필자는 외국에서 오랫동안 기업보안 업무활동을 해오면서 항상 많은 국내기업들이 위협요소들로부터 무방비상태에 놓여있는 것에 안타까움을 느껴왔다. 불행하게도 너무나 많은, 그리고 비교적 큰 기업들이 예산과 비용감소를 이유로 회사 내 보안부서의 필요성을 무시 해 왔다. Corporate Security 기능은 이러한 내외부로부터의 위협과 회사 이미지를 보호할 수 있는 주요 기능이다.
기업보안에 대한 최고의 위협은 바로 내부자의 소행이라 할 수 있다. 포천지가 선정한 500대 기업 의 보안책임자들은 이미 주지하고 있는 사실이다. 특히, 회사의 핵심직원은 회사의 어지간한 비밀들 을 모두 알고 있으며 기업 보안망을 어떻게 빠져 나갈 수 있는지도 잘 알고 있다. 기업보안은 대부 분 외부 공격에만 방어하도록 되어 있어 내부로부터의 공격에는 속수무책이다. 이것은 아무리 강한 맹수라도 밖에서의 공격은 잘 막아내지만 자기 속 의 병은 제대로 다스리지 못해 죽는 경우가 많음과 같은 것이다. 이러한 공격에 대한 방어책은 공격적 방어(Offensive Security Measures)를 통해서만 해결할 수 있다.
현재 문제시되고 있는 기업 핵심자료 유출의 대부분이 바로 전·현직 직원들이다. 전직 직원들의 경우에는 회사에서 안 좋은 일로 경고나 퇴출을 받았던지 해서 해당 기업에 좋지 않은 인상을 갖고 있는 사람들로 복수심과 더불어 돈에 대한 유혹이 잘 어우러져 범죄를 저지르는 경우가 많다. 현직 직원도 마찬가지다. 아직은 회사에 있지만 지적이나 경고를 받아 이미 퇴사를 고려하는 경우나 처우에 불만이 많은 직원들이 이런 범죄를 저지르고 있는 것이다.
현재 대부분의 기업들이 입사할 때 보안각서 등을 작성한다. 보안각서의 경우 법적효력은 있을지라도 일단 일이 터지고, 자료가 상대방으로 넘어가면 보안각서도 의미가 없게 된다. 일을 저지른 사람이야 처벌받겠지만 넘어간 자료를 어떻게 회수할 것인가? 그것도 외국 이라면? 이러한 사고들은 비일비재하며 회사 이미지상 사건을 적발해도 그냥 넘어가는 경우가 많다.
그렇다면 이러한 사고의 예방조치로 어떤 방법이 있을까? 위에서 언급했듯이 공격적 방어(Offensive Security Measures)만이 회사를 지킬 수 있다. 먼저 이사회나 사장직속의 임원급이 지휘하는 보안팀이 있어야 한다. 이 부서는 회사 감사관련 부서와는 업무자체가 다르나 긴밀하게 공조해야 한다. 기밀유출 예방은 여러 각도에서 진행되어야 하는데, 일례로 주요부서의 전임직원은 보안팀이 실시하는 신원조회(Clearance Process)를 거쳐야 하는 것 등이 있다.
기업기밀 보호에 있어 공격적 방어에 의한 방법이 필요 없다면 그 회사의 보안은 극히 제한적일 수밖에 없음을 필자 는 많은 사건들을 통해 체득해왔다. 불편함은 잠깐이다. 하 지만 회사의 존망이 한 사건으로 시작될 수 있다.

<글 : 이 관 희 | 하니웰 아시아-태평양 지역 기업보안팀 상무(steve.lee@honeywell.com)>

[월간 시큐리티월드 통권 제151호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>