[MBA Special] LG는 이렇게 보안한다

[아시아경제 박현준 기자] 김재수 LG전자 정보보안그룹장이 말하는 '기업의 보안관리 체계'

보안이란 성벽은 한쪽 구석이 조금만 뚫려도 전체가 무너지는 구조다. 기술적 요소를 충실히 갖추고 사람에 대한 보안관리를 철저히 하는 것이 기본이다. 또 경비를 치밀하게 배치하는 등 모든 것이 통합적으로 조직돼야 한다. LG는 어떤 방식으로 보안 정책을 펴고 있는지 설명하겠다.

◆보안사고 일으킨 직원은 컴퓨터가 적발=각종 보안을 위해 시설을 갖춰 놓는 게 물리적 보안이다. 이는 정보유출에 빠른 대응을 가능하게 하고, 복잡한 업무를 단순화해 효율성을 높여준다. 몇 만명이나 되는 임직원을 대상으로 일일이 조사를 하면 업무가 엄청나게 많아 질 것이다. LG의 통합보안 모니터링 시스템은 그런 수고를 덜어준다. 예를 들어, 퇴직을 얼마 남기지 않은 연구개발 부문 직원이 주말에 출근해 A4용지 500여장의 출력을 한 뒤 새벽에 퇴근했다고 치자. 상식적으로 봤을 때 그는 회사를 위험에 빠뜨릴 자료를 빼갔을 가능성이 있다.

그러나 출퇴근 기록과 출력 자료를 따로 관리한다면 일일이 대조해야하는 어려움에 처할 것이다. 통합보안 모니터링 시스템은 위험을 일으킬 수 있는 시나리오를 작성해 미리 입력해 두기만 하면 해당 시나리오에 딱 맞는 인물을 골라내 자동적으로 알려준다. 시나리오를 위반한 사실이 있는 직원을 시스템이 적발하고, 그의 회사 출입기록, CCTV 화면, 출력한 문서 원문 등을 조직 책임자에게 보고해 준다. 또 보안상 위험한 행동을 하는 직원은 중점관리 대상자에 오른다. 특정 시간대에 문서를 과하게 출력하거나 개인 메일 ID를 사용하면 시스템이 보안담당 부서에게 자동적으로 알려주는 것이다.

물론 고위직 임원은 모니터링 받는 걸 싫어하기 때문에 자신은 제외해달라는 요청을 해온다. LG의 경우 빼준다. 두 가지 이유가 있는데, 첫째는 그 임원이 수십년간 회사에 일하면서 보인 헌신을 감안해서다. 둘째로는 보안정책에 대한 관리 권한을 해당 임원들이 갖고 있는 경우가 많다는 실질적 이유가 있다. 그렇다고 그냥 두지는 않는다. 해당 임원이 퇴사할 때 재직 중 한 일에 대한 기록을 피드백해준다. 해당 임원이 범위를 벗어난 일을 저질렀다면 인적자원(HR) 전문 기업에 통보한다는 뜻이다. 조사 역시 진행한다. 이 자료는 왜 출력했는가, 출력한 자료는 지금 어디있는가를 확인 한 후 관련 문서를 회수한다.

외부에서 영입한 임원은 모니터링을 반드시 받아야 한다. 모니터링에서 빼주지 않을 뿐더러, 외국계 회사 출신의 영입 임원은 "더 많은 보안이 필요한 게 아니냐?"는 의견을 내놓을 만큼 국제적 기준을 충실히 따른다.

LG가 시도하는 새 시스템 중에는 외부 침입에 대비하는 PC DRM(Digital Rights Management)도 있다. 이는 임직원의 컴퓨터로 작성한 데이터는 자동적으로 암호로 변환해 저장하는 시스템이다. 파워 포인트 작업을 하고 저장을 하면 일반 데이터로 저장되는 게 아니라 암호화된 내용으로 저장되는 것이다. 따라서 외부에서 빼가더라도 무용지물이 된다. 만일 외부 사용자와 협업을 해야하는 일이라면 데이터 반출에 대해 승인을 받도록 한다. 올해 말까지 전세계 LG관련 회사에 구축할 예정이다.

◆사람 관리가 보안의 핵심=보안은 궁극적으로 사람이 하는 일이다. 이 때문에 사람에 대한 관리가 중요하다. 가장 중요한 건 최고 경영자(CEO)의 의지다. 이를 위해 LG는 남영우 경영혁신부문장을 비롯한 각 책임자들이 올해 2월 한 자리에 모여 'Top Management 정보보안 메시지'를 작성했다. (사진 참조) 이런 행사를 하는 까닭은 최종 책임자의 의지에 따라 조직이 보안을 얼마나 이행하는 지가 달라지기 때문이다. 실제로는 이런 행사를 하는 게 쉽지 않다는 것도 해보면 알 수 있다. 일선 기업에서는 월례 조회 때 일괄적으로 메시지를 작성한다면 될 것이다.

내부 설득 작업도 중요한 일이다. 보안은 직접적으로 생산에 관여하지 않고, 더 좋은 제품이 나오는 데 기여할 뿐이다. 보안 업무의 주요 고객은 회사 경영진, 사내 임직원, 퇴직자, 경쟁사, 대외기관, 협력회사들이다. 보안에 많은 투자를 해야 할 필요가 있냐는 의문이 들 수 있는 대목이다. 사내 조직원들에게 보안의 필요성을 평소에 주지시켜야 한다. 간단히 말해서, 보안을 철저히 하면 이윤이 나냐는 질문에 계량화된 답변을 할 수 있어야 한다. 보안담당 부서는 부실 보안으로 발생할 수 있는 과징금, 집단소송 등 각종 위험을 금액으로 환산해서 설득해야 한다. 보안을 게을리 했다가 막대한 대가를 치른 기업이 되지 않으려면 말이다.

아울러 보안업무는 협력사와 함께 해야한다. 자체 보안이 아무리 잘 돼있어도 협력사를 통해 주요 정보가 빠져나가는 일이 허다하기 때문이다. 산업기술보호협회는 기업체 대상의 정기 보안교육을 지원하고 있다. 초빙 강사와 교재가 무료로 제공된다. LG는 협력사 대표와 실무자급의 참석을 독려하고 있다. 교육을 받고 수료증을 받으면 협력사에 대한 보안 점검시 인센티브를 주는 제도를 시행하고 있다.

정리=박현준 기자 hjunpark@

◆김재수 LG전자 정보보안그룹장=14년6개월의 군 경력 중 절반 이상을 기무사령부에서 일했다. 소령으로 예편한 뒤 LG전자에서 보안업무를 총괄하면서, 서울과학종합대학원에 출강하고 있다.

박현준 기자 hjunpark@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>