내부정보보안 체계구축... 제5회 정보보호대상 우수상 수상
IT 기업, 기술유출 방치하면 회사 생명 끝장


<(주)씨앤에스테크놀로지 서승모 대표>ⓒ보안뉴스
멀티미디어 방송ㆍ통신 솔루션 전문기업 씨앤에스테크놀로지(대표 서승모 www.cnstec.com)는 영상, 음성처리 등에 있어 기술력을 인정받고 있는 코스닥기업이다. 주력 사업분야는 DMB용 멀티미디어 Chip 및 Solution, IP Telephony용 Chip 및 Solution, ASIC 등 3개 분야로 활발히 사업을 전개하고 있다.

그래서 여타의 IT 기업과 마찬가지로 기업의 핵심기술이 바로 기업의 핵심자산이 되고 있다. 특히, 이러한 첨단 기술집약형 기업에서는 기업의 핵심 기술정보는 무엇보다 중요한 보안사항이라고 할 수 있다. 이에 대한 철저한 보안이 이루어지지 않는다면 어떠한 결과가 발생할까.

기술유출 사건은 삼성등 대기업뿐만 아니라, 중견ㆍ중소기업에서도 종종 발생하고 있으며, 핵심기술이 해외로 유출될 경우 해당 기업에도 심대한 타격을 줄 뿐만 아니라 크나큰 국부 유출이 아닐 수 없다.

씨앤에스테크놀로지 서승모 대표는 “IT 기업은 연구ㆍ개발도 중요하지만, 핵심기술이 외부로 유출되지 않도록 지키는 일도 중요하다. 내부 보안이 되지 않아 지금까지 연구했던 기술들이 유출된다면 우리 회사도 존폐위기에 몰리게 될 것”이라며, “기술개발 만큼이나 보안에 신경을 쓰기 위해 많은 노력을 기울이고 있다. 그 결과 지난해 12월 정통부 정보보호대상 우수상 수상에 대해 대단히 고무적으로 생각하고 있다”고 소감을 밝혔다.

◇ 보안의식 높이기 위해 보안교육 강화
이 기업은 ‘기술정보 유출방지’에 가장 중점을 두고 보안 시스템을 구축했다. 특히, 직원 보안교육을 강화하고 정보유출이 가능한 다양한 분야에 보안 시스템을 적용해 내부정보 유출관리에 상당한 노력을 기울이고 있었다.
 
 
보안 파트 진나니 주임은 “C&S 보안의 핵심은 정보유출 방지에 있다. 이를 위해 예방활동을 하나하나 실행에 옮기고 있다. 특히, 직원 보안교육에 중점을 두고 있다. 보안의식이 가장 중요하기 때문에 이를 정립하기 위해 신입사원의 경우, 1달에 1회 주기적으로 보안교육을 실시하고 있으며, 전직원을 대상으로 1년에 3회 이상 보안교육을 실시하고 있다”고 말했다.

신입사원의 경우는 회사 보안정책과 보안수위에 대해 지속적으로 인지시키는 교육을 실시하고 있고, 메일사용기준부터 시작해서 출입통제까지 출근해서 퇴근시까지 지켜야할 모든 보안사항에 대해 교육을 하고 있다. 또 새로운 보안정책이 나오면 각 부서 신입사원들에게 가장 먼저 교육하고 이들이 각 부서로 가서 자세하게 전달하는 식으로 보안인식 확산을 꾀하고 있다.

또, 특이한 점은 하루에 한 직원이 보낼 수 있는 메일의 총 용량이 정해져있다는 점이다. 예를 들면, 일정 회수와 용량이 초과하면 초과할 때마다 부서 팀장과 부서장, 대표이사에게까지 자신이 보낸 메일이 똑같이 전달되는 식이다.

즉, 필요이상의 메일발송을 관리하고 혹시라도 있을 메일을 이용한 기술유출을 방지하기 위한 방법이라고 전했다.  

진 주임은 “IT 중소기업 특성상 직원들이 회의도 많고 해외 출장도 잦다. 자신이 자리를 비운 사이 관리자 입장에서 자신의 부서에서 어떤 일들이 진행됐는지 알아야 한다. 이렇게 이메일관리가 이루어지면, 직원들이 발송한 메일 복사본이 팀장급에 전송되기 때문에 부재시 업무에 대해서도 파악할 수 있어 보안과 업무 효율적인 측면에서 효과가 크다”고 설명했다.
 

<씨앤에스테크놀로지 보안파트 진나니 주임이 직원들에게 보안업무에 대해 설명하고 있다.> ⓒ보안뉴스


◇웹상에서 글쓰기 차단
이 기업은 사내에서 허가된 사이트 이외의 사이트에서는 글쓰기를 할 수 없도록 차단하고 있다. 이 또한 정보유출을 방지하기 위한 일환으로 실시하고 있는 보안정책 중 하나다.

진 주임은 “지난해 5월 중순부터 7월 초까지 전직원들의 인터넷 생활을 면밀히 분석하고 이를 토대로 DB를 구축하기 시작했다. 그래서 직원들이 사이트 접속은 가능하지만 그 안에서 게시판 댓글을 쓴다거나 블로그ㆍ카페 등에 비밀 글을 남기는 것을 전면 차단하고 있다. 오직 회사에서 승인한 사이트에서 공개된 글쓰기만 가능하도록 했다”고 말했다.

지금은 직원들이 적응을 하고 있지만 시행 초기에는 말도 많고 탈도 많았다고 한다. 특히, 쇼핑몰을 선별하는 일이 가장 힘들었다고 한다. 아르바이트생 여러명을 고용해 노트북 10대를 이용, 전 직원들이 사용하는 인터넷 서핑 패턴을 분석하고 이를 토대로 만든 보안 시스템이라고 한다.

글쓰기 차단 전문 SW를 처음 도입했지만, 그 SW도 출시 초기여서 불안정한 면도 없지 않았다. 하지만 업체와의 지속적인 커뮤니케이션과 개선요청으로 이제는 안전하게 운영되고 있다고 진 주임은 말한다.

◇PC표준화 작업과 방화벽
보안 파트에서 지난해 1월부터 실시한 작업이 사내 PC의 표준화 작업이었다. PC가 표준화 되어있지 않아 어떤 장애가 발생했을 때도 원인을 파악하고 문제를 해결하는데 어려움이 있었다고 한다. 하지만 이제는 전산팀에서 PC를 완벽하게 세팅을 한 후, 직원들이 사용할 수 있다. 모든 OS를 통일하고 인가된 SW만 사용하도록 기준을 정했다.

모든 PC에는 백신이 설치돼 있고, PC 한 대당 IP마다 방화벽에 등록해 회사에서 필요한 부분까지만 열 수 있도록 통제하고 있다고 한다. 따라서 업무 특성마다 자신이 접근할 수 있는 사내 망이 구분돼 있고, 자신과 상관없는 DB에는 접근할 수 없도록 하고 있다.
 

<씨앤에스테크놀로지에서 개발, 생산하고 있는 첨단 반도체 칩> ⓒ보안뉴스


◇물리적 보안 체계 구축
회사에서 누가 나가고 들어오는지를 파악해야 한다. 진 주임은 “세콤을 사용하고 있었는데, 지난해 점검을 해보니 누락되는 정보가 있었다. 이를 바로 잡기 위해 세콤에 지속적으로 시정조치를 통보했고, 결국은 세콤에서 많은 비용을 부담하면서까지 사내 장비들을 최신형으로 교체해줄 정도였다. 몇 번씩 밤을 새면서 무인경비시스템을 점검해 문제점을 발견하고 이를 수정해 나갔다”고 말했다.

현재 C&S 사내에는 64대의 카메라가 작동하고 있다. 개인 프라이버시를 침해할 소지가 있는 장소의 카메라는 위치를 조정하고 하나하나의 동작을 체크하는 일도 만만치 않은 작업이었다고 한다.

또한, 입구 경비원 교육도 강화해 경비원에게도 사내 보안교육을 실시하고, PC내 하드 위치가 바뀌거나 하드를 빼내서 가져갈 경우에 대비해 하드자체에 센서를 부착해 경보음이 울리도록 만들었다. 하드가 PC에서 빼내져 20센티 이상 떨어질 경우 경보음이 울려대, 하드웨어 기기의 반출을 원천봉쇄하고 있다.

한편, 사내 모든 장비들에 RFID 태그를 부착해 혹시라도 있을, 불법장비 반출을 차단할 예정이며, 이는 1월 중순까지 완료된다.

진 주임은 “회사에서 도입하는 모든 장비와 보안 SW는 사내 시스템에 맞춰 도입하고 있다. 연구ㆍ개발에 주력하는 기업이기 때문에 연구활동에 방해가 되지 않도록 보안업무를 실행하는 것을 최우선으로 하고 있다”고 말했다.

서승모 대표는 “씨앤에스테크놀로지는 핵심 원천기술을 기반으로 앞으로 다가올 DMB 및 IP Telephony 등 차세대 네트워크에서 세계 영상통신 시장을 이끌어가고자 끊임없는 노력을 계속할 계획이다. 이를 위해 사내 보안 강화에도 지속적인 노력을 기울일 방침”이라고 밝혔다. 
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>