지난해 9월 국회심의 및 통과를 거쳐 올해 4월 말부터 시행되는 ‘산업기술의유출방지및보호에관한법률’은 국가안보 및 국민 경제에 미치는 영향 등을 종합적으로 고려해 국가적 차원에서 보호해야 할 가치가 있는 핵심 첨단기술을 선정해 관리하는 제도다. 따라서 여기에 해당되는 기술을 보유하고 있는 기업체들에게 직·간접적으로 많은 영향을 줄 것은 분명해 보인다.

이와 관련해 지난 몇 년간 보안실무 책임자로서 느껴왔던 기업보안의 추진전략과 방향에 대해 몇 가지 사항을 이야기해 보고자 한다.

첫째, 보안의 핵심은 사람의 관리다. 아무리 최첨단 장비의 출입보안 시스템과 시스템 침해방지 및 정보유출 차단 시스템을 갖추고 있다 하더라도, 물리적·기술적 보안 시스템을 직접 운영 및 활용하고 있는 임직원이나 외부출입자들에 의해 고의적 또는 부주의로 인해 핵심기술이나 정보가 유출될 가능성은 항상 내포하고 있다. 따라서 임직원이라 할지라도 꼭 필요한 사람에게만 제한적으로 출입 및 시스템 사용권한을 부여하고 통제할 필요가 있다고 본다.  

둘째, 적절한 보안 통제 시스템(보안규정 및 프로세스, 물리적·기술적 보안 시스템 등)을 갖추고, 주기적인 운영체제의 점검을 통해 지속적으로 개선해 나가야 한다. 임직원들이 쉽게 인지하고, 지킬 수 있는 구체적인 보안규정과 절차를 마련해 충분한 사전교육을 실시하고, 지속적인 점검을 실시해야 한다. 그리고 회사의 중요 자산을 보호하기 위한 보안투자 대비효과를 고려해 적정수준의 물리적·기술적 보안설비를 갖추어야만 한다. 또한, 보안사고 발생시, 즉각적인 대응 및 조치가 가능한 프로세스를 가동함으로써 피해를 최소화시켜야 한다.

셋째, 보안과 업무효율성과의 상반된 관점을 전사 차원의 효과를 고려해 선택과 집중에 의한 보안관리를 해야 한다. 모든 것을 지킨다는 것은 곧, 아무것도 지킬 수 없다는 의미다. 즉, 가장 핵심적인 경영정보나 첨단기술, 주요 인력 및 취약개소의 개선만을 선택해 집중 관리함으로써 조직내 불필요한 보안에 대한 반감을 제거하고, 전사적 차원에서의 시너지 효과를 거두어야 한다.

넷째, 보안부서 요원들은 전문적인 보안지식을 쌓아나가면서 사후 관리보다는 사전 위험관리체계를 갖추고, 가능한 한 비즈니스 프로세스와 직결된 보안체계를 갖추어야 한다. 회사의 보안을 주관 및 운영하고 있는 보안부서 요원들의 신념과 업무지식이 곧 그 회사의 보안척도이기 때문에 현재보다 더 나은 보안수준을 달성하기 위해 지속적인 자기계발 노력과 아울러 새로운 보안 위협에 대응한 사전 위험관리체제를 구축해 나가야 한다.

마지막으로 보안정책의 성공과 실패를 실질적으로 좌우하는 핵심적 요소인 최고경영자의 강력한 스폰서십을 확보해 보안문화가 조기에 정착될 수 있도록 최선의 노력을 다해야 한다. 현재의 보안수준을 원하는 최상의 수준까지 향상시키기 위해 경영진에서 주기적인 업무보고를 통해 개선방향에 대한 지지를 얻음으로써 실행력을 제고해야 한다.

이상 몇 가지 핵심사항을 살펴보았다. 하지만 이보다 더욱 중요한 것은 보안활동의 수준은 각 회사의 특성과 문화를 고려해 회사경영에 최대한 이바지하는 차원에서 결정돼야 한다는 것이다. 

<글: 이희명 포스코 PI지원실 정보보안팀장>

 

[월간 시큐리티월드 통권 제124호(info@boannews.com)]

           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>