산업보안의 개념 [산업보안학ISS-민진규저]
국가정보전략연구소
2012-03-20 오후 1:03:00
산업보안의 개념

산업보안

한국에서 보안은 해방 이후 좌익세력의 척결을 위한 방첩이 중요해지면서 부각되었고 군사정권을 거치면서 국가안보가 국시로 되면서 중요한 개념으로 정착되었다. 이념적 대결이 심화되면서 안보와 보안이 보수적인 색채를 띠게 되었고, 이로 인해 보안이 구시대적인 유물로 인식되기도 하지만 중요성이 낮다고 보기는 어렵다.

기업이 국가경제나 안보에 미치는 영향이 커지고 있어 산업보안과 기업보안에 대한 연구의 필요성이 대두되는 것이다.

보안과 산업보안의 정의

‘Security’는 라틴어 ‘securitas’에서 온 것으로 ‘공포, 불안, 근심으로 인한 피해 또는 외부로부터의 공격에서 벗어나거나 자유롭게 된다’는 의미이다. 또한 사전적 의미는 ‘안전을 유지하는 것’, ‘사회의 안녕과 질서를 유지하는 것’, ‘재산을 보호하기 위한 활동’ 등이다. 그러나 아직도 보안이라고 하면 물리적 보안, 즉 사람, 재산, 시설을 보호하는 것이라고 인식하고 있는 경우가 많다. ‘Security’라는 용어는 국가차원에서는 ‘안보’, 기업이나 개인차원에서는 ‘보안’으로 해석될 수 있다. 외국 기업에서 최근 관심이 높아지고 있는 ‘Executive Security’는 ‘임원경호’로 번역할 수 있는데 여기서 ‘Security’는 ‘경호 또는 보호’라는 의미로 받아들여 질 수 있다.

한국 기업에서 Security’라는 용어가 광범위하게 사용되게 된 것은 1977년 IMF외환위기 무렵이다. 1950년대부터 기업에 보안부서가 생기고 이에 대한 연구가 활발한 구미 선진국보다 무려 40년 이나 늦은 것이다. 미국에서는 1990년대가 되면서 보안이 기업의 손실예방차원에서 중요한 업무 중의 하나로 인식되었다. 그리고 이때는 정보통신(IT: Information Telecommunication) 관련 기술이 각광을 받으면서 IT보안에 관한 기술개발과 연구가 활발해졌다.

산업보안(Industrial Security)은 국가의 핵심산업의 기술과 정보 유출을 방지하기 위해 기업뿐만 아니라 국가기관, 연구소 등을 포함하기 위해 사용되었다. 산업보안과 유사한 개념으로 기업보안(Corporate Security) 이라는 용어도 사용되고 있는데, 이는 보호의 대상이 기업이라는 데 중점을 둔 것이다. 자본주의 사회에서 기업을 단순한 사기업만으로 보기는 어렵다. 연구소를 포함해 국가기관이나 공공기관이라고 하더라도 영리목적만 제외하면 기업과 유사한 체계를 가지고 있기 때문이다. 따라서 이 책에서는 산업보안과 기업보안을 동일한 개념으로 보고 산업보안을 기업차원의 보안활동이라고 본 것이다.

산업보안은 국가안보라는 개념과는 달리 기업에 관련된 보안활동이라고 볼 수 있어, 기업보안이라는 용어와 동의어로도 인식된다. 기업보안(Corporate Security)은 ‘기업이 보유하고 있는 유현, 무형의 자산을 온전히 보호하기 위한 활동’이라고 정의할 수 있다. 따라서 이 책에서는 산업보안과 기업보안을 동의어로 인식해, 일반인에 친숙하지 않은 산업보안이라는 용어보다는 기업보안이라는 용어를 주로 사용하겠다. 또한 정보보안이라는 용어도 많이 사용되는데, 기업의 중요한 정보, 즉 영업비밀을 보호한다는 의미로 사용되기 때문에 기업보안의 일부분일 뿐만 아니라 정보보안이 정보통신(IT)보안과 혼동될 수도 있기 때문에 사용하지 않는다. 사이버보안도 정보보안과 마찬가지로 기술적 보안의 영역으로 포함시켜 설명하겠다.

산업보안학의 학문적인 체계를 세우면서 많이 고민한 것이 기업의 보안책임자를 어떻게 불러야 하느냐이다. 현재 일반적으로 많이 사용하는 CIO(Chief Information Officer, 최고정보담당임원)와 최근에 대두되고 있는 CSO(Chief Security Officer, 최고보안담당임원) 중에서 고민을 많이 했다. CIO는 IT보안이 중요시되면서 부각된 이름이고, 인원보안, 시설보안등 기업의 다른 보안영역과 연관성이 낮아 CSO라는 개념을 받아들이는 것이 좋다고 판단했다. 이 책에서는 기업의 보안책임자를 CSO라고 지칭할 것이다. 기업경영에서 보안의 중요성이나 보안업무의 광역성을 감안한다면 보안책임자가 최소한 경영진에 포함되어 중요한 의사결정에 참여하는 것이 바람직하다는 점을 강조하기 위한 목적도 있음을 이해했으면 한다.

정보보호는 ‘의도적이든 비의도적이든 부당한 정보의 열람, 유출, 변조, 파괴로부터 정보를 보호하는 것’이다. 하지만 이 용어도 기업보안의 객체인 ‘정보’를 중요시한 것으로 정보를 보호하기 위해 컴퓨터보안이나 인원보안을 세부적으로 제시하는 것은 종합적인 보안관점에서 바람직하지 않다. 정보보호도 기업보안의 종합적인 관점에서 봐야 하며, 일반적으로 주장하는 정보보호전략도 기업보안에서 세부적으로 다루고 있으므로 별도의 장에서 구분하는 것은 맞지 않다.

[내용출처:산업보안학ISS-민진규저]

저작권자 © Institute for National Intelligence Strategy, 무단전재 및 재배포 금지
BIS 분류 내의 이전기사