Part 3. 보안전문가, 보안의 기본을 논하다
\r\n기업보안 전문가에게 듣다
\r\n
\r\n[시큐리티월드 김성미 기자] 4월초 공무원 시험 준비생이 인사혁신처 건물에 침입해 성적표를 위조한 사건이 터진 후 정부가 정부청사 보안 강화에 나서고 있다. 이번 사건을 두고 원칙의 결여, 출입통제와 PC보안의 총체적 난국이라는 등 지적의 목소리가 높다.
\r\n
\r\n그렇다면 기업의 보안 전문가들은 이번 사건을 어떻게 보고 있을까? BAT(British American Tobacco) 코리아의 박찬석 이사와 P&S파트너스 신현구 대표에게 이번 사건과 보안에 대한 의견을 들어봤다.
\r\n\r\n
\r\n \r\n \r\n | | \r\n  | \r\n | \r\n
\r\n \r\n | | \r\n
\r\n \r\n
\r\n\r\n
“I’m speechless.(할말이 없습니다)”
\r\n이번 공시생 정부청사 무단 침입 사건을 놓고 두 기업보안 전문가가 가장 먼저 꺼낸 말은 “할 말이 없다”였다. 그만큼 이번 사건이 두 기업보안 전문가에게는 충격적인 사건이었다.
\r\n
\r\n인터뷰 초반, BAT코리아 박찬석 이사는 한동안 말문을 열지 못했다. P&S파트너스 신현구 대표는 최후방에 해당하는 PC까지 뚫렸다면 보안이 100% 무너진 것이라고 잘라 말했다. 박찬석 이사와 신현구 대표는 기업보안 분야에서 손꼽히는 전문가다.
\r\n
\r\n박찬석 이사는 BAT코리아에서 보안과 위기관리를 총괄하고 있다. 박 이사는 한국지사 소속이지만 그가 관리하는 위기지역은 한국을 비롯한 홍콩, 마카오, 대만 등 북아시아 전체다.
\r\n
\r\n신현구 대표는 우리나라 최초의 산업보안연구소로 꼽히는 산업보안연구소 부소장, 한국산업보안연구원 사무국장 등을 역임한 기업보안전문가로 활동하고 있다. 신 대표가 운영하는 P&S파트너스는 산업보안을 다루는 신생 보안업체다.
\r\n
\r\n기본과 원칙을 지킨다! 보안의식부터 심화해야
\r\n두 전문가는 모두 이번 사건은 공무원의 낮은 ‘보안의식’에서 비롯된 것이라고 약속이나 한 듯 같은 목소리를 냈다. 또한 이들은 “구성원의 의식은 보안에 있어 무엇보다 중요하다”고 재차 강조했다.
\r\n
\r\n신현구 대표는 이번 사건을 한마디로 최후방인 4선이 뚫린 것이라고 요약했다. 1선은 정문과 후문, 2선은 내부 시큐리티 게이트, 3선은 인사혁신처 채용관리과 사무실 도어록, 4선은 사무실내 채용 담당자의 PC라는 설명이었다.
\r\n
\r\n신 대표는 “산업계는 문제가 생기면 자신만 손해라는 의식이 있어 보안의 중요성을 인식해 가고 있는 추세”라면서, “정부나 산하기관에서는 강력한 규정이 존재하고 글로벌 기업 못지않은 하드웨어 시스템을 갖췄음에도 주인의식과 책임의식이 없어 보안의식도 없다”고 지적했다. 또한, 신 대표는 정부청사의 출입권한이나 정보 시스템 접근 권한이 탈취됐다는 것은 보안 시스템 전체가 초토화된 것이라고 덧붙였다.
\r\n
\r\n박찬석 이사는 “다 잘 되고 있는데 하나만 구멍이 난 게 아닌 총체적 난국”이라며, “영화 속에서나 있음직한 일”이라고 말했다. 이어 박 이사는 공시생이 정부청사에 무단침입을 감행해 공무원의 PC 데이터를 바꿨다는 것은 출입통제와 PC 보안 모두 심각한 허점이 있는 것이라고 꼬집었다.
\r\n
\r\n보안의 3요소… 그중 기본은 ‘사람’
\r\n박 이사는 보안의 3요소로 ①사람 ②시스템 ③규정과 절차를 꼽고, 보안의 3요소가 삼위일체를 이뤄야만 비로소 보안이 이뤄지는 것이라고 말했다.
\r\n\r\n
\r\n\r\n
\r\n\r\n
\r\n \r\n \r\n | | \r\n .jpg) | \r\n | \r\n
\r\n \r\n | ▲BAT코리아 박찬석 이사 | \r\n
\r\n \r\n
\r\n\r\n
\r\n① 잘 훈련된 보안업무 담당자가 있어야 하고 ②물리적 보안과 주요 정보보호를 위한 적절한 수준의 보안 시스템이 설치되어야 하며 ③보안 정책과 규정, 절차에 따라 보안이 이루어져야 한다는 설명이다. 그는 무엇보다 기본은 ‘사람’이고 고위직부터 말단에 이르기까지 의식을 갖고 동일한 보안 원칙을 적용해야 한다며, 이것이 이뤄질 때 선진 보안의식이 있다고 말할 수 있다고 말했다.
\r\n
\r\n박 이사는 “정부청사 침입 사건의 경우 보안의 3요소가 모두 무너져 있으므로 ‘청사에는 보안이 없었다’고 볼 수 있다”고 분석했다. 그는 물리적 보안과 정보보안에 있어서 가장 기본이 되는 기능은 ‘Access Control(출입통제/접근통제)’이라며, 이는 출입이 허용된 사람에게만 접근 및 출입권한을 부여하고, 그렇지 않은 사람의 접근을 철저히 통제하는 것을 가리킨다고 설명했다. 이는 물리적인 보안이나 정보보호에 동일하게 적용된다고 말했다.
\r\n
\r\n그는 Access Control은 반드시 이중, 삼중 등 다중으로 구축해야 한다고 했다. 건물 내에서도 특별 관리 지역이나 중요 정보는 추가적인 보안을 설정해야 한다는 것이다.
\r\n
\r\nBAT 코리아의 경우, 물리보안과 정보보호를 ‘따로 또 같이’ 연계해 보안을 통제하고 있다고 예를 들었다. 물리보안은 빌딩 경비, 사무실 출입통제, 주요 시설 및 장비 접근 및 출입통제 등 다중으로 설치하고, 정보보호는 IT 보안과 비 IT 보안을 통합해 통제하며, 기록물(Record)은 3개 보안 등급으로 나눠 관리한다고 덧붙였다.
\r\n
\r\n보안전문가가 보안에서 중시하는 것
\r\n이번 공시생 사고로 정부는 청사 보안강화에 나서고 있다. 민간컨설팅 자문단을 구성하는 한편, 청소 등 일용직 용역 인원의 사무실내 접근은 해당 사무실 공무원을 동반해야하도록 규정을 바꿨다. CCTV, 시큐리티 게이트, X레이 검색대 등 보안 시스템은 인식률이 높은 고사양으로 업그레이드한다는 방침이다.
\r\n
\r\n이같은 정부의 시정 움직임에 대한 전문가들의 의견은 갈린다. 일부 전문가들은 인력으로 해결할 수 없는 부분을 시스템으로 커버해야한다고 보고 있다. 또 다른 일부 전문가들은 문제의 근원은 시스템 결여가 아니라 보안에 대한 구성원들의 관심과 인식 제고에 따른 관리라고 보고 있다.
\r\n\r\n
\r\n \r\n \r\n | | \r\n .jpg) | \r\n | \r\n
\r\n \r\n | ▲P&S파트너스 신현구 대표 | \r\n
\r\n \r\n
\r\n\r\n
\r\n이에 대해 신 대표는 “정보화에 시대에 들어서 보안관리가 시스템 구축에 과도하게 치중되는 측면이 있다”면서, “아무리 좋은 시스템도 이용자가 무관심하다면 아무 소용이 없다”고 지적했다. 그는 “전 구성원이 자발적으로 보안활동에 동참할 수 있는 보안문화가 하루빨리 조성돼야 한다”면서, “보안문화 조성 방법으로 정기적이고 반복적인 보안교육을 통한 인식 제고, 정해진 보안 규정의 이행을 독려하고 감사를 통한 준수여부 감독과 이에 대한 신상필벌 등이 뒤따라야 한다”고 덧붙였다.
\r\n
\r\n아울러 “공무원 신분증은 단순한 신분증이 아닌 책임과 권한이 있는 곳을 출입하고 접근할 수 있는 통행증이자 허가증이기 때문에 더욱 관리를 잘해야 한다”면서, “글로벌 기업의 경우 사원증 분실은 보안위반 사항에 해당해 분실 즉시 보고하고 분실 사유서를 제출해야 하며, 심한 경우 징계나 벌점을 받기도 한다. 이같은 점은 정부도 민간 기업에게 배워야 할 점이라고 강조했다.
\r\n
\r\n기업의 비즈니스 리스트 대비, 정부도 배워야
\r\n박찬석 이사에 따르면 BAT는 유럽 등 선진국에서도 보안과 위기관리에 대한 노하우를 배우려는 글로벌 기업이다. 이에 대해 박 이사는 “보안은 사고가 터져야 진화하는 경향이 있다”면서 BAT는 100년이 넘는 회사 운영을 통해 다양한 경험을 쌓아왔다“고 소개했다.
\r\n
\r\nBAT는 사업 연속성 관리(Business Continuity Management) 프로그램을 통해 시큐리티(Security)와 비즈니스(Business)가 잘 융합되어 비즈니스 리스크(Risk)에 대비하고 있는 회사다. 위기에 따른 대응 절차가 단계별로 마련돼 있고, 유사시 관련 부서들이 유기적으로 움직인다. 회사 정책에 따라 일 년에 한 번씩 우발 계획별 위기 대응 훈련도 반드시 실시한다.
\r\n
\r\n휴전국가인 한국에서는 전쟁에 대비한 계획을 세우고 있다. 전쟁이 발생하면, 미리 세워놓은 위기 단계별 계획에 맞춰 움직이도록 돼 있다. 전쟁 징후나 발발 시 BAT코리아의 본사는 서울 역삼동에서 지방의 제2의 장소로 옮겨진다. 만일에 대비해 이곳에는 IT 백업 시스템도 갖췄다. 외국인 직원과 그 가족의 안전과 이들의 본국 후송도 회사가 책임진다.
\r\n
\r\n박 이사는 “BAT의 기업보안 관리는 사업의 연속성을 최우선으로 한다”고 했다. IT 시스템 사고, 전쟁, 화재 등 천재지변, 생산과 유통 상의 우발사고에 대비해 상황을 잘 관리하고 직원들을 보호하여 피해를 최소화 하고 사업의 연속성을 최대한 유지하기 위해서 노력하고 있다는 설명이었다.
\r\n
\r\nBAT의 이같은 준비는 오랜 고민의 산물이다. 런던 대화재, 런던 지하철 화재 등 굵직한 사고들을 겪어온 영국계 기업이라 설까? BAT는 만일을 위한 사전과 사후 대비에 유독 만전을 기하는 모습이었다.
\r\n
\r\n보안전문가들은 말한다. 100% 보안은 없으며, 사건 이후를 대비해야 한다고. 정부청사 침입은 이미 벌어진 일이고, 다행히 그렇게 우려하던 테러는 벌어지지 않았다. 그러나 정부의 보안은 이런 작은 시도에도 뚫릴 만큼 보호벽이 얄팍했다. 더 큰 사고였다면? 상상만으로도 등골이 시리다. 정부가 이번 사고를 타산지석으로 삼아 사후약방문식이 아닌 제대로 된 보안 시스템을 구축하길 바란다.
\r\n[월간 시큐리티월드 통권 232호(sw@infothe.com)]
\r\n\r\n
\r\n
\r\n\r\n\r\n
