[기업보안이야기⑤] 기업보안부서 업무영역 길라잡이

보안부서, 리스크 예방 위한 구성원 인식 제고와 교육업무 가장 중요

[보안뉴스=백봉원 ASIS International Korea Seoul 사무총장] 포춘(Fortune)지 상위 500대 기업 등 대부분의 선진기업들은 Corporate Security, Security Team 또는 그와 유사한 조직을 편성·운영하고 있다.

그 업무는 회사마다 조금씩 차이는 있으나 주로 위기관리(Crisis Management), 기업 내에서 정보보호와 물리적 보안의 통합과 체계적인 연계 활동(Physical and IT security), 내부 부정/비리조사(Investigations), 사내 리스크 진단(Risk Assessment), 사내 보안정책 및 절차 수립(Develop processes), 자산 및 임직원 보호(Employees Protection & Overseas asset management) 등을 업무 영역으로 활동하고 있다.

Crisis Management - 위기관리 및 예방활동

시대가 변하면서 위협, 위해 요소는 지진, 테러 등의 순환적인 발생뿐만 아니라 H*N* Flu, SARS, 조류독감 등 새롭고 다양한 리스크(Risk)로 확대되어 가는 추세다. 또한, 각 기업들은 해외 합작사업 추진 등에 따른 빈번한 해외출장, 공장 설립에 따른 노사분규 등 예기치 못한 다양한 위험이 뒤따르고 있다.

이런 상황에서 모든 기업은 위기상황에 대해 직원 및 고객 그리고 일반 대중의 안녕 및 안전을 가능한 한 최대로 지켜줄 수 있어야 하며, 또 각 기업들은 불가피하게 발생되는 사고로 인해 손실이 발생하게 된다.

그리고 이러한 것들이 사회적인 문제로 확대되어 기업이미지가 실추되는 일이 발생할 수 있다. 이러한 모든 위기 상황에 대한 위기관리 매뉴얼(ERP: Emergency Response Plan)을 만들고, 시나리오를 작성해야 하며, 다양한 모의훈련(TTX: Tabletop Exercise)을 실시할 필요가 있다. 선진 기업들은 이런 훈련을 의무적으로 시행하고, 그 결과를 점검·진단하도록 하는 체계가 구축되어 있다.

기업들은 해외투자 등과 관련해 직원을 해외에 출장을 보내는 일이 발생한다. 이 때 해외 장기 출장자들을 위해 해당국가의 Security 상황에 대한 자료를 배포한다든지 출장 시 유의사항과 최근 Crisis 발생 유형, 그리고 해외에서 긴급사항 발생 시 조치요령 등을 주지시켜야 한다. 이를 통해 출장자 본인들이 사고발생을 스스로 억제하도록 교육하는 것이 필요하다.

△ 비상 대응 계획서(Emergency Response Plan) : 예기치 못하는 위기상황, 자연 재해 또는 기타 회사 또는 직원에 영향을 주는 비상사태로 인해 발생하는 모든 우발적인 사고를 명시하여 사고를 예방하고 사건, 사고에 따른 피해를 최소화하기 위한 지침서라고 할 수 있다.

△ 비상 대응 훈련(Tabletop Exercise) : 위기관리 책임을 가진 회사의 중요인원이 격의 없는 자리에 회합하여 가상의 긴급 상황을 논의하기 위해 기획된 활동을 뜻한다. 이 훈련을 통해 사고관리 시스템의 효율성을 제고시킬 수 있으며, 역할 및 책임의 명확화, 위기의 조직적 대응 및 의사소통 방법 등을 개선할 수 있다. 또한, 계획과 실천의 차이를 극복해 참석자의 비상시 대응 전문성 및 자신감을 향상시킬 수 있다.

△ 비상대피 계획서(EEP: Emergency Evacuation Plan) : 비상 시 대피와 관련한 지침서라고 할 수 있다. 특히, 국내 주재 해외기업에서는 한반도 유사시에 대비한 EEP를 확보해야 한다.

Physical Security

Physical 분야와 Technology Security 분야는 우리나라에서는 이미 Security 초점에 맞추어 잘 발전해온 분야다.

인력경비 계약에 있어서도 지나친 저가 입찰 경쟁으로 경비, 보안원들의 질(Quality)을 떨어뜨리지 않도록 해야 한다. 그러나 안타깝게도 비용절감을 위한 ‘갑’사의 입찰 진행 방식과 현재와 같이 4,000개가 넘는 경비 회사의 과잉경쟁으로 최저임금수준의 입찰가격까지 떨어져 있는 상황으로는 관련 제비용의 인상이 쉽지 않은 부분이다.

이를 위해 제안서에 보안원의 임무(Job Description), 보안원 표준운영(SOP: Standard Operating Procedures)에 나은 서비스(Service)와 품질(Quality)을 제공하는 계획을 반영토록 해야 한다. 이에 보안담당자는 예산삭감, 품질저하라는 악순환이 발생하지 않도록 Security Quality를 지속적으로 확보하기 위한 노력을 기울여야 한다.

그리고 일부 국내 기업이 보안원의 근무형태로 24시간 맞교대 근무체제를 유지하고 있으나, 그 형태는 사실상의 가수면(假睡眠)을 어느 정도 인정하는 형태로, 바람직한 근무 시스템이 아니며, 적어도 12시간 2교대 또는 8시간 3조 2교대 형태로 운영하는 것을 검토해야 한다.

Technology Security

Security는 외곽 보안(Perimeter Security) 인프라를 위해 펜스(Fence), CCTV, ACS(Access Control System), ID Card 등의 Security 시설물에 대한 스펙 등의 기준을 정립해야 한다. Security 내에서 자체 기준 수립이 힘들 경우에는 외부업체 전문가의 진단을 통해 도움을 얻을 수도 있다. Security에서는 최적화, 즉, 최소의 비용으로 최대의 효과를 얻는 방법을 강구해야 한다.

또한, 사내 보안지역(HSA : High Security Areas)을 지정하고, 회사 내 Security 상의 리스크가 높아 출입통제가 요구되는 지역(위험물 저장소, 발전소 등)을 제한지역(RSA : Restricted Security Areas)으로 정하고 관리하여 리스크를 예방할 수 있도록 한다.

Security는 회사의 산업기술 유출 예방·조치로 기업의 유·무형 자산 손실 방지에 기여하고, 특히 기업의 신제품 정보 보호활동으로 인한 경쟁사 정보 유출 및 기업 이미지 손실 방지에 만전을 기해야 한다. 특히, Future Product Security의 신제품 Package, 시험제품 보안규정, 데이터 관리 등에 대한 기준과 절차를 수립해 이를 교육하고 준수하도록 해야 한다.

Investigation Security

Security 업무 중 가장 어려운 업무 중의 하나가 부정, 비리관련 조사활동(Special Investigation)이다. 같은 직장 내에서 동료를 조사하는 것, 자체가 쉬운 일이 아니기 때문이다.

회사는 신입사원부터 관리자, 현장직원, 임원 등 전 직원에 대해 정기적·지속적으로 교육함으로써 부정이 발생하는 것을 최대한 억제하는 체제를 구축해야 한다.

또한, 윤리경영에 있어 가장 중요한 것은 CEO의 확고한 의지로 그 의지를 천명하고 부문별 특성에 맞는 준수 프로그램을 개발 활용할 수 있도록 해야 한다. 아울러 모든 임직원이 인지된 모든 부정행위(Wrongdoing)에 대해 보고할 수 있는 도구(Tool)을 개발해야 한다.

Brand Protection이란 ‘상표권 보호’를 뜻하는 전문용어로서 회사제품을 ‘위조(Counterfeit)’하거나 ‘불법유출(Diversion)’하는 행위(상표권 침해)를 조사·단속하는 활동을 말한다. 이런 위조행위로 초래될 수 있는 회사 이미지 실추, 판매 감소, 고객 신뢰도 저하, 사고 등을 예방하는데 목적이 있는 것이다.

각 기업은 Brand Protection(상표권 보호) 전담 부서를 별도 운영해 회사의 이미지 실추, 고객 신뢰도 저하, 판매감소, 사고 등의 예방에 노력해야 하며 사고 발생 시 보안팀에서 단속 및 조사 업무를 담당하게 된다.

이러한 단속은 보안팀에서 단독으로 이루어지는 경우도 있지만, 회사 밖의 사건으로 보안팀에서 단독처리하기에는 한계가 있어 국정원, 경찰, 세관의 협조를 얻어 합동 단속으로 이루어지는 것이 바람직하다.

△ 디지털 포렌직(Digital Forensic) / e-Discovery 등의 업무는 CISO(Chief of Information Security Officer) 와 협의해 진행한다. 보통 CSO를 두고 그 하부 조직에 CISO를 두어 운영 관리하는 기업들도 있으나 최근 사이버보안의 중요성이 부각되면서 많은 회사가 분리, 별도 운영하고 있으며 조사 자체 업무는 보안팀에서 진행하고 있다.

경호(Executive Protection)

보안팀은 주요 인사 또는 직원의 경호와 관련한 업무를 수행한다. VIP, Key Personnel에 대한 경호계획을 수립·실시하며, 필요 시 주요 행사 및 이벤트와 관련하여 위해 세력 및 비상사태에 대비하는 임직원 경호를 실시한다. 또한, 경호와 관련한 매뉴얼을 수립하여 유지 관리해야 한다. 기획은 내부에서 수립하고 시행은 보통 아웃소싱하게 된다.

Facility Security

Facility Security 업무 중 가장 중요한 업무 중의 하나가 바로 소방, 방재(Fire Prevention & Protection)이다. 보통, ‘소방’하면 관리하는 부서(팀)가 있다고 하면 일임하는 경우가 많다. 그러나 화재라는 것이 Risk상의 가장 중요한 부분이라는 것을 감안한다면 리스크를 관리하는 보안팀에서 업무를 협조, 병행해 수행하는 것은 당연한 일이다.

대부분의 회사들은 내부에 소방 담당하는 조직, 인원을 편성하고 운영, 관리하고 있다. Security에서는 그와 같은 소방 Operation 조직과 연계하여 활동을 하게 되며, 주로 관련 매뉴얼의 절차·기준을 수립하고 운영하거나, 직원들에 대한 소방훈련, 교육 및 홍보를 하는 역할을 한다.

또한, 사업장내의 화재 안전 서베이를 실시해 개선사항을 점검 확인하고 지원하는 업무를 수행하며, 시설물의 신·개축 시 보안사항을 검토하고 기준을 수립·지원한다.

Security 관련 투자비용 중 가장 많은 부분을 차지하는 것이 소방 시설물에 대한 투자이다. 회사에서 노후화된 소방시설물을 교체하거나 소방법 상의 미비사항을 완벽하게 구축하는 자체가 투자비용, 예산 등을 고려 할 때 쉬운 일은 아닐 것이다.

따라서 보안팀은 우선순서를 정해 당장 진행해야 할 것과 중장기 투자계획으로 진행할 일을 분류해야 한다. 이를 바탕으로 계획을 수립하고 경영진에게 승인 받도록 해 각 프로젝트를 진행되는 조직에 조언자로서의 역할을 수행해야 하는 것이다. 또한, 시작되는 시설물 신축이나 개축 시에는 소방을 포함한 보안관련 예산이 반영돼 추진하도록 해야 한다.

결국 소방 분야에서의 보안업무는 체계적인 화재예방을 통한 손실(Loss) 방지 및 기업의 영업, 비즈니스 연속성(Business Continuity)에 기여하는 것이라고 할 수 있다.

보안은 위에 언급한 업무를 바탕으로 특히, 리스크 예방이라는 차원에서 주기적으로 진단할 수 있는 점검 도구를 개발해 진단(Risk Assessment)할 수 있도록 해야 한다. 리스크 예방을 위한 구성원의 인식(認識, Concept), 그리고 관련 교육이 보안업무에 있어 가장 중요한 사안임을 잊지 말아야 한다.

[글_ 백 봉 원 ASIS International Korea Seoul 사무총장(메일 : jhpaik100@daum.net / 카페 : http://cafe.naver.com/securitycso)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)