| 팬택계열, “보안의 궁극적 목적은 회사 발전” | 2007.12.13 | ||
내년 1분기부터 정보보호 수준 지수를 계량화 할 계획 핵심정보 유출 막기 위해 문서보안·개인PC보안 강화 2600여 명이 근무하고 있는 팬택계열의 보안을 총괄하고 있는 강승봉 경영감사팀 대리는 “현재 팬택계열의 보안모델은 슬림화된 보안조직으로 얼마나 효과적인 보안을 해낼 수 있을까에 답을 제시해 줄 수 있는 형태가 될 것”이라며 “보안의 궁극적 목적은 회사가 발전하는데 있다. 기업의 성장에 보탬이 되는 보안시스템을 구축하기 위해 노력하고 있다”고 말했다.
특히 경쟁이 치열한 휴대폰 등 핵심기술 개발이 활발하게 이루어지고 있는 팬택계열은 핵심 기술을 지키는데 보안역량을 집중하고 있다. 하지만 보안 전담조직이 없는 가운데 기업의 핵심기술 자산들을 어떻게 지켜낼 수 있을까. 팬택계열의 IT보안과 물리적 보안을 총괄하고 있는 강승봉 대리와 인터뷰를 진행했다.
Interview 강승봉 팬택계열 경영감사팀 보안총괄담당자
팬택계열은 현재 보안전담팀이 없다. 예전에 지식보안팀이라는 이름으로 보안전담팀이 있었지만 팬택계열 전체 조직이 슬림화되면서 보안팀도 경영감사팀 내부로 편입됐다. 특히 보안팀도 기업의 비즈니스에 도움이 될 수 있도록 최선을 다하고 있다. 정보보호를 해야되는 가장 큰 이유는 바로 기업 성과를 높이기 위해서다. 정보보호 담당자들이 간과하기 쉬운 부분이 바로 ‘무엇을 위한 보안인가’를 망각하다보면 보안을 위한 보안만을 하게된다. 보안도 회사 비즈니스에 부합해야만 한다. 정보보호의 목적도 여기에 있다고 생각한다. 따라서 팬택계열의 보안은 타 기업과는 좀 다른 면이 있다. 어떤 면에서 그러한 특색이 있다고 생각하나 회사가 슬림화 되면서 보안조직이 구성됐는데 아마 실험적인 모델이라고 생각한다. 전담팀이 없다는 것이 외부에서는 리스크로 보이겠지만 내부적으로는 관리적 보안, 물리적 보안, IT 보안 등이 유기적으로 잘 이루어지고 있다. 특히 경영감사팀 내에서 보안을 담당하고 있기 때문에 보안을 기업의 성과관리 측면으로 접근하고 있고 이와 맞물려 정보보호 성과도 자연스럽게 높아지고 있다. 팬택계열에서 가장 중요한 보안 이슈는 무엇인가 팬택계열에서 R&D가 차지하는 비중은 70%나 된다. 따라서 핵심기술정보가 유출되면 기업은 상당한 타격을 입게된다. 모바일 제품들은 개발기간이 긴데 반해 판매되는 기간은 길어야 2~3 개월이다. 그 기간에 개발비용 이상의 성과를 올려야만 이익이 발생한다. 따라서 개발기술이 유출돼 타사에서 먼저 유사 제품을 출시한다면 문제는 심각하다. 그래서 기술유출을 방지하는 것이 최대 이슈라고 할 수 있다. 특히 모바일 쪽은 연구인력들의 이직이 잦다. 직원들의 보안의식 및 퇴사직원들에 대한 교육도 큰 비중을 차지하고 있다. 팬택의 정보보호 관리체계는 어떤가 팬택의 정보보호 최대 목적은 바로 ‘성공적인 비즈니스 수행’에 있다. 결국 성공적인 비즈니스를 수행하기 위해 보안이 필요한 것이다. 이를 위해서는 관리적 보안과 기술적 보안, 물리적 보안이 필요하다. 관리적 보안은 보안팀 조직, 보안규정, 보안교육 등이 포함된다. 기술적 보안에는 네트워크 보안, 프로그램·DB보안, 서버·시스템보안, PC보안, 보안감사 등이 포함된다. 또 물리적 보안에는 출입통제, 검색·감시, 재해복구·백업 등이 여기에 포함된다. 이들 세 분야에 대한 보안 라이프 사이클을 체계적이고 지속적으로 수행해야만 성공적인 비즈니스 수행이 이루어질 수 있다. 현재 관리적 보안과 물리적 보안은 경영지원팀에서 주관하고 있고 기술적 보안은 IT전략팀에서 담당하고 있다. 또 이들을 총괄하는 부서가 CSO 직속의 경영감사팀이다. 경영감사팀에서는 각 계열내 팀별 보안요원을 선정해 팀별 책임제를 실시하고 있고 보안규정과 보안시스템, 교육 및 실사를 총괄하고 있다. 직원들도 이제는 보안을 위한 보안이 아니라 비즈니스를 위한 보안이라는 인식을 가지고 있기 때문에 경영감사팀의 보안정책에 최대한 동참하고 있다. 기술유출 방지를 위해 어떤 노력을 기울이고 있나 우선 문서유출을 방지하기 위해 비밀등급으로 분류해 체계적인 문서보안을 실시하고 있으며 비밀등급에 맞는 세부 보안실천을 시행하고 있다. 2005년부터 DRM을 적용하고 있는데 특히 ‘문서실명제’ 및 ‘비밀등급 표시제’는 주요한 보안정책 중 하나다. 문서실명제는 문서 작성시 실명제 표시는 첫장 왼쪽 상단에 표시하게 하고 비밀등급 표시는 오른쪽 상단 및 모든 페이지에 표시하도록 하고 있다.
또 생성된 문서에 대해 특정 부서 및 특정인에게 배포시 각 페이지 마다 워터마크 형태의 수신인 표시를 필수적으로 하고 있다. 관리대장 기록은 배포자가 하며 보관은 해당부서 책임자가 하고 있다. 또한 설계에서 제품이 개발돼 나올때까지 전 프로세스와 제품정보, 디자인 서버, 캐드설계 자료 등은 다운받아 읽기 기능만 가능하도록 하고 있으며 권한이 없는 자가 다운로드를 시도하면 암호화가 되도록 만드어 문서유출을 원천 차단하고 있다. 문서보안 이외 주요 보안시스템이 있다면 PC보안을 2006년부터 실시하고 있다. PC를 통해 외부로 유출될 수 있는 경로를 차단하는 것이다. 각종 저장매체 사용을 차단하고 있으며 로그관리를 철저히 하고 있다. 노트북도 승인없이 외부로 가져가면 인증이 떨어지지 않아 사용할 수 없게 관리하고 있다. 전사적으로 개인PC보안 시스템을 운영하고 있다. 기본적으로 저장장치 제어와 사용이력을 관리하고 있으며 PC반출·입제어, 게시판, 파일전송 웹하드 전자우편감시 등 통신제어와 프린터 출력문서 관리도 하고 있다. 출력물 이미지를 보관하고 있으며 워터마크 기능도 활용하고 있다.
또 인터넷 관리시스템을 도입했다. 사내에서 인터넷 사용시 비업무 사이트에는 접근할 수 없도록 차단하고 있으며 그 사용기록을 체계적으로 관리하고 있다. 업무 효율성을 높이는 동시에 내부 영업비밀의 외부 유출을 예방하는 시스템이다. 내부 보안 실사는 어떻게 이루어지고 있나 48개 보안점검 리스트를 정해놓고 처음에는 공식·비공식적 팀별 자체 점검을 실시했지만 실효성이 없어 지금은 비밀크로스 방식으로 점검하고 있다. 보안총괄부서에서 각 팀별 보안담당자에게 타 부서를 실사하라고 비밀메일을 보낸다. 그러면 언제 어떤 방식으로 실사를 한다는 정보를 모르기 때문에 정확한 실사결과가 나올 수 있다. 만약 문제가 드러날 경우 경고장을 발부하고 개선대책마련 경고장을 발송한다. 개선대책이 나오면 이를 토대로 결과보고 및 게시를 하는 방식으로 이루어지고 있다. 이외 보안활동들에는 어떤 것들이 있나 사내 그룹웨어에서 사이버 지식보안센터를 운영하고 있다. 다양한 보안소식을 전하고 있으며 보안활동 공지, 보안규정과 양식 등을 공유하고 있다. 이를 통해 직원들에게 다양한 보안소식과 함께 지켜야할 보안규정에 대해 지속적으로 정보를 제공하고 있다. 또 출입검색 시스템을 운영하고 있다. X레이 검색 시스템 운영과 문형탐지기 검색, 핸드탐지기, 보안검색 전문요원 운영을 통해 불법적인 영업비밀과 자산반출을 방지하고 있다.
한편 접견실을 따로 마련해 외부 인력들이 사내 사무실에 직접 들어 올 수 없도록 모든 기술미팅과 대외업무를 접견실에서만 이루어질 수 있도록 하고 있다. 접견실은 하루 평균 적게는 200명, 많게는 400여 명이 이용하고 있다. 보안업무는 언제부터 시작하게 됐나 현대전자 IT전략팀으로 입사해 IT시스템 구축 프로젝트에 참여하게 됐다. 그때 맡았던 분야가 바로 보안시스템 구축분야였다. 그 뒤로 계속 보안업무를 맡아오고 있다. 현재는 팬택계열 전체의 관리적·물리적·IT보안 전체를 총괄하고 있다보니 일은 많지만 전체 보안영역을 모두 섭렵할 수 있어 좀더 크게 보고 보안설계를 할 수 있는데 도움이 되는 것 같다. 다양한 영역의 보안업무를 접하다보니 보안은 사내 모든 것과 유기적으로 맞물려 있다는 것을 느끼게 됐고 전사적 보안의 필요성을 더욱 실감하고 있다. 보안담당자로서 느낀 점이 있다면 정보보호는 시스템 구축이 시작이란 것을 많이 느낀다. 구축이 완료됐다고 해서 담당자의 업무가 끝나는 것이 아니라 그때부터 시작이란 것이다. 또 모든 사내 시스템들이 보안과 유기적으로 연결돼 있기 때문에 전체를 보고 시스템을 구성하는 것이 중요하다는 생각도 한다. 그리고 보안담당자들이 빠지기 쉬운 문제점 중 하나가 바로 보안에만 맴돈다는 것이다.
회사 전체의 비즈니스 관점에서 보안을 보면 불필요한 절차와 체계를 만드는 것만이 보안이 아니라는 생각이 든다. 비즈니스와 맞물려 돌아가면서 이를 더욱 원활하게 해주는 보안이 최상의 보안이라고 생각한다. 보안만 생각하면 구성원들의 공감이 끌어낼 수 없다. 비즈니스 효율성으로 접근하면 보다 쉽게 직원들의 동참을 끌어낼 수 있다는 것을 경험을 통해 느꼈다. 내년도 보안관련 계획이 있다면 팬택에서 보안은 재건축보다는 리모델링이 필요하다고 생각했다. 그래서 팬택만의 시큐리티 레벨을 정해 정보보호 활동에 대한 표준 모델을 만들어야 겠다고 생각하고 있다. 사내 구성원들의 의식 수준을 체크하고 구성원 조직분포, 기술수준, 보호자산 등을 고려해 각 항목마다 정보보호 수치를 계량화하려 하고 있다. 그래서 최고 의사결정권자에게 팬택의 정보보호 수준을 수치화시켜 매주 혹은 매월 보고를 하고 필요한 정보보호 투자를 이끌어내려고 준비하고 있다. 정보보호 수준을 수치로 보여주기 위해 연구하고 있다. 이러한 맥락의 정보보호 수준진단을 2008년 1분기부터 시행해 나갈 계획이다. [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||
 |
