기업보안담당자가 갖추어야할 자질
기업보안에 관한 기업들의 인식이 많이 달라지고 있다. 과거에 보안에 대한 투자가 낭비라고 생각하였는데, 이제는 보험의 성격을 가진 것으로 생각을 한다. 보안담당자의 입장에서는 매우 반가운 소식이 아닐 수 없다. 평소에 경영진의 눈치를 보면서 보안에 투자하자고 하던 것이, 조금 당당해진(?) 것이다. 기업보안교육을 다니면서 보안담당자의 과거 경력과 현재 하고 있는 임무가 매우 다양하다는 것을 많이 느끼게 된다. 인사팀이나 총무팀에서 담당하기도 하고, 경영혁신이나 기획팀에서, 혹은 전산실에소속된 직원들이 자신의 고유의 임무외에 부수적인 임무로 맡고 있는 기업도 제법 많다. 물론 대기업들은 보안만 담당하는 별도의 직원을 두고 있는 것이 일반적이긴 하여도, 직원들의 과거 경력은 중소기업 못지 않게 다양하다. 전산개발, 인사, 회계, 마케팅 등의 경력을 가진 직원들이 적합하지 않다고 할 수는 없지만, 그래도 최소한 보안담당자로서 갖추어야할 자질이 있어서 살펴보고자 한다.
우선 보안에 대한 전반적인 이해이다. 컴퓨터에 관련된 전산보안만이 아니라, 인사보안, 시설보안, 문서보안 등에 관한 지식을 가지고 있어야 한다. 특정분야의 배경지식과 경험만을 가진 보안담당직원이라면 다른 분야에 대한 지식과 간접경험을 쌓는 일을 게을리 해서는 안 된다. 해당 보안분야의 기술발전에 대한 인식과 전문지식이 필요함은 당연한 귀결이다.
둘째 기업활동과 업무에 관한 충분한 이해가 있어야 한다. 과거 군출신이나 전산출신의 보안담당자들은 자신들의 업무이외에 대한 이해가 부족하였다. 기업의 업무가 무엇이며, 어떤 정보가 중요하고, 어떤 경쟁기업이 자사의 정보를 수집하려고 시도하는지, 어떤 업무가 회사에 중요한 것인지 등에 관한 이해가 없으면 적정한 보안정책을 수립할 수가 없게 된다. 정말 무엇이 중요한지, 기업의 비밀에 대한 침해의 가능성이 있는지, 침해가 발생하면 기업의 활동과 업무에 어떤 지장을 초래할 것인지 알아야 한다.
세째 서비스 마인드를 가져야 한다. 과거 군사독재시설 보안이라고 하면 감시하고, 통제한다는 부정적인 인식이 대부분인데, 현재의 기업보안은 직원들을 보호하고 직원들의 활동에 대한 보조역할을 하는 것이다. 자신이 직원을 통제하고 감시하는 권한과 처벌할 수 있는 힘을 가진 것이 아니라, 직원들이 보안위험요소에 노출될 가능성을 사전에 차단하고, 그러한 위험에 처해지게 되면, 어떻게 적절하게 보호하고 수습할 것인지를 고민하는 자세가 필요하다.
마지막으로 글로벌 기업이라면 다른 문화와 국민에 대한 충분한 이해와 경험이 중요하다. 어떤 문화권에서는 보안을 위한 몸수색이 문제가 없지만, 그렇지 않은 경우도 있다. 따라서 이질적인 언어와 문화에 대한 이해가 필수적이다. 보안활동이 기업활동을 방해하거나 위축시키는 경우가 많이 발생하는 것이 다국적 기업들의 현실이다. 국내기업이 본사이면 해외활동에서, 해외기업의 지사나 현지법인인 경우는 해당 본사의 문화와 한국의 문화사이에서 적절한 보안정책을 수립하여 실천하는 지혜가 필요하다.
기업보안담당자들을 만나면서 많은 이야기를 하고 고민들을 듣고 있다. 중요한 점은 기업의 열악한 실정을 불평만 할 것이 아니라, 먼저 자신이 주어진 환경하에서 가장 효율적인 보안시스템을 구축할 방법이 무언인지 고민하도록 하여야 한다. 보안시스템이 돈만 투자한다고 완전하게 작동하는 것이 아니라는 사실을 모르는 담당자는 없는데, 항상 예산타령만 하고 있지는 않은지 뒤돌아 보아야 한다. 자신이 최선을 다해 노력을 한 후에 경영진을 잘 설득할 수 있는 논리를 고민하는 것이 가장 빨리 갈 수 있는 길이라는 말을 하고 싶다.
우선 보안에 대한 전반적인 이해이다. 컴퓨터에 관련된 전산보안만이 아니라, 인사보안, 시설보안, 문서보안 등에 관한 지식을 가지고 있어야 한다. 특정분야의 배경지식과 경험만을 가진 보안담당직원이라면 다른 분야에 대한 지식과 간접경험을 쌓는 일을 게을리 해서는 안 된다. 해당 보안분야의 기술발전에 대한 인식과 전문지식이 필요함은 당연한 귀결이다.
둘째 기업활동과 업무에 관한 충분한 이해가 있어야 한다. 과거 군출신이나 전산출신의 보안담당자들은 자신들의 업무이외에 대한 이해가 부족하였다. 기업의 업무가 무엇이며, 어떤 정보가 중요하고, 어떤 경쟁기업이 자사의 정보를 수집하려고 시도하는지, 어떤 업무가 회사에 중요한 것인지 등에 관한 이해가 없으면 적정한 보안정책을 수립할 수가 없게 된다. 정말 무엇이 중요한지, 기업의 비밀에 대한 침해의 가능성이 있는지, 침해가 발생하면 기업의 활동과 업무에 어떤 지장을 초래할 것인지 알아야 한다.
세째 서비스 마인드를 가져야 한다. 과거 군사독재시설 보안이라고 하면 감시하고, 통제한다는 부정적인 인식이 대부분인데, 현재의 기업보안은 직원들을 보호하고 직원들의 활동에 대한 보조역할을 하는 것이다. 자신이 직원을 통제하고 감시하는 권한과 처벌할 수 있는 힘을 가진 것이 아니라, 직원들이 보안위험요소에 노출될 가능성을 사전에 차단하고, 그러한 위험에 처해지게 되면, 어떻게 적절하게 보호하고 수습할 것인지를 고민하는 자세가 필요하다.
마지막으로 글로벌 기업이라면 다른 문화와 국민에 대한 충분한 이해와 경험이 중요하다. 어떤 문화권에서는 보안을 위한 몸수색이 문제가 없지만, 그렇지 않은 경우도 있다. 따라서 이질적인 언어와 문화에 대한 이해가 필수적이다. 보안활동이 기업활동을 방해하거나 위축시키는 경우가 많이 발생하는 것이 다국적 기업들의 현실이다. 국내기업이 본사이면 해외활동에서, 해외기업의 지사나 현지법인인 경우는 해당 본사의 문화와 한국의 문화사이에서 적절한 보안정책을 수립하여 실천하는 지혜가 필요하다.
기업보안담당자들을 만나면서 많은 이야기를 하고 고민들을 듣고 있다. 중요한 점은 기업의 열악한 실정을 불평만 할 것이 아니라, 먼저 자신이 주어진 환경하에서 가장 효율적인 보안시스템을 구축할 방법이 무언인지 고민하도록 하여야 한다. 보안시스템이 돈만 투자한다고 완전하게 작동하는 것이 아니라는 사실을 모르는 담당자는 없는데, 항상 예산타령만 하고 있지는 않은지 뒤돌아 보아야 한다. 자신이 최선을 다해 노력을 한 후에 경영진을 잘 설득할 수 있는 논리를 고민하는 것이 가장 빨리 갈 수 있는 길이라는 말을 하고 싶다.
저작권자 © Institute for National Intelligence Strategy, 무단전재 및 재배포 금지