▲ 정보보안실행II 표지 [출처=세종홍익]

▲ 정보보안실행I 표지 [출처=세종홍익]

보안영역별 보안정책1. 관리적 보안의 정책2. 기술적 보안의 정책3. 물리적 보안의 정책3. 물리적 보안의 정책기술적 보안과 마찬가지로 물리적 보안도 기술적 보안과 유사한 딜레마(dilemma)를 안고 있다. 물리적 보안에 투입되는 경비원, CCTV, 출입문 시스템 등의 운영을 인원보안에 포함시킬 것인지 고민을 하게 된다. 보안규정이나 절차를 준수하는 것은 사람이므로 인원보안에 포함시키는 것이 합리적이다. 경비원은 물리적 보안의 도구에 해당되므로 물리적 보안으로 봐야 한다.정책적 측면에서는 내부 직원뿐만 아니라 컨설팅업체, 협력업체, 관공서 등 외부인의 시설 출입도 등급을 분류해 관리해야 한다. 외부인의 경우 일시적인 보안 교육이나 서약서 징구만으로 부족하므로 지속적으로 이행상태를 확인해야 한다. 주요 시설을 방문하는 외부인이 신분을 위장ㅎㄹ 수도 있으므로 사전에 인원보안 측면에서 신원조사의 필요성을 검토해야 한다.2993년 삼성전자의 직원 2명이 LG전자의 냉장고 공장에 잠입하여 생산공정을 살펴보다가 발각된 사건이 일어났다. 이들은 LG전자 협력업체 명함에 자신들의 이름을 새겨 출입한 것으로 밝혀졌다.물리적 보안정책의 중요성은 시설의 확충보다는 운용이 보안에 효과적이라는 점에서 증명된다. 출입자와 주요 기자재의 입·출입을 통제, 감시하는 방법도 보안정책에 포함시켜야 한다. 하지만 보안정책이 직원의 과도한 사생활 제약이나 감시를 포함하고 있는지도 한번쯤 고민해봐야 할 문제이다. 보안상 중요성이 떨어지는 화장실, 휴게실, 탈의실, 계단 등의 장소에 CCTV 설치나 출입문에 전신 스캐너의 도입은 지양하도록 한다.- 이하 생략 -(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p66)

보안정책의 개념1. 보안정책의 개념과 수립 시 주의사항2. 보안정책의 성공도 사람에서 출발3. 기업의 손실을 보호하는 보안정책4. 보안정책 내용의 비밀유지가 가장 중요4. 보안정책 내용의 비밀유지가 가장 중요기업의 보안정책의 생명은 보안정책 내용의 비밀유지이다. 기업이 어떤 보안시스템을 가지고 있고, 어떻게 운용되고 있는지, 시스템의 약점은 무엇인지, 보안요원은 어떻게 근무하는지 등에 대한 내용은 철저하게 비밀로 보호돼야 한다. 기업의 보안정책을 내·외부인이 알 경우 취약점을 찾아내 기만할 수 있다.물리적 보안의 예를 들어 보자. CCTV가 설치되지 않은 지역이 어디인지, 조명이 어두운 지역이 어디인지, 경비원의 순찰시간과 경로 등을 파악한다면 침입은 의외로 쉽다. 보안취약성이 누설될 경우 값비싼 보안시스템은 무용지물이 된다.보안정책이 완벽하지 않다면 보안책임자는 항상 취약점을 보완할 수 있도록 대책을 세워둬야 한다. 기업의 보안정책은 보안책임자의 책임하에 관리되어야 하며, 보안부서의 실무진이나 기타 다른 부서의 책임자에게도 비밀로 유지돼야 한다. 경비원의 순찰시간과 경로는 비정기적으로 변경돼야 하며, 심지어 경비원에게조차 변경되는 이유와 변경 내용을 알려줘서는 안 된다. 다만, 순찰강화계획에 따라 어떤 점을 주의해야 하는지만 통지해주면 된다.그러나 화재예방이나 응급조치 등에 관한 정책은 기업보안에서 핵심적이기는 하지만 비밀스러운 내용이 아니므로 최대한 홍보해 직원에게 알려줘야 한다. 비상대피로의 위치와 운영실태는 교육을 통해서 고지한다. 일부 기업에서는 비상대피로의 관리가 제대로 되지 않아 보안의 사각지대로 되기도 한다.또한 주기적으로 진행되는 화재 대피훈련과 같은 훈련상황도 보안점검이 취약하기 때문에 보안사고의 기회로 작용하기도 한다. 영리한 범법자는 아주 조그마한 허점도 놓치지 않고 치밀하게 활용한다. 대피훈련 시간도 비정기적으로 정하고 변경내용을 고지하는 데 주의를 기울여야 한다.- 이하 생략 -(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p62)

보안전문가에게 필요한 기능과 미래보안전문가에게 필요한 기능1. 보안전문가가 가져야 할 지식2. 보안전문가가 가져야 할 7가지 자세3. CSO에게 요구되는 기능4. CSO의 업무와 성공요소보안전문가의 과거이력과 기회5. 보안전문가의 다양한 과거이력6. 보안전문가에게 열려 있는 기회7. 보안과 보안부서의 미래6. 보안전문가에게 열려 있는 기회보안업무에 대한 연구가 활발하고 오래된 미국의 ASIS International이 2005년 설립 50주년을 맞이해 보안전문가의 전문성이 필요한 산업영역을 정리해 제시했다. 이에 따르면 현재 미국에서 보안전문가에 대한 수요가 있는 영역은와 같다.보안전문가의 수요 업종(책 참조)현재 수요가 많은 업종과 기타 수요가 있는 업종으로 양분하였다. 먼저 현재 수요가 많은 업종은 은행 및 금융, 상업부동산, 문화재, 교육기관, 게임산업, 건강, 정보시스템, 조사, 병원, 제조업, 소매손실예방, 보안설계, 보안장비와 서비스 판매, 교통, 전기/원자력 등이다. 은행과 같은 금융업종은 전통적으로 청원경찰과 같은 경비원의 수요가 높았지만, 금융전산화로 인해 IT보안 전문가의 수요도 늘어나고 있다. 교육기관도 초등학교에 경비원 개념의 학교보안관을 배치한 것을 시작으로 점차 보안전문가의 필요성이 증대될 것이다. 소매점과 병원 등도 새롭게 보안전문가의 수요가 생기고 있는 분야이다.기타 수요가 있는 업종은 농업보안, 건설보안, 지속성계획, 위기관리, 임원보호, 정부/지방정부 보안, 주거지 보안, 보안컨설팅, 보안교육과 훈련, 특별 이벤트보안, 통신업보안, 테러방어, 도매 및 창고보안이다. 기업의 보안사고 위험이 높아지고, 보안이 기업의 생존에 직접적인 영향을 미치게 됨으로써 모든 산업분야에서 보안에 대한 수요가 커질 것이다.위와 같이 보안전문가를 필요로 하는 업종도 다양하다. 실질적으로 모든 기업과 업종이 보안과 연관성이 있으며, 보안을 떠나서 사업을 영위할 수 있는 기업도 없다.(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p54)

보안에 대한 사회적인 인식의 변화우리사회에 군사정부와 독재화 시대의 잔재로 인해 보안이라고 하면 국가정보기관이나 경찰과 같은 기관의 민주화 운동에 대한 탄압을 떠올리는 사람이 많다. 즉 보안에 대한 인식이 나쁘다는 말이다. 보안업무를 하는 사람을 색안경을 끼고 보기도 하고, 보안부서의 근무자들도 스스로 권위의식에 심취해 외계인처럼 외톨이로 지내는 경우가 많다.감시와 단속을 하는 보안업무의 속성상 다른 직원과의 교류는 필수적이다. 너무 친밀하게 지내며 가족주의, 온정주의로 보안취약성이 커지는 것도 문제지만, 교류를 전혀 하지 않아 보안업무를 위한 필수불가결한 첩보와 정보수집활동 자체를 어렵게 만드는 것은 더 큰 문제이다. 직원과 같이 호흡하지 않는다면 보안정책의 수립과 검증, 개선에 필요한 정보를 확보하기 어렵다.기업보안에 대한 기업의 인식은 기업보안에 대한 기업의 인식을 나타낸 것이다. 일반기업, 핵심기업, 모든 기업의 평균으로 표시하였다. 이 그림에 따르면 미국 기업은 기업보안에 대한 예산이 비용이 아니라 기업의 가치를 높여주는 투자라는 인식이 61.3%로 비용으로 최소화되어야 한다는 38.7%보다 압도적 차이를 보이고 있다. 그럼에도 불구하고 핵심기업의 73.5%가 투자라고 인식하는 데 반해, 일반기업은 54.9%만 이 같은 명제에 동의 한다. 보안이 비용이라는 인식도 일반기업이 45.1%로 핵심기업의 26.5%에 비해서 매우 높다. 이런 조사결과는 한국 기업에도 적용할 수 있겠지만 보안을 투자로 보는 인식은 미국 기업보다 매우 낮다.보안이 비용이라는 인식은 보안업무를 하찮게 여기거나 투자를 소홀하게 만든다. 전통적으로 보안업무는 직원이 부정적으로 여기는 귀찮고, 기업의 이익과 관련성이 낮은 비생산적인 2차적 업무라는 인식 때문에 찬밥신세이다. 보안을 출입문에 서 있는 경비원이나 중요한 요인을 보호하는 경호업무에 국한된다는 인식을 하고 있는 경우도 많다. 비용부서이고 찬밥신세인 보안부서에는 은퇴자나 노령자로 구성된 경비인력이 대부분이고, 젊은 직원은 전산부서에 국한되어 있어 실질적으로 보안부서 인력이 편향적으로 구성되어 있다. 그러나 컴퓨터범죄, 테러리즘, 국제범죄, 산업스파이, 횡령, 절도 등 산업범죄의 지능화, 첨단화로 인해 전문적인 지식과 경험을 가진 인력에 대한 수요는 높아지고 있다.이제 한국 기업에도 미국 기업과 마찬가지로 보안은 투자라는 개념이 정착될 날이 머지 않았다. 기업의 부차적이고 비생산적인 업무가 아니라 기업의 자산과 이익, 직원의 생명과 안전을 지키는 첨병으로서 전문적인 업무라는 인식을 가져야 한다. 하나 더 보안은 단순히 몸으로 때우는 3D업무가 아니라 머리로 해야 하는 전문업무이다. 이런 인식은 우선 최고 경영자가 먼저 가져야 하고 모든 직원이 공유할 수 있도록 전사적 홍보활동을 강화해야 한다.- 이하 생략 –[출처:산업보안학ISS-민진규저]

셋째 시설보안은 국가 기밀의 보호와 주요 시설, 장비 및 자재의 보호를 위해 일정한 장소를 정하여 비인가자의 출입을 제한하거나 금지하는 것을 말한다. 울타리나 경비원에 의해 출입자의 감시가 요구되는 제한지역, 출입에 안내가 요구되는 제한구역, 비인가자의 출입이 금지되는 통제구역으로 나눌 수가 있다. 넷째 정보통신보안은 정보통신 수단에 의해 처리, 저장, 소통되는 정보를 보호하거나 도청, 해킹 등 외부의 취약요소를 제거하기 위한 각종 수단과 방법을 말한다. 암호자재 및 장비를 생산, 운반 취급하는 과정을 보호하는 자재보안, 유무선 전화 등 통신수단에 의해 전달되는 비밀내용을 보호하기 위한 암호보안, 통신회로상의 도청∙통신방해로부터 통신내용을 보호하는 송신보안, 컴퓨터의 하드웨어 및 소프트웨어의 원활한 운영을 방해하는 모든 행위로부터 보호하는 컴퓨터 보안이 있다. 특히 현대의 국가 운용에 필수불가결한 요소가 된 컴퓨터의 보안에 대한 노력이 절실하게 필요하다. 다섯째 전자파보안으로 통신기기, 각종 무기 및 장비 주변에 발생하는 전자파를 차단하여 타국이 전자파를 통해 정보를 수집하는 것을 방해하는 것을 말한다. 방첩활동을 위한 보안취약성을 평가하기 위해서는 먼저 해당 자산의 손실 시에 자국이나 기관이 입게 되는 손실이 심각한지를 평가하고, 공격 시나리오에 따라 방어능력이 있는지, 외부의 적이 공격가능성이 있는지 등 종합적인 평가를 통해 방첩능력과 위험도를 평가해야 한다. 냉전 이후 국가간 국가경쟁력 확보의 원천인 경제정보수집활동이 강화되어 새롭게 조명되고 있는 분야가 산업정보활동이다. 산업정보의 유출로 국가의 전략산업이 경쟁력을 잃기도 하고 반대로 타국의 산업정보를 수집함으로써 산업경쟁력을 확보하여 비약적인 경제발전이 되어 강대국으로 발돋움한 사례도 많다. 산업혁명 이후 17세기 영국의 제철산업, 18세기 미국의 방직산업, 18세기 제정러시아의 산업발전, 2차 대전 이후 일본의 급격한 산업발전 등이 국가 주도의 경제정보 수집활동의 결과라고 볼 수 있다. 냉전시기까지는 산업정보활동이 국가정보기관의 부수적인 활동이었으므로 비교적 합법적이고 온건한 방법들이 사용되었으며 민간분야의 경쟁력을 지원하는 의도적인 활동이 적었다. 하지만 이념대결을 하던 냉전시대가 종료되고 각국이 경제를 우선시하는 무한경쟁시대에 돌입하게 되면서 산업정보활동이 국가정보기관의 공식적인 주요 임무로 격상되었고 수집활동의 수단과 방법도 합법∙불법 등 다양화되게 되었다. 이러한 결과로 산업보안활동을 강화하고 발각 시에 국가간 문제로 비화시키는 등 적극적인 대응을 하고 있다.국가정보기관의 산업활동에 있어서 다양한 이슈가 제기되고 있다. 첫째 기업의 특정 정보수요가 있을 때 적기에 원하는 정보를 수집하여 제공할 수 있는지 여부의 실현 가능성이다. 둘째 기존 군사 및 정치정보를 수집하던 요원들이 경제정보를 잘 수집할 수 있는지 효과성이다. 셋째 소속 정보요원들이 경제정보수집활동에 국가정보수집활동과 동일한 정도의 중요성을 부여하고 헌신할 수 있는지 효율성이다. 넷째 수집한 경제정보를 특정 업체나 업종에만 배포할 때 발생하는 공평성이다. 다섯째 국가안보를 위해서 용인되던 비합법적인 수집수단이 경제정보를 수집하면서도 사용할 수 있는지 윤리성이다. 마지막으로 산업정보활동이 노출될 경우 국가위신의 추락, 상대국과 안보 및 외교협력의 약화 등 부작용 가능성이다. 위와 같은 다양한 이슈가 발생할 수 있으므로 다음과 같이 산업정보활동의 기준을 신중하게 설정해야 한다. 첫째 국가정보기관은 비밀정보수집에 전념하고 공개정보는 다른 정부기관에서 수집하게 해야 한다. 둘째 개별기업에 필요한 특정 정보보다는 순수 공공재 성격의 정보를 수집한다. 셋째 노출이나 발각 시 부작용 가능성이 높은 인간정보보다 가급적 기술정보 수단을 적극 활용한다. 넷째 아무리 중요한 기업이라고 하여도 개별기업을 지원하는 정보수집활동은 자제한다. 다섯째 외국의 보복적 산업정보활동이나 외교적 마찰 가능성이 높은 민감한 정보수집활동은 자제한다.이러한 이슈들에도 불구하고 미국의 CIA, 러시아의 SVR, 프랑스의 DGSE, 일본의 내각조사실, 독일의 BND, 캐나다의 CSE 등의 국가정보기관이 산업정보활동을 강화하고 있다. 특히 급격한 경제발전을 통해 강대국으로 부상하고 있는 중국이 미국, 일본 등 선진국에서 수행하고 있는 무차별적인 산업정보수집활동은 우려의 수준을 넘어 외교적 마찰을 자주 빚기도 한다. 한국의 국정원도 1993년 개정 안기부법에서 산업정보활동을 주요 임무로 명시하여 주력하고 있으며 이에 못지 않게 산업스파이 방지활동도 강화하고 있다. 그동안 산업스파이 등에 대한 처벌은 영업비밀보호법, 형법 등이 적용되다가 2006년에 산업기밀유출방지법이 제정되어 작용되고 있다. 국가의 산업기술 보호와 유출방지를 위한 노력의 일환으로 볼 수 있으나 산업계의 실정을 제대로 반영하지 않고 관료들이 주먹구구식으로 제정하였다는 비난을 받고 있기는 하나 그나마 없는 것보다는 나을 듯 하다. (끝)