[컬럼공유] 기업보안을 위한 CEO의 자가 점검 리스트 10가지

<기업보안을 위한 CEO의 자가 점검 리스트 10가지>

관련 컬럼 : https://www.boannews.com/media/view.asp?idx=76922

아래 컬럼을 보고 개인적으로 겪었던 경험과 생각을 작성하려고 합니다. 아래 내용은 컬럼의 내용을 가지고 왔습니다.

"기술유출 수사관의 말을 들어보면 고급 기술 정보 등은 이미 회사에 근무하는 핵심기술자 또는 임원 자택의 정보기기 안에 가득 차 있는 것이 현실이다. 심지어는 실시간으로 경쟁사에 근무하는 선후배나 지인을 통해 자연스럽게 고급 정보가 흘러 들어가기도 한다는 것이다. 이런 허술한 기업보안 환경의 배경에는 다음과 같은 CEO의 태도가 크게 작용하므로 CEO부터 자가 점검이 필요하다."

첫째, 나는 CEO이고 오너이기 때문에 회사 규정을 지키지 않아도 된다

- 이글은 개인적인 경험으로 많은 분들이 이런 생각을 하고 있었습니다. 아무래도 회사가 공동이 아닌 개인 것 내 것이라는 생각이 좀 더 강하다는 느낌을 많이 받았습니다.

둘째, 우리 직원들은 모두 다 가족 같아서 정보를 유출하거나 배반하지 않을 것이다.

- 경험으로는 이 부분은 극과 극이었던 것 같습니다. 믿거나 아니면 아예 믿지 않거나….

셋째, 보안 시스템 구축은 괜히 앞서갈 필요 없이 법적으로 의무화되거나 경쟁사가 먼저 도입한 이후에 도입하면 된다.

- 아무래도 보안에 대한 부분은 많은 회사가 투자라기보다는 비용을 소비한다는 생각이 많아서 이 부분을 어느 정도 절충해야 하는 부분이 있다고 생각합니다. 하지만 대부분 어떤 정책이나 회사 사업으로 인한 인증 등이 아니라면 자발적으로 하지는 않았습니다.

넷째, 매출과 개발 상황은 일일 관리하면서 핵심 인력관리와 보안에는 무관심하다.

-  핵심인력이라고 생각되는 부분에 대해서는 회사에서도 각종 복지를 통하여 인력 유출을 막으려고도 했지만 보안적인 측면에 대해서는 전체적인 것보다는 어떤 한 측면만을 중요하게 생각하는 면이 있었습니다.

다섯째, 창업 이래 우리 회사는 한 번도 기술이 유출된 적이 없다.

- 이것은 유출이 된 것을 모르거나 위에 2번과 같은 직원에 대한 신뢰가 너무 높으면 그럴 수 있다고 생각합니다. 하지만 개인적인 생각으로는 유출된 것을 모르고 있는 게 더 많지 않을까 생각이 듭니다.

여섯째, 보안 부서나 보안 업무는 아무나 해도 무방하다고 생각하면서 보안사고가 발생하면 책임 추궁에는 엄격하다.

- 중소기업은 보안 업무 및 부서 운영에 대해서 회의적인 부분이 많았습니다. 별도의 보안이 필요하다기 보단 흔히 전산 부서에서 함께 하라도 업무 분담을 많이 했습니다. 염연히 일반 전산과 보안은 다른데….

일곱째, 보안 관리가 중요한 건 알지만, 많은 예산을 투입해야 해서 우리 회사 규모로는 할 수 없다.

- 중소기업은 예산 투입에 대해서 대부분 회의적이었습니다. 위에 언급한 것과 같이 회사에서는 보안 관리에 대해서 투자라기보단 비용 소모라고 생각하는 경영진의 생각이 많았기 때문입니다.

여덟째, 외부자에 의한 도난·분실은 걱정하면서 내부자에 의한 고급정보 유출은 무관심하다.

- 내부자에 대한 출력물, 인터넷 사용 등과 관련되어서 굉장히 철저히 했지만, 외부자에 대해서는 보안 교육이나 서약서 등에 대해서 그냥 지나치는 경우가 많았으며, 아무래도 회사의 고급 정보는 일반 직원급보다는 임원급이 훨씬 많은데 아이러니하게 임원은 보안 정책에 대해서 예외가 되는 경우가 많았습니다. 무언가 유출을 해도 임원이 훨씬 고급정보를 많이 가지고 나갈 수 있는데도…….

아홉째, 고가의 보안장비만 도입하면 완벽한 보안이 될 수 있다.

- 보안장비는 일차적인 기술적 보안이 지속적인 관리가 필요한데 그저 장비 하나로 모든 것이 된다는 믿음과 보안에 100%라고는 있을 수 없는데 어떤 이슈가 발생하게 되면 100% 되어야 한다는 믿음이 강하신 분들이 많았습니다.

열째, 보안부서의 예산은 ‘투자’가 아니라 ‘비용’이라고 생각한다.

- 보안부서가 투자하는 비용에 대해서는 많은 분이 투자가 아닌 낭비라고 생각하는 분들이 많았습니다. 경영진이 그렇게 생각해버리면 보안 업무를 진행하는 데 많은 어려움이 생깁니다. 이건 실무에서 업무 하시는 분들이 많이 공감하실 거라 생각합니다.