생한 크고 작은 산업기술 및 영업비밀정보의 유출 사고로 인한 피해는 단지 해당 업체의 경제적 손실뿐만 아니라, 국가경쟁력에도 타격을 주고 있다는 사실은 부인할 수 없다. 국내에서도 과거 10년 동안 이러한 산업보안 문제를 다루기 위한 많은 노력이 정부부처와 여러 관련 기관에서 수행되었으나, 아직도 관련 사건·사고가 꾸준히 발생하는 것을 보면 산업보안 이슈가 풀기 어려운 문제인 것만은 확실하다.

점차 심각해지고 있는 산업보안 이슈를 효과적으로 해결하기 위해서는 근본적으로 새로운 패러다임의 변화와 과거와는 다른 해결 접근방법이 요구된다. 우선 산업보안에 대한 정의 및 특성부터 새롭게 고민할 필요가 있다. 산업보안의 범위를 산업기술의 유출방지와 관련 인원, 문서, 시설 보호에 치중하는 협의의 개념에서 벗어나, 산업기술, 인력, 장비 및 시설 등을 포함하는 유형 자산과 영업비밀정보, 개인정보, 지적재산권, 평판·이미지 등의 무형 자산을 모두 포함하는 것으로 확대할 필요가 있다. 따라서 산업보안의 관리대상을 중요 산업자산을 보유하고 있는 기관 및 기업으로 확대해야 한다. 금융, 전력, 방송통신, 운송 등 국가 중요시설 뿐만 아니라, 첨단 산업기술을 보유하고 있는 방위산업체나 연구소, 민감 정보를 다수 보유하고 있는 민간 기업 등을 모두 포함해 산업보안의 사각지대를 없애야 한다. 또한, 다양한 산업자산을 효과적으로 보호하기 위해서는 해결방안도 융합적 접근방법을 요구한다. 즉 기존의 보안기술 대책으로는 한계가 있으며, 관리적, 물리적, 기술적, 심리적, 법적 수단들의 통합노력이 요구된다.

이렇게 산업보안의 광범위성과 융복합성이라는 이슈를 효과적으로 수행하기 위한 선결 조건은 무엇일까? 관련 법 규정의 제·개정이나 정부 당국의 정책 및 지원 등 환경적 요인도 중요하지만, 무엇보다도 산업자산을 보유하고 있는 기관 및 업체에서의 자발적인 노력이 제일 중요하다. 이는 GRC(Governance, Risk, Compliance) 접근방법에서 찾아야 할 것이다. 최고경영층의 리더십 및 지원을 통한 지시(Direct)와 통제(Control)활동이 수행되어야 하고, 단순한 기술적 솔루션 기반의 보안이 아닌 위험관리 기반의 보안활동에 기초하여야 하며, 대내외적인 요구사항에 대한 적합성을 효과적으로 보장할 수 있는 컴플라이언스 관리 노력이 수행되어야 한다. 산업보안을 위한 일상적인 운영활동도 중요하지만, 조직의 중요 의사결정을 수행하는 이사회나 임원회의에서 정기적인 아젠다로 포함되어야 하며 이를 지원할 수 있는 체계 구축이 필요하다. 즉 산업보안이 관련 부서만의 이슈가 아닌 전사적 이슈로 인식 및 대응되어야 하며, 조직 내 긍정적인 보안문화로서 정착될 수 있도록 노력해야 한다.

이를 위한 과제는 첫째, GRC 노력의 핵심주체인 최고경영층들이 산업보안에 대한 관심 및 참여를 유도할 수 있는 제도적 장치가 필요하다. 즉, 이사회나 CEO 직속의 감사위원회나 위험위원회 활동에 산업보안이 정기적인 아젠다로 포함되어 최고경영층으로 하여금 산업보안에 대한 노력을 보고하고 평가받도록 해야 할 필요가 있다. 또한, 경영전략위원회나 실무협의회도 적극 활용하여 갈등조정 및 협업을 원활하게 함으로써 전사적 보안이 수행될 수 있도록 해야 할 것이다. 둘째, 거버넌스 활동을 지원해주는 CSO 임명과 관련 실무조직의 구성과 조직 내 위상제고가 필요하다. 물리보안, 정보보안을 구분하지 않고 통합관점에서 관리할 수 있는 역량 있는 산업보안 총괄책임자 임명과 실무조직이 구성되었을 때 비로소 GRC가 가능해질 것이다.

[월간 시큐리티월드 통권 215호 (sw@infothe.com)]