포스코 임직원에 피싱메일 보내봤더니···

[아시아경제 채명석 기자] 지난 6월 서울 대치동 포스코센터에 근무하는 포스코 임직원들은 한 통의 이메일을 받았다.

광고 메일을 가장한 '피싱메일'이었다. 임직원들의 보안의식을 점검하기 위해 회사가 자체적으로 만든 것으로 주민등록번호ㆍ연락처 등 개인정보를 입력하도록 했는데, 결과는 충격적이었다.

발송 대상 1만7000명 가운데 4148명(24.4%)이 메일 본문 내에 링크를 클릭해 열어봤고, 290명(1.7%)은 자신의 개인정보를 별 다른 의심 없이 전송한 것이다. 정부와 금융기관, 언론이 연일 피싱메일의 피해와 대처요령에 대해 홍보를 해 경각심을 일깨우고 있는 가운데, 평소 강력한 보안 정책을 펴오고 있던 포스코로서는 결과에 할 말을 잊었다.

피싱메일 발송은 지난 3월에 이은 회사의 두 번째 보안점검 기간에 시행됐다. 첫 번째 점검 당시보다 전반적으로 위반 건수는 대폭 감소 됐으나 아직도 기대에는 한참 못 미치는 것으로 나타났다.

특히 시니어 매니저 이상 간부급 직원들의 위반율은 3월 36%에서 6월에는 50%로 오히려 증가했으며, 현장에서 근무하는 조업 부문 직원(42%)보다 사무실에서 근무하는 스탭 부문 직원(58%)의 위반율이 높아 정보 유출의 위험성이 더 커졌던 것으로 분석됐다.

이에 따라 회사는 비인가 저장매체에 미승인자료 저장 등 위반직원에 대해 인사위원회를 거쳐 징계 처분하는 한편, 사외비 자료의 무단반출이나 책상서랍 미시건 등 클린데스크 미준수 직원에 대해서는 경고와 주의 조치했다.

또한 이달 실시하고 있는 3차 불시 보안점검에 앞서 생활보안 미준수 등 정보보호규정 위반에 대한 인사조치를 대폭 강화했다. 직원들의 자발적인 참여와 의식 개혁을 독려하는 수준에서 진행해온 정보보호 교육과 캠페인을 책임을 지게 하는 강제적 수준으로 격상한 것이 특징이다.

기존 생활보안 준수 등과 관련한 경미한 위반사항인 경우 2년간 누적벌점에 의해 징계할 수 있도록 한 것을 보안위반 정도에 따라 1등급에서 3급까지 분류해 2~3등급은 즉시 인사위원회에 회부해 경고 이상의 징계를 주고 1등급은 고의성 등을 고려해 인사위원회에 회부하거나 정보보호 담당 임원의 경고가 주어진다.

공용PC 관리와 필수 소프트웨어 미설치 등 보안위반 항목도 더 추가했으며, USB나 외장하드 등 비인가 저장장치 사용 및 외부 유출을 막기 위한 통제 시스템도 강화했다.

서울 포스코센터에 이어 포항과 광양제철소도 관람객들의 제철소내 사진 촬영을 완전 금지 조치를 내렸으며, 스마트폰 등 휴대 인터넷 장치를 통한 정보 유출을 막기 위한 방안도 마련키로 했다.