이제 CEO도 혁신과 트렌드에 민감해야 하며 새로운 지식을 누구보다 몸소 배우고 체험 해야 한다. 단순히 보안담당자의 보고를 받고 의사 결정을 내릴 것이 아니라 CEO 스스로 위기의식을 가지고 보안의 최우선 실천자가 돼야 할 것이다.
산업의 발달과 함께 인류에겐 새로운 위험이 발생했으며 인류는 이러한 위험을 항상 대비해 왔다. 만일 인류가 위험에 대비와 대처를 하지 않았다면 과거의 공룡처럼 위험 앞에 멸종됐을 것이다. 이러한 교훈과 메시지를 가지고 고민과 가치를 연구하고 판단해 발전시키는 것이 보안의 출발이라고 생각한다.

보안 인력 양성의 첫번째 과정은 보안의 역할 분배에 있다. 중요한 기술의 개발과 함께 발생하는 보안 모델을 연구할 것인지 보안 관제 서비스를 할 것인지 기업의 목적에 부합되는 정책과 관리를 제시하고 실행 할 보안책임자가 둘 것인지 등 회사는 보안 인력에게 맞는 역할이 무엇인지 목표를 설정해 줘야 한다. 즉 CEO는 보안담당자의 역할을 결정하고 이를 기업이나 혹은 역할이 필요한 조직에서의 목표와 연계시켜야 한다. 단순히 기업에 기밀 자산이 없거나 기업의 종사 분야가 첨단 분야가 아니어도 회사 내부의 개인정보보호나 지적 재산권, 영업기밀, 온라인 사이트, 회원정보, 노조파업, 이권다툼, 테러, 자연재해 등 여러 해결 과제에 필요한 역할을 맡겨 해결할 수 있도록 한다.
 
둘째, 역할에 맞는 책임 있는 인력 양성이 필요하다. 보안 인력은 빠르면 중고등학교에서부터 대학교, 대학원에서 위의 역할 영역이 학교 커리큘럼에 반영된 학습을 이수한 인력들로 배출돼야 한다. 보안에 대한 기본적 지식과 정의 그리고 보안에 대한 책임의식이 내재되면 회사에서 원하는 역할에 맞게 빠르게 결정을 내리고 책임질 수 있다. 이를 위해 학문과 실무가 적절히 융합된, 실제 현장에서 이뤄질 수 있는 이상적인 보안 가이드 라인이나 정책이 형성돼야 한다.
 
셋째, 기술이나 형식 이전에 윤리적 가치 판단이 우선시되야 한다. 보안  담당자는 많은 영역에 대해 알게 될 것이며 간접적으로 관여하게 될 것이다. 또한 항상 여러 가지 위험으로부터 기업의 비밀을 알게 될 것이며 그 비밀을 보호해야 한다. 보안 업무 종사자가 단순한 변심이나 부정 등으로 기업의 자산 정보 유출이나 내부 통제가 미비하다면 기업에 큰 위기가 찾아 오거나 큰 손실을 입게 될 것이다.
 
따라서 보안 담당자는 높은 윤리 의식을 가져야 할 것이다. 보안담당자는 양날의 검처럼 많은 부서의 직원들과 언제 어디서든 커뮤니케이션을 할 수 있어야 하며 반대로 흔들림 없는 사고로 부정에 관한 사항을 결단 내릴 수 있어야 한다.
 
쉽게 비유를 해보자면 보안담당자는 축구게임에서 심판의 역할에 해당한다고 생각하면 쉽다. 사실 축구에서 국제적인 행사를 제외하고 심판이 없어도 게임은 이뤄지며 마찬가지로 실제 기업도 보안담당자가 없어도 기업이 이뤄지기도 한다. 하지만 결정적인 순간에 심판의 역할은 절대적이며 각 팀의 승패에 운명을 가르기도 한다.
 
이러한 때에 심판의 귄위와 결정은 특정팀에게 좋은 영향을 주기도 하고 안 좋은 영향을 주기도 한다. 이러한 것은 기업에서 보안 담당자의 결정이 판단에 따라 기업에서 무소불위의 영향을 줄 수도 있다는 것을 뜻한다. 그러나 보안담당자의 위치나 역할은 굉장히 쉽지 않으며 때론 지루할 수 있고 기업에서 관심 밖의 위치일 수도 있다. 굉장히 독립되고 외로운 위치이지만 심판처럼 그라운드 중심에서 당당히 옐로우 카드나 레드 카드를 과감히 꺼낼 수 있는 윤리적인 보안담당자가 되도록 해야 할 것이다.

보안 교육의 중요성 인식해야
넷째, 보안 담당자는 다양한 현장 실무나 사례 이외에 이론적 학문과 어학능력을 갖춰야 한다. 실무는 언제나 상황에 따라 변화 무쌍하지만 이론적 지식은 어떠한 기준을 가지고 출발하게 만든다. 그리고 이론은 많은 변화무쌍한 실무로 응용되기 때문에 보안에 대한 지식 외의 모든 상식 수준의 지식을 습득해야 한다.
 
다섯째, 보안 담당자에게 현재의 수준을 알 수 있는 교육이나 트레이닝이 주어져야 한다. 이는 자격증도 포함된다. 워낙 독립적으로 위치해 기업의 문제와 위험을 다양한 관점에서 판단을 내리지 못할 수도 있다. 또한 위험은 항상 일어나는 것이 아니며 위험이 발생하기 전에 예방해야 하고 발생했을 시 빠르게 문제를 해결해야 한다. 보안 담당자는 이러한 일련의 과정을 일정 수준의 교육이나 트레이닝을 통해 가장 최적의 판단을 하고 문제 해결 능력을 갖춘, 전문성이 요구된다.
 
끝으로 사회적 이슈나 관련 정보를 수집하고 다룰 줄 알아야 한다. 보안담당자는 단순히 영업기밀이나 지적재산권 등에 의한 회사 브랜드 보호, 기밀정보 보호, 개인정보보호, DDoS방어 등 내외적인 위험 외에 테러나 데모, 집회, 고객의 항의, 회사 스캔들로 인한 보도통제, 인플루엔자, 화재, 사스, 자연재해 등에 항상 대비를 해야 하며 이를 대비하기 위한 비상팀이나 비상계획을 항상 가지고 있어야 한다. 하지만 아무리 좋은 계획을 가지고 있더라도 지금 당장 일어나는 사회 이슈나 정보를 알지 못한다면 위험에 대처할 수 있는 타이밍을 놓칠 것이다.
 
CEO는 단순히 위험이나 보안을 위한 주제가 아닌 다양성의 주제로 항상 관심과 고민을 동반해야 한다. 그리고 직원들의 문화 속에서 정보를 관심 있게 받아 들여야 하며 실제 그렇게 이뤄지고 있는지 주기적으로 확인 또는 보고 받아야 한다. 이는 감시가 아닌 보다 현실적인 보안 플랜을 위한 노력이다.
 
위의 조건들은 보안담당자에게 필요한 최소한의 요건들이다. 위 항목들은 CEO가 최소한 알고 있어야 정말 기업에 필요한 보안담당자를 선임하고 기업의 오너로서 어떻게 보안담당자를 서포터하고 기업의 올바른 방향성을 결정할 수 있는지 판단할 수 있는 잣대가 되리라 믿는다. 
 
전반적인 시장의 위축으로 보안 업계도 많이 위축됐다. 아울러 높은 기술력에 도달했음에도 아직까지 히스토리가 부족해 세계 시장에 아직 다가서지 못한 보안 업체들이 많다. 우리나라는 구두나 가방을 만드는 기술력은 좋지만 루이비통 만큼의 히스토리가 없기 때문에 명품을 만들 수 없다고 한다. 노하우와 성공사례를 접목할 수 있는 보안 히스토리로 향후 국내에 명품 보안이 이뤄지길 기대해 본다.
<글  남궁록 동광그룹 구미개발 선산컨트리클럽 보안 담당(lock0104@naver.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>