“정부 지원, 다양한 보안인식 제고 프로그램 활용도 좋은 방법”
[보안뉴스= 신현구 경기대학교 외래교수] 일찍이 세계 최고의 해커이자 아직까지 해커들의 우상이라고 일컫는 미국의 케빈 미트닉(Kevin Mitnick)에게 사람들이 물었다. “도대체 기업에 있어 정보를 안전하게 보호하려면 어떻게 해야 됩니까?” 이에 대해 케빈 미트닉은 다음과 같이 아주 간단명료하게 말한 것으로 알려졌다.
.jpg)
“보안요? “나의 성공은 해킹당한 기업의 내부 보안 관계자들이 수년간 시행되어 왔던 보안방침과 절차를 스스로 위배한 덕분입니다. 보안에 있어 최대의 취약점은 ‘사람’입니다. 기업의 정보를 안전하게 보호하려면 첨단 보안시스템 도입보다도 임직원에 대한 보안인식 제고가 가장 중요합니다.”
우리 기업은 이런 기본 상식을 뻔히 알면서도 비싼 예산을 투입해 시스템을 도입해야만 정보보호가 되는 줄 착각한다. 많은 기업을 방문해 보면 웬만한 규모의 기업은 훌륭하고 값 비싸고 전문가만이 취급할 수 있는 고가의 보안장비를 잘 갖춰놓고는 있다. 그러나 해당 기업의 임직원을 인터뷰해 보면 보안에 대한 인식은 희박하기 짝이 없다. 이는 곧 밑 빠진 독에 물 붓기나 다를 바 없다.
보안인식은 개인이 언제든지 보안유지를 위해 특별하게 조치할 수 있도록 지속적으로 유지되어야 하는 게 중요하다. 교육을 통해서는 일반적인 상식을 높이고 훈련을 통해서는 기술을 향상시킬 수 있는데, 보안인식 제고를 통해서는 ‘보안에 대한 주의력(혹은 관심)’을 향상 시킬 수 있다. 그러므로 보안인식 제고 프로그램은 반드시 필요하다.
그러면 임직원들의 보안인식은 기업에게 어떤 도움을 주는 것일까?
첫째, 보안인식은 회사의 중요한 자산을 보호하게 한다. 보안인식의 가장 주된 목표는 임직원들에게 회사의 자산을 보호하고 손실을 줄일 수 있는 방법을 가르쳐 준다. 이것은 보안인식 프로그램에 있어서 가장 중요하고 필수적인 요소라고 할 수 있다.
둘째, 기업경영의 성공을 불러올 수 있다. 이는 임직원들을 대상으로 보안인식 제고 노력에 있어 가장 중요한 목표라고 할 수 있다. 보안전문가들은 보안인식 제고 프로그램에 시간과 열정을 투자한다면 보안문제 뿐만 아니라 기업의 가치와 기업활동의 효율성을 극대화할 수 있다.
셋째, 임직원을 대상으로 하는 보안인식 제고 교육은 그들이 지녀야 할 구체적인 보안준수사항과 요소들이 어떠한 것인지를 명확하게 가르쳐 주므로 기업의 질서를 더욱 견고하게 해준다.
넷째, 보안인식은 계약의무를 준수하게 한다. 보안인식은 기업에 적용되는 다양한 계약(단체협약, 근로계약, 보안정책, 규정, 규칙, 서약서 등)과 교육내용 등을 성실히 준수하게 만든다.
다섯째, 보안인식은 기업의 긴급상황 및 돌발상황, 그리고 비상사태시 적절하게 대응하는 자세를 확립시켜 준다. 특히, 사이버 환경에서의 다양한 사이버 사태를 보안인식 프로그램에서 익힌 교육과 훈련을 통해 적절히 대응할 수 있도록 만들어 준다.
여섯째, 보안인식은 기업의 법적 책임을 최소화시킨다. 평소 보안에 대한 인식제고 프로그램은 법적 비용과 시간과 경쟁사로부터의 법적분쟁에서도 유리하게 할 수 있다.
이 외에도 보안인식 문제가 여러 가지 기업 활동의 순기능에 기여하는 요소들이 많다고 할 수 있다. 그러면 보안인식 제고 프로그램에는 어떤 것이 담겨 있어야 할까?
1. 우리 회사는 왜 보안관리가 필요한가?
2. 우리 회사의 보안관리정책(규정) 내용은 무엇인가?
3. 우리 회사의 특정자산은 무엇이고 어떻게 관리하고 조치해야 하는가?
4. 임직원에게 보안관련 의무(준수)사항은 무엇인가?
5. 보안위규(비상사태 포함)사항 발생 시 임직원은 어떻게 대처해야 할까?
6. 위반자에 대한 조치는 무엇이며, 준수자에 대한 대가는 무엇인가?
7. 위험 및 위협을 어떻게 감지하고 어떻게 대처(반응)해야 하는가?
보안인식 제고 프로그램은 상세한 보안업무 정보(전문가 수준)까지 포함하지 않아도 되지만 지루하고 주입식 프로그램을 벗어나 가급적 재미있고 관심을 끌 수 있도록 구성하는 것이 중요하며, 반드시 CEO가 함께 하는 분위기가 중요하다. 왜냐하면 보안은 CEO의 동참이나 솔선수범 없이는 이루어질 수 없기 때문이다.
.jpg)
또한, 보안 프로그램 운영에 어려움을 호소하는 기업이 대다수인데, 최근 몇 년 전부터는 사내강사를 통한 임직원의 보안인식 교육을 벗어나 무료로 보안전문가를 해당 기업에 방문시켜 1~2시간 무료 보안 프로그램을 제공하는 정부 서비스가 많다.
중소기업청(대중소기업협력재단), 특허청(영업비밀보호센터), 산업통상자원부(한국산업기술보호협회), 한국인터넷진흥원, 심지어는 경찰청에서도 관심 있게 지원하고 있는 사업이 바로 보안인식 제고 프로그램이라고 할 수 있다. 이렇듯 정부의 다양한 지원제도를 충분히 활용함으로써 기업의 보안인식을 한단계 높일 수 있다.
[글 _ 신현구 경기대 외래교수/법무법인 비트 전문위원(peter@pnspartners.com)]
필자소개_ 신현구 경기대학교 외래교수는 현재 보안 컨설팅 전문업체인 피앤에스파트너스 대표이사와 법률사무소 비트 전문위원으로 활동하고 있으며, 산업보안 분야 약 500여회에 이르는 특강과 함께 다양한 산업보안 체계 구축 컨설팅과 국제 정보보호 인증 컨설팅 경험을 보유하고 있다.
[보안뉴스= 신현구 경기대학교 외래교수] 일찍이 세계 최고의 해커이자 아직까지 해커들의 우상이라고 일컫는 미국의 케빈 미트닉(Kevin Mitnick)에게 사람들이 물었다. “도대체 기업에 있어 정보를 안전하게 보호하려면 어떻게 해야 됩니까?” 이에 대해 케빈 미트닉은 다음과 같이 아주 간단명료하게 말한 것으로 알려졌다.
“보안요? “나의 성공은 해킹당한 기업의 내부 보안 관계자들이 수년간 시행되어 왔던 보안방침과 절차를 스스로 위배한 덕분입니다. 보안에 있어 최대의 취약점은 ‘사람’입니다. 기업의 정보를 안전하게 보호하려면 첨단 보안시스템 도입보다도 임직원에 대한 보안인식 제고가 가장 중요합니다.”
우리 기업은 이런 기본 상식을 뻔히 알면서도 비싼 예산을 투입해 시스템을 도입해야만 정보보호가 되는 줄 착각한다. 많은 기업을 방문해 보면 웬만한 규모의 기업은 훌륭하고 값 비싸고 전문가만이 취급할 수 있는 고가의 보안장비를 잘 갖춰놓고는 있다. 그러나 해당 기업의 임직원을 인터뷰해 보면 보안에 대한 인식은 희박하기 짝이 없다. 이는 곧 밑 빠진 독에 물 붓기나 다를 바 없다.
보안인식은 개인이 언제든지 보안유지를 위해 특별하게 조치할 수 있도록 지속적으로 유지되어야 하는 게 중요하다. 교육을 통해서는 일반적인 상식을 높이고 훈련을 통해서는 기술을 향상시킬 수 있는데, 보안인식 제고를 통해서는 ‘보안에 대한 주의력(혹은 관심)’을 향상 시킬 수 있다. 그러므로 보안인식 제고 프로그램은 반드시 필요하다.
그러면 임직원들의 보안인식은 기업에게 어떤 도움을 주는 것일까?
첫째, 보안인식은 회사의 중요한 자산을 보호하게 한다. 보안인식의 가장 주된 목표는 임직원들에게 회사의 자산을 보호하고 손실을 줄일 수 있는 방법을 가르쳐 준다. 이것은 보안인식 프로그램에 있어서 가장 중요하고 필수적인 요소라고 할 수 있다.
둘째, 기업경영의 성공을 불러올 수 있다. 이는 임직원들을 대상으로 보안인식 제고 노력에 있어 가장 중요한 목표라고 할 수 있다. 보안전문가들은 보안인식 제고 프로그램에 시간과 열정을 투자한다면 보안문제 뿐만 아니라 기업의 가치와 기업활동의 효율성을 극대화할 수 있다.
셋째, 임직원을 대상으로 하는 보안인식 제고 교육은 그들이 지녀야 할 구체적인 보안준수사항과 요소들이 어떠한 것인지를 명확하게 가르쳐 주므로 기업의 질서를 더욱 견고하게 해준다.
넷째, 보안인식은 계약의무를 준수하게 한다. 보안인식은 기업에 적용되는 다양한 계약(단체협약, 근로계약, 보안정책, 규정, 규칙, 서약서 등)과 교육내용 등을 성실히 준수하게 만든다.
다섯째, 보안인식은 기업의 긴급상황 및 돌발상황, 그리고 비상사태시 적절하게 대응하는 자세를 확립시켜 준다. 특히, 사이버 환경에서의 다양한 사이버 사태를 보안인식 프로그램에서 익힌 교육과 훈련을 통해 적절히 대응할 수 있도록 만들어 준다.
여섯째, 보안인식은 기업의 법적 책임을 최소화시킨다. 평소 보안에 대한 인식제고 프로그램은 법적 비용과 시간과 경쟁사로부터의 법적분쟁에서도 유리하게 할 수 있다.
이 외에도 보안인식 문제가 여러 가지 기업 활동의 순기능에 기여하는 요소들이 많다고 할 수 있다. 그러면 보안인식 제고 프로그램에는 어떤 것이 담겨 있어야 할까?
1. 우리 회사는 왜 보안관리가 필요한가?
2. 우리 회사의 보안관리정책(규정) 내용은 무엇인가?
3. 우리 회사의 특정자산은 무엇이고 어떻게 관리하고 조치해야 하는가?
4. 임직원에게 보안관련 의무(준수)사항은 무엇인가?
5. 보안위규(비상사태 포함)사항 발생 시 임직원은 어떻게 대처해야 할까?
6. 위반자에 대한 조치는 무엇이며, 준수자에 대한 대가는 무엇인가?
7. 위험 및 위협을 어떻게 감지하고 어떻게 대처(반응)해야 하는가?
보안인식 제고 프로그램은 상세한 보안업무 정보(전문가 수준)까지 포함하지 않아도 되지만 지루하고 주입식 프로그램을 벗어나 가급적 재미있고 관심을 끌 수 있도록 구성하는 것이 중요하며, 반드시 CEO가 함께 하는 분위기가 중요하다. 왜냐하면 보안은 CEO의 동참이나 솔선수범 없이는 이루어질 수 없기 때문이다.
또한, 보안 프로그램 운영에 어려움을 호소하는 기업이 대다수인데, 최근 몇 년 전부터는 사내강사를 통한 임직원의 보안인식 교육을 벗어나 무료로 보안전문가를 해당 기업에 방문시켜 1~2시간 무료 보안 프로그램을 제공하는 정부 서비스가 많다.
중소기업청(대중소기업협력재단), 특허청(영업비밀보호센터), 산업통상자원부(한국산업기술보호협회), 한국인터넷진흥원, 심지어는 경찰청에서도 관심 있게 지원하고 있는 사업이 바로 보안인식 제고 프로그램이라고 할 수 있다. 이렇듯 정부의 다양한 지원제도를 충분히 활용함으로써 기업의 보안인식을 한단계 높일 수 있다.
[글 _ 신현구 경기대 외래교수/법무법인 비트 전문위원(peter@pnspartners.com)]
필자소개_ 신현구 경기대학교 외래교수는 현재 보안 컨설팅 전문업체인 피앤에스파트너스 대표이사와 법률사무소 비트 전문위원으로 활동하고 있으며, 산업보안 분야 약 500여회에 이르는 특강과 함께 다양한 산업보안 체계 구축 컨설팅과 국제 정보보호 인증 컨설팅 경험을 보유하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
