\r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n\r\n

[시큐리티월드 신현구] 2016년 말, 내 나라 대한민국이 위대하고 자랑스럽다고 굳게 믿던 평범한 국민을 하루아침에 극도의 실망으로 몰아넣은 일명 ‘비선 실세에 의한 국정농단 사태’를 보면서 보안관리의 기본원칙 준수가 얼마나 중요한지를 다시 한번 깨달았다.
\r\n
\r\n보안관리는 조직의 수장이 솔선수범하지 않으면 조직에 아무리 훌륭한 보안전문가가 있어도 무용지물이다. 조직의 수장과 가깝다는 이유로 출입통제 절차를 무시한 ‘보안 손님’이 시도 때도 없이 국가 보안시설을 활보해도 누구하나 보안수칙준수를 요구할 수 없었던 이번 사건만 봐도 그렇다.
\r\n
\r\n오늘날처럼 보안이 첨단화, 정보화, 사이버화, 융복합화되는 시대에도 여전히 변함없는 것은 전통적인 보안관리 분야인 인력보안과 문서보안, 출입통제보안 같은 분야다. 기술이 아무리 발전한다 해도 이런 분야는 더욱 원칙적으로 치밀하고 확실하게 관리돼야 한다. 최측근 비서관이나 수석 등 대통령과 대통령 주변 핵심인력의 보안수칙 미준수가 오늘의 사태를 불러왔기 때문이다. 국가원수의 연설문이 사전에 민간인에게 전달되고 대통령 자신이 어려울 때 도와준 사람이라며 ‘보안 손님’을 출입통제 대상에서 예외시키는 등 보안관리의 기본을 지키지 않은 것이 문제의 발단이다.
\r\n
\r\n산업현장에서도 최고경영자(CEO)를 포함한 친인척과 핵심임원 등이 보안 적용 대상에서 제외되는 사례가 비일비재하다. 그러나 보안 대상에 예외를 두어서는 안 된다. 이는 보안 수칙의 기본 중의 기본이다. 또한, 보안은 관리적 보안 측면에서의 정책 수립과 이행이 선행돼야 하고 이를 실현하기 위한 관심과 지원과 노력이 가장 중요하다. 그런데 우리는 보안을 떠올리면 IT만을 생각하고 IT 보안 투자에 집중하는 성향이 있다.
\r\n
\r\n이번 국정농단 사태는 기술적 보안의 허점에서 야기된 것이 아니라 대통령을 비롯한 최측근에 의해 야기된 관리적 보안(인적 보안) 분야에서의 허점이 여실히 드러난 사건이다. 국가가 기업이라면 대통령이 최고경영자에 속한다고 볼 수 있다. 보안 분야에서 IT는 전체 보안관리 체계 중 일부일 뿐이다. 보안은 관리이고, 휴먼웨어라는 사실을 잊어서는 안 된다.
\r\n
\r\n보안이 뚫리면 그 조직의 신뢰도는 땅에 떨어진다. 조직도 무너지고 수장마저도 설 자리가 없어진다. 이번 사태를 통해 기본 보안 수칙을 되새겨보는 반면교사로 삼아야 할 것이다. 산업현장도 마찬가지다. 보안사고 때문에 기업 이미지와 신뢰를 잃을 수 있고, 고객과 주주가 떠날 수 있으며 심지어는 기업도산까지도 이를 수 있다는 것을 기억해야 한다.
\r\n
\r\n어떤 조직이든지 최고의 경영진과 핵심 임원일수록 보안의 예외 적용을 요구하거나 보안수칙 미준수를 자랑할 게 아니라 자신부터 모범을 보여야 한다. 보안 사고는 최고경영자의 책임이기 때문이다. 또한, 조직원이 항상 최고경영자의 보안수칙 준수 여부를 유심히 보고 답습하고 있음을 잊지 말아야 한다. 보안관리 체계를 갖추는 가장 쉬운 방법은 보안에 대한 경영자의 적극적인 준수 태도와 관심, 그리고 지원이라는 점을 다시 한 번 강조하고 싶다.
\r\n[글 신현구 피앤에스파트너스 대표(peter@pnspartners.com)]
\r\n
\r\n[월간 시큐리티월드 2017년 2월호 통권 241호(sw@infothe.com)]