World Best Company, World Best Security 

 

국가정보원과 정보통신, 전자, 생명공학·화학, 기계 등 4개 업종별로 주요 업체들이 참여한 민·관 산업보안협의회가 본 궤도에 오르면서 국내에서도 기업의 보안역량을 강화할 수 있는 토대가 마련된 상태다. 그 가운데서도 정보통신 분야의 민·관 산업보안협의회는 매월 정기적으로 모임을 개최하는 등 가장 활발한 활동을 펼치고 있는 것으로 평가되고 있다. 이에 본지에서는 정보통신 분야 민·관 산업보안협의회 회장사인 삼성전자의 정보보호그룹을 시작으로 협의회 회원사의 보안체계 구축과정과 보안부서의 활동내용을 살펴보는 시리즈를 기획했다.

 

 

 

 

국내 최대의 기업 삼성전자는 서울 본사와 기흥, 수원 등 전국에 흩어져 있는 9곳의 각 부문별 사업장에 걸쳐 100여명이 넘는 보안전담인력을 보유하고 있고, 본사와 각 사업장 정문에는 시큐리티 게이트와 X-레이 검색대 등의 첨단 보안 시스템을 구축해 놓는 등 보안에 있어서도 세계 초일류를 지향하고 있다.

세계 초일류 지향, 보안도 예외가 아니다

삼성전자에서 보안업무를 담당하는 부서는 1993년 기흥의 반도체 사업장에서 가장 먼저 조직됐다. 그 이후 인사부서 안에 파트 개념으로 존재하던 보안팀이 하나둘씩 그룹화됐으며, 본사의 경우 지난해 가장 늦게 정보보호그룹이 신설됐다. 이와 관련, 본사 정보보호그룹 노시영 상무는 “본사보다는 각 부문별 사업장이 출입인원 통제와 자산 반·출입 등 보안실무에 있어 중요성이 더욱 크기 때문에 사업장부터 보안조직이 갖춰지기 시작했던 것”이라고 설명한다.

 

이렇듯 보안조직을 갖추고 난 후 삼성전자는 무엇보다 보안이라고 하면 인력경비를 통한 출입통제 등 특정 분야에만 편중돼 마치 단순 경비업무라는 느낌이 강했던 기존 인식을 불식시키는 데 중점을 뒀다. 이의 일환으로 인력경비 업무는 과감히 아웃소싱을 하는 대신 물리적 보안과 IT 보안을 시스템화·통합화하고, 보안기획·정책·감사업무를 강조함으로써 다각적이고 효율적인 보안체계 구축에 나섰던 것이다.   

 

특히, 삼성전자는 본사의 정보보호그룹에서 각 사업장에 일방적으로 업무를 지시하는 체계가 아니라 각 사업장의 정보보호그룹별로 나름대로의 특성을 살린 보안체계를 자율적으로 구축하고, 이를 집행하고 있다는 점에서 눈길을 끈다. “본사에서 전사적인 보안전략 수립이나 밑그림은 제시하지만 사업장별로 관리 포인트가 다르기 때문에 각 사업장의 정보보호그룹에서 자산의 반출기준 등 세부적인 사항은 자체적으로 결정하고 있다”는 노시영 상무의 말처럼 반도체 사업장과 휴대폰 사업장은 제조하는 제품군이 다르듯이 직원들이 반·출입을 규제하는 물품의 종류 등 보안업무의 세부기준과 규정이 달라질 수밖에 없다는 얘기다. 

국내 제조업 최초 BS7799 인증획득

삼성전자의 보안체계에 있어 또 한 가지 주목할 부분은 지난 2002년부터 기흥, 화성사업장에서 시작된 BS7799 인증획득 작업이 전 사업장과 해외 사업장으로까지 확대되고 있다는 점이다. BS7799 인증획득 과정을 통해 삼성전자는 내부적으로 현업에 종사하는 임직원들로 하여금 직접 각 부서의 핵심 정보자산에 대한 데이터를 정리하게 함으로써 산재돼 있던 정보자산의 존재와 소유자를 명확히 파악하게 됐고, 객관적인 기준에 맞춘 정보관리 양식과 지침을 마련해 보안업무의 연속성을 가능케 했다는 점을 큰 수확으로 꼽고 있다.

 

이를 통해 어느 사업장에서 어떠한 정보자산을 소유하고 있는지, 무엇을 보호해야 하는지, 그리고 임직원 각자가 가지고 있는 정보자산이 어느 정도의 가치가 있는 것인지를 명확히 인식토록 했다는 것이다. 이와 관련 본사 정보보호그룹의 전진규 대리는 “BS7799 인증획득 과정을 통해 정보자산의 사용자 및 관리자들의 보안의식을 고취시켰고, 위험발생의 가능성에 대한 우선순위와 비용효과를 고려한 보안대책 수립이 가능해짐으로써 효율적인 보안체계를 구축할 수 있었다”고 말했다. 

보안에 친근하게 다가서라!

정보보호그룹에서는 본사와 각 사업장에 근무하는 6만 5천여명 이상의 삼성전자 임직원을 대상으로 한 보안교육과 홍보에도 만전을 기하고 있다. 우선 입사 시에는 2시간의 보안교육을 반드시 이수토록 하고 있으며, 모든 임직원들은 1년에 한 번 이상 보안교육을 이수해야 하는 규정을 두고, 이를 위해 온·오프라인을 병행하는 보안교육을 진행하고 있다.

 

이와 관련 노시영 상무는 “1년에 한 번이라고는 하지만, 6만 5천여명이 넘는 임직원들 모두 보안교육을 실시하기 위해서는 각 사업장의 보안담당자들이 하루에 250여명 이상의 직원들을 교육시켜야 한다”며, “이로 인한 시간적·금전적 비용을 절감하기 위한 방안으로 다양한 e-Leaning 콘텐츠를 통한 사이버 보안교육이 활성화돼 있고, 직원들의 호응도 매우 높은 상태”라고 설명했다. 

 

이와 함께 각 사업장의 정보보호그룹은 직원들이 보안업무의 주체가 되고, 보안부서의 활동에 적극 협조할 수 있도록 각종 캠페인을 펼치는 등 홍보활동에도 적극적이다.

 

일례로 반도체 사업장에서는 진돗개를 형상화한 ‘세티(Se-tti)’, 정보통신 관련 사업장에는 ‘큐리’라는 보안 캐릭터를 제작해 보안이 임직원들에게 더욱 친근한 모습으로 다가갈 수 있도록 했다. 또한, 시큐리티와 에티켓의 합성어인 ‘세티켓’을 제정하고, 보안 포스터를 제작하거나 보안관련 소식을 이메일로 전송하는 등의 방법을 통해 보안이라는 단어 자체가 가지는 딱딱한 이미지를 불식시키는데 기여했다는 게 삼성전자 측의 자체 평가다.

직원 모두가 보안주체 되는 ‘자율보안’ 체제 구축  

“보안담당자 뿐만 아니라 모든 임직원이 보안주체가 될 수 있도록 각자 명확한 역할과 이에 따른 책임을 부여해주는 것이 기업보안 담당자의 가장 중요한 업무”라고 강조하는 노시영 상무는 이를 위해 그간 ‘뜬구름’ 잡는 수준이었던 보안규정을 구체화·계량화함으로써 직원들이 규정을 쉽게 이해하고 실천할 수 있도록 했다. 이러한 과정을 거쳐 삼성전자는 무엇보다 기업이 주체가 되는 단순하고 일방적인 보안체계에서 탈피해 임직원이 자발적으로 정보의 소유자·관리자·사용자로서 보안에 임하는 ‘자율보안’이라는 신개념의 보안체제를 구축할 수 있었던 것이다.

 

이렇듯 ‘자율보안’ 체제를 성공적으로 정착시킴으로써 보안업무에 있어서도 ‘월드 베스트’라는 평가를 받고 있는 삼성전자. 이들의 보안노하우가 산업보안협의회를 통해 타 기업에도 전해져 국내기업의 보안수준이 한 단계 업그레이드 되는 계기로 작용하길 기대해본다.   

Interview

 

 

 

 

노 시 영 | 삼성전자 정보보호그룹 상무/그룹장, 정보통신 분야  민·관 산업보안협의회장

“해외기업의 산업스파이 행위에 공동 대처할 것” 

 

 

 

본사와 각 사업장에 정보보호그룹이 조직되고, 업무를 수행했던 초기에는 아무래도 보안업무에 대한 직원들의 반감 등으로 어려움이 많았을 것 같은데.

지금은 보안에 대한 인식이 많이 바뀐 상태지만, 초기만 해도 보안은 보안담담자만 해야 할 일이고, 직원들 자신의 일이 아니라는 인식이 팽배했던 게 사실이다. 또한, 보안업무는 유능하지 않은 인력이 하는 업무라는 생각도 적지 않았는데, 이제는 보안부서가 핵심인력들이 선호하는 부서 가운데 하나로 자리 잡을 정도로 인식이 많이 바뀌었다. 얼마 전에는 기흥 사업장에서 신입사원을 대상으로 보안담당자를 모집한 적이 있었는데, 다른 부서에 비해 월등하게 많은 인원이 지원하는 것을 보면서 보안부서의 높아진 위상을 실감할 수 있었다.

     

임직원들이 보안의 중요성을 인식하게 된 계기는 무엇이었다고 보나.

회사에 보안사고가 발생한 이후 직원들의 보안의식이 높아지기 시작했다고 본다. 삼성전자에 불미스러운 일이 발생할 경우 회사뿐만 아니라 국가 전체에 미치는 파장이 엄청나다는 것을 직원들 모두 절감했기 때문이다. 여기에 회사에서 전사차원의 보안체제 구축에 적극 나섰고, 관련 법률안이 개정되는 등 주변여건이 한층 성숙되면서 직원들의 마인드가 바뀌기 시작한 것 같다. 

본사와 각 사업장의 정보보호그룹 간 상호 업무협력은 어떻게 이루어지나.

본사와 각 사업장 별로 정보보호그룹이 별도로 조직돼 있으며, 각 사업장의 보안업무는 사업장의 특성에 맞게 최대한 자율적으로 수행될 수 있도록 했다. 본사의 정보보호그룹은 전사적인 차원의 보안대책을 수립하는, 다시 말해 큰 틀을 제시하는 역할을 담당하고 있는 상황이다. 단, 각 사업장 간 협력체제가 원활히 이루어질 수 있도록 모든 사업장의 보안책임자가 참여하는 회의를 월 1회 이상씩 개최하고 있다.         

삼성전자의 보안체계를 갖춰나가는 데 가장 역점을 둔 부분은.

정보유출 사고를 방지할 수 있는 실질적인 보안기술을 향상시키고, 정보유출 경로를 파악·분석하는데 주안점을 뒀다. CCTV 시스템을 예로 들면 단순히 CCTV 카메라가 설치돼 있느냐 없느냐가 문제가 아니라 CCTV 카메라가 어떤 지역, 어떤 각도로 설치돼야 하는지 그리고 그 각도로 설치됐을 때 어떤 장점이 있는지 파악하고, CCTV 카메라가 정보유출 방지에 어떤 효과가 있는지 등의 구체적인 분석을 거쳐 시스템 운용방안을 마련하는 게 중요하다는 말이다. 삼성전자의 경우 직원들의 보안마인드는 어느 수준까지 올라온 만큼 이제는 세부적인 문제로 접근해가는 것으로 보안업무의 초점이 이동하기 시작했다.    

정보통신 분야의 민·관 산업보안협의회 회장도 겸임하고 있는데, 향후 협의회 운영은 어떻게 해나갈 계획인가.

지금까지 협의회 회원사들 간에 월 1회 정기적인 모임을 꾸준히 개최하면서 관련정보를 교류하고, 각 업체의 보안노하우를 공유하는 등 협의회가 성공적으로 정착되고 있다. 이에 덧붙여 회원사의 보안책임자들이 해당 회사의 CEO들에게 보안의 중요성을 좀더 확실하게 각인시킬 수 있는 방법을 찾는 일과 효과적인 보안교육 방안, 그리고 해외기업의 산업스파이 행위에 공동 대응할 수 있는 방안 등에 대해 더욱 고민하고 머리를 맞댈 계획이다.                                      

[권 준 기자(joon@infothe.com)]]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>