LG전자 정보통신 서울사업장. 정문에 들어서면 오른쪽으로 유리와 메탈 재질의 현대식 건물이 있다. 첨단 보안시스템을 자랑하는 경비동이다. LG전자의 주력사업 중 하나인 CDMA 단말사업의 정보 및 자산을 보호하고 이를 기반으로 글로벌 경쟁력을 확보하기 위해 마련됐다. LG전자 정보통신 사업장을 방문하는 사람이면 누구나 이곳을 통과해야 한다.
먼저 출입게이트를 통과해야 한다. 임직원은 나갈 때만 게이트를 통과해야 하지만 외래고객은 들어올 때도 통과하게 돼 있다. 출입게이트를 지나면 물품검색 시스템을 맞이하게 된다. 혹시 폭발물질 등 위험물을 소지하고 있다면 시스템에 의해 바로 적발된다. ID카드도 있어야 한다. 누가, 언제 방문했는지를 기록하기 위해서다. ID카드 체크가 끝나면 공항에서나 있음직한 문형금속탐지기를 또 통과해야 한다. 가방이 있다면 X레이 투시기에 보내지게 된다. 임직원의 택배 및 퀵서비스 물품은 고객 안내실이나 경비 근무자가 수령해 외부인들의 사업장 접근을 원천적으로 봉쇄한다.
정보기술(IT)이 대기업들의 보안문화를 바꾸고 있다. ID카드나 폐쇄회로 등 하드웨어적인 보안부터 전자우편 등 소프트웨어적인 보안까지 IT는 새로운 보안문화를 만들고 있다. 특히 세계 대기업들이 앞으로 벌어질 치열한 정보전쟁에서 살아남기 위해 보안을 강조하기 시작하면서 기업의 보안문화에도 적지않은 변화들이 나타나고 있다.
지난해 한국 반도체 생산기술이 대만으로 유출된 사건처럼 정보 자체가 기업의 생존과 직결될 수 있는 사건들이 발생하면서 각국의 정보기관들마저 자국의 경쟁력 제고 차원에서 외국 산업스파이 행위 적발과 자국기업을 위한 정보제공 활동에도 적극적으로 개입하고 있다. 반도체처럼 국가적인 전략사업은 기업의 정보유출이 국가 경쟁력 상실로도 이어질 수 있기 때문이다.
이처럼 보안의 중요성이 강조되면서 기업문화에도 큰 변화의 바람이 불고 있다. 보안은 보안 전담부서만의 일에서 전사적 차원으로 확산되고 있는 것이다. 종전에는 정보 자체가 한정되고 격리돼 있어 이를 물리적으로 제한만 하면 통제가 가능했지만 지금은 인터넷 등 IT 인프라의 확충으로 정보의 양 자체가 방대해졌을 뿐 아니라 네트워크를 통해 서로 연결돼 있어 타율적이고 물리적인 대응을 통해서는 정보보호에 한계를 가질 수밖에 없게 됐다.
LG전자 이진세 과장(34)은 하루에 수백통의 메일을 받지만 열지 못하는 메일이 절반에 가깝다. 회사 전산실에서 광고성 스팸메일을 원천적으로 차단하기 때문이다. 이 과장은 “보낼 수 있는 메일의 분량도 한계가 있다”며 “전사적으로 보안의 중요성이 강조되면서 사원들도 전자우편을 보낼 때 정보유출과 관련된 상항인지를 먼저 생각한다”고 말했다.
LG전자 임직원들은 기업의 보안을 위해 △중요한 자료를 책상위에 방치하고 자리를 비우지 않기△외부인 출입에 대한 경계 △문서를 버릴 때 세절해 버리기 △ID카드를 패용하기 △회사 정보가 들어있는 전자우편 다시한번 보기 △PC에 화면보호기와 패스워드 설정하기 △퇴근시 책상서랍·서류함·금고 등에 시건장치 하기 등 다양한 보안대책을 마련해 실행하고 있다.
삼성전자의 수원연구소는 보안에 관한한 철옹성에 가깝다. 연구원들의 ID를 별도로 제작해 같은 삼성전자 임직원들이라해도 마음대로 출입할 수 없다. 전자우편은 물론 모든 경로를 통한 정보유출을 차단하기 위해 여러가지 장치도 설치돼 있다. 삼성전자 본사도 각층에 폐쇄회로는 물론 특정부서는 외부인들의 출입 자체가 아예 봉쇄돼 있다. 해당부서 임직원들은 외부 고객이나 손님을 만나기 위해서는 회사가 지정한 특정장소로 가거나 아니면 아예 밖으로 나가야만 한다. 전자우편도 보낼 수 있는 용량에 한계가 있다.
기업 차원의 보안도 크게 강화되고 있다. 최근 A그룹은 전사업장에 대한 보안업무수행을 위해 조직의 운영상태를 점검했다. A그룹의 보안진단 내용이다. △인원, 문서, 시설, 컴퓨터 및 통신보안 등 업무기능별 추진계획의 수립여부 △업무의 활성화 및 효율성 제고를 위한 제반 활동사항 △단위부서별 보안업무 수행상태 △비밀의 관리 및 소유조사 △외부인 출입 통제 상태 등등.
특히 컴퓨터 보안은 정보화추진실 주관으로 전사 주요 정보시스템에 대한 통제진단활동을 실시한 데 이어 이번에는 전사 보안진단을 통해 물리적인 사항을 포함한 컴퓨터 보안 전반에 걸친 진단을 실시했다. A그룹 보안 관계자는 “보안점검 결과 다행히 정보유출의 흔적은 발견할 수 없었다”며 “앞으로도 수시로 정보보안 점검을 실시할 예정”이라고 말했다.
사정이 이렇다보니 첨단 보안제품들도 인기를 끌고 있다. 일부 기업은 홍채인식이나 지문인식과 같은 생채인식기술을 보안의 도구로 활용하고 있다. PC의 모니터를 지문인식스크린으로 사용하는 기업도 나오고 있다.
하지만 일각에선 기업들의 보안강화가 사생활 침해의 소지가 크다고 반발하고 있다. 대기업 재무담당 직원으로 있다가 최근 퇴사한 김영화씨(가명·32)는 “전화내용까지 모두 녹음해 사적인 전화는 전혀 할 수가 없었다”며 “기업의 보안이 중요한 만큼 개인의 사생활도 존중받아야 한다”고 말했다.
◆보안 10계명
1.공수래 공수거하라
△빈손으로 출근해 빈손으로 퇴근하는 것이 보안의 첫 걸음. 회사에서 발생하고 익힌 것은 회사안에서만 사용해야 한다는 뜻으로 더 나아가 입사할 때 빈손이었듯 퇴사할 때도 빈손으로 해야 한다.
2. 수구여병하라
△입조심 하기를 마치 병마개같이 해야 한다는 뜻으로, 가까운 친구나 심지어 사랑하는 아내에게도 회사에서 알게 된 정보를 이야기해서는 안된다.
3. PC나 디스켓 등은 은행 현금카드와 같다
△현금카드를 남에게 주지 않듯 중요한 정보나 자료를 현금카드처럼 소중히 한다.
4. 삼고초려하라
△퇴직예정자를 그대로 방치하지 말고 끊임없는 설득으로 그들을 감복시켜라
5. 세 사람이 알고 있는 비밀은 만인이 알고 있는 비밀이다.
△세명이 알고 있는 정보는 세상 모든 사람이 알고 있는 정보이다.
6. 기술인력은 움직이는 재산이다
△기술인력은 회사의 무한재산이지만 마음대로 움직이기 때문에 평소 관리를 철저히 해야 한다.
7. 한번 관심, 두번 관심, 앞당기는 기업문화
△정보는 예고없이 유출되는 데다 방법이 날로 다양화·고도화되고 있는 만큼 끊임없는 주의가 필요하다.
8. 무심코 흘린정보 외국기업 살 지운다
△항상 외부의 표적이 되는 만큼 철저한 보안 마인드가 필요하다.
9. 기술자료는 공장보다 값지다
△기술자료는 회사의 수많은 인력과 노력의 집약체인 만큼 눈에 보이지 않더라도 소홀히 하지 마라.
10. 알 필요도 없고 갈 필요도 없다
△자신의 업무 이외의 회사 비밀은 알려고 하지 말고 사내 보호구역에는 아예 가려고 하지 마라.
<김익종기자 ijkim@etnews.co.kr>
◆LG그룹은 최근 각 계열사 최고보안책임자(CSO)들이 한 자리에 모여 정보 보호의 중요성을 강조하는 강의 청강과 함께 LG의 IT 정보보안 현황을 공유하고 그에 대한 종합계획을 수립하기로 하는 등 협의회를 개최해 재계의 관심을 모았다. 이 자리에는 LG필립스LCD 전재완 부사장, LG칼텍스정유 박원표 상무, LG전자 유영민 상무, LGCNS 류명환 상무 등 총 40명의 계열사 CSO가 참석했다.
LG는 이번 CSO 협의회를 통해 IT 보안활동을 주관할 수 있는 체계를 구축, 한단계 높은 보안 수준을 유지할 수 있을 것으로 기대했다. 또 새롭게 보안협의체를 운용함으로써 계열사별로 회사 경영 정보 등에 대한 체계적인 보안 대책을 마련하는 데 한계가 있었던 점을 극복할 수 있게 됐다고 설명했다.
IT 종합서비스 업체인 LGCNS를 중심으로 LG 계열사 40여명의 CSO들은 각사의 정보보안 종합계획을 수립하고 바이러스·해킹 등의 침해사고를 방지할 수 있는 기술적인 대응체계를 공동으로 마련했다.
이와 함께 각사의 보안 취약점을 수시로 점검해 그 결과를 경영층과 공유, 지속적인 사후관리를 통해 문제점을 개선하고 있다. LGCNS 오해진 사장은 “LG가 국내 대기업 최초로 계열사들의 CSO 협의회를 구성함으로써 선진기업화를 향해 한걸음 나아가는 계기가 됐다”면서 “CSO 및 보안협의체를 통해 제반 업무의 조정, 승인, 감독, 통제를 효과적으로 시행해 LG의 사업경쟁력과 보안 수준이 한단계 향상될 것”이라고 말했다.
<용어설명> 최고보안책임자(CSO:Chief Security Officer)
CSO란 한마디로 표현하면 ‘기업체의 모든 분야를 총괄하는 임원급 보안관’이다. 기업체 임원들의 컴퓨터 및 정보의 디지털 보안 업무를 책임지고 관리하는 자리. 보안분야의 책임경영자인 CSO는 비용과 잠재적 위험 손실간의 균형을 지킬 수 있는 비즈니스 감각이 필요하다. 또 가장 어려운 IT기술 중 하나인 정보보안 기술에 대한 지식도 필요하며 경영진이 보이지 않는 위험에 대해 인식하게 하는 것도 CSO의 책임이다.
마이크로소프트사는 자사제품의 보안을 향상시키는 전략을 추진하기 위해 지난 1월 CSO를 임명했으며 AOL타임워너는 회사의 세계적인 보안 직책과 운영을 감독하고 조정하기 위해 CSO직위를 만들었다. 선마이크로시스템스, 오라클, HP 등 세계적인 IT업체들도 CSO를 임명, 운영하고 있다.
<김익종기자 ijkim@etnews.co.kr>