보안총괄제 도입...보안의식 더욱 강화

■서울반도체의 보안체계 들여다보기

보안포스터 및 스티커 발급으로 보안의식 고취

“나 혼자인데 뭐 어때” “모두가 왕따였습니다” “삼풍백화점을 기억하십니까”

위에 나열한 문구들의 공통점은 뭘까. 무슨 공익광고 문구 같기도 하다. 여러분들도 한번 유추해 보시라. 도대체 모르겠다면 힌트 하나 더. 한 회사의 화장실이나 휴게실, 미팅 룸에 가보면 쉽게 접할 수 있다. 물론 그 회사 내로 들어갈 수 있으리란 보장은 못한다. 이쯤에서 정답을 말한다면 여기서 한 회사는 국내의 대표적인 LED 생산업체 서울반도체를 말하는 것이고, 문구들은 서울반도체가 제작한 보안포스터에 담긴 표어 제목이다. 뜬금없이 웬 스무고개 놀이냐고 타박할지 모르지만, 여기에 서울반도체 보안체계의 특별한 무언가가 담겨 있다.

LED(Light-Emitting Diode)는 핸드폰, 디지털 가전, 조명, 신호등, 전광판, 자동차 등 거의 모든 생산품에 들어갈 정도로 활용분야가 넓은 반도체다. 특히, 최근 들어 국산 휴대폰이 전 세계에 맹위를 떨치면서 휴대폰에 내장돼 백라이트(Backlight)로 활용되는 LED 시장도 크게 확대되고 있는 상황이다.

이러한 LED 분야에서 독보적인 기술력을 보유하고 있는 업체가 있으니 바로 서울반도체다. 이 회사의 보안체계 강화는 LED 시장 확대에 따라 필연적으로 높아질 수 밖에 없는 기술유출 위험에 효과적으로 대응하기 위해 시작됐다. 2000년대 접어들어 LED 관련 업체들이 우후죽순 생겨나면서 업체간 기술인력 스카우트 전쟁이 거세졌고, 그 가운데서도 선발업체인 서울반도체가 주 타깃이 됨에 따라 보안체계 강화 필요성이 대두됐던 것이다.

“보안의 중요성이 커지는 와중에 2002년 5월 설마 하던 기술유출사고가 실제 터졌어요. 그 이후 이대로는 안 되겠다고 판단한 경영진의 지시로 2003년 2월 보안업무를 전담할 TFT(Task Force Team)가 조직되고, 보안규정 및 보안체계를 새롭게 만들어나가기 시작했죠.” 현재 서울반도체에서 보안업무를 총괄하고 있는 최재빈 팀장의 설명이다.

보안총괄제 도입과 협업체제 강화로 승부수

서울반도체의 보안체계에 있어 주목할 점은 법무, 인사, 전산, 교육, 총무 등의 지원부서에서 각 부서의 성격에 맞게 물리적·관리적·기술적 보안업무를 수행하되, 제반 보안업무를 컨트롤 할 수 있는 보안총괄제를 도입했다는 것이다. 이를 통해 보안총괄 팀장과 20여명에 이르는 각 부서의 보안담당자간 완벽한 협업체제가 가능해졌다는 게 회사 측의 설명이다.

우선 인사·교육·법무관련 부서에서 주로 수행되는 관리적 보안업무는 사외전문가 초청교육과 부서별 개별교육 등의 보안교육, 보안유출사례 및 보안포스터를 제작·배포하는 각종 캠페인 활동, 기밀유지계약, 그리고 정기·부정기적으로 실시되는 보안감사 업무 등을 두루 포함한다. 이와 관련 최재빈 팀장은 “기밀유지계약과 관련해서는 직원별로 차별화해 연구·생산직의 경우 별도의 보안서약서를 작성토록 하고 이들에게 보안수당을 지급하고 있으며, 보안감사를 통해 각 부서의 보안실태를 분기별로 평가하고 있다”고 설명했다. 특히, 보안감사 결과에 따라 Best 부서와 Worst 부서를 선정하고, 각각 포상과 보안대책을 발표토록 하는 등 철저한 신상필벌 원칙을 지켜나가고 있다고 최 팀장은 덧붙였다.

한편, 서울반도체의 물리적 보안업무는 방문객 관리와 보안구역 출입통제, 반·출입 관리에 초점을 맞추고 있다. 화사방문을 위해서는 사전예약이, 통제구역 방문 시에는 사전허가가 필요함은 물론 임직원들도 통제구역에는 함부로 출입할 수 없도록 별도의 출입등급을 정해놓고 있다. 이와 함께 X-ray 검색기를 통해 규제물품과 정보기기, 문서의 반·출입을 철저히 통제하고 있으며, 주요 보안구역은 책임자를 지정해 관리토록 하는 통제구역 책임제와 설비메이커 및 생산모델에 대한 제조보안도 엄격히 이루어지고 있는 상황이다.

이외에 온라인상에서 무분별한 파일 의 반·출입을 차단하기 위한 온라인 반·출입 승인제도를 비롯해 DRM 구축, 네트워크 및 서버 보안 등의 IT 보안체계도 서울반도체에서는 이미 정착단계에 접어든 느낌이다.

이렇듯 보안체계가 정착단계에 접어들었다고 판단한 서울반도체에서 최근 중점을 두고 있는 보안활동 가운데 하나가 바로 내부 신고제도의 활성화다. 타 업체로부터의 정보수집 요구나 스카우트 제의 등을 신고할 경우 그 중요도에 따라 최고 1억원의 막대한 포상금을 지급하는 제도를 실시중인 것. 이와 함께 직원 퇴직 시 업무용 노트 및 기타 회사와 관련된 자료를 반납할 수 있도록 하는 퇴직자 관리 강화에도 초점을 맞추고 있다고 회사 측은 설명했다.

자나 깨나 기밀유출조심

보안체계를 강화한 지 2년여가 흐른 지금 서울반도체 직원들에게 보안은 일상 생활의 일부분처럼 자연스럽다. 취재진이 회사에 도착해 취재를 마치고 나가는 동안에 벌어졌던 일을 되돌아봐도 그렇다. 기자가 가지고 있던 카메라 폰의 카메라 부분을 봉인하는 일에서부터 사진기자가 촬영한 이미지를 일일이 확인하고, 기사자료로 요청한 문서에 대해 반출승인서를 작성하는 모습에 이르기까지. 취재진이 너무 한다 싶을 정도로 보안과 관련된 사항에서만큼은 세심하게 점검하는 모습이 너무나 자연스럽고 익숙했기 때문이다.

그러나 이러한 단계에 이르는 과정은 결코 순탄치 않았고, 경영진과 보안담당자의 솔선수범과 끊임없는 설득작업을 거친 후에야 가능했다는 게 최재빈 팀장의 전언이다. “처음에는 직원들이 왜 보안을 해야 하는지, 그 당위성을 부여하는데 역점을 두었습니다. 이를 위한 가장 효과적인 방법으로 생각한 것이 바로 보안포스터 및 스티커를 제작·배포하는 일이었죠.”

회사 측의 예상은 정확히 들어맞았다. 기자 역시 서울반도체의 보안체계에 있어 가장 인상 깊었던 게 바로 회사 곳곳에 부착돼 있던 보안포스터였으니까 말이다. 각자의 사무실은 물론 취재를 진행하던 회의 탁자에서도, 휴게실에서도, 심지어 화장실 안에서도 보안포스터와 스티커를 쉽게 발견할 수 있었다. 이렇듯 임직원들이 언제 어디서나 이를 접하게 되면서 자연스레 보안마인드가 향상될 수 있었던 셈이다. 서울반도체의 직원들은 행여 딴 마음(?)을 품었다가도 화장실에서 용변을 보다가, 또는 흡연실에서 담배를 피우다가, 또는 회의를 하다가 그 마음이 변하지 않을까 싶다.

Interview

“쉽게 접하고 행동할 수 있는 것 그게 진짜 보안”

최 재 빈_ 서울반도체 전산·감사팀장/정보보안 총괄

Q. 서울반도체에서 보안강화 필요성이 대두됐던 시기와 그 이유는.

A. 2000년대에 접어들어 휴대폰 시장이 급속도로 확대되면서 휴대폰의 백라이트로 사용되는 LED 산업에 대한 관심이 높아지기 시작했다. 이는 2000년 10개 미만에 불과하던 LED 관련업체가 2003년 30여개로 크게 증가한 것만 봐도 알 수 있다. 가뜩이나 국내에 LED 관련 기술 인력이 부족한 상황에서 선발업체인 우리 회사를 타깃으로 한 기술 및 경영정보 유출시도가 감지되기 시작했다. 특히, 연구개발 및 영업 인력이 경쟁사로 이직하는 일이 발생하면서 종전 보안관리의 한계를 절감했고, 이에 따라 보안강화 필요성이 대두된 것이다.

Q. 보안업무의 체계화를 위해 어떤 노력들을 기울였나.

A. 우선 보안총괄제를 도입해 보안업무에 대한 책임과 권한을 강화했다. 또한, 세부적인 보안규정을 만들어 이를 사규화했으며, 회사 정문을 비롯한 주요 보안구역에 X-ray 검색기 등 물리적 보안 시스템을 도입하고, DRM 등 IT 보안체계 구축도 완료했다. 이와 함께 보안교육과 각종 홍보물 배포를 통해 보안의 중요성을 전 직원들에게 인식시키기 위한 의식전환 활동에 역점을 뒀다. 보안체계가 어느 정도 갖춰진 이후에는 보안담당 조직을 재편성해 법무, 인사, 교육, 총무, 전산 등 지원부서 전체가 보안업무를 수행하는 체계로 개편을 완료한 상태다.

Q. 지금까지 보안강화 작업을 진행해 오면서 아쉬웠던 점은.

A. 새로운 보안체계를 적용하던 초기에는 임직원들의 불만과 반발이 높았던 게 사실이다. 지금은 보안문화가 어느 정도 정착된 단계라고 평가할 수 있지만, 시행 초기 3개월 간은 너무 강력하게 정책을 밀어붙이면서 회사의 비즈니스보다 오히려 보안이 더욱 강조됐고, 이로 인해 업무효율성이 떨어지는 문제가 발생하기도 했다.

서울반도체는 화장실, 휴게실, 미팅 룸 등 사내 곳곳에 보안포스터와 표어가 부착돼 있는 게 인상적이다. 이러한 보안캠페인 활동은 어떻게 진행되고 있나.

보안 시스템을 하나 더 구축하는 것보다 보안포스터나 스티커를 통해 직원들의 보안의식을 높이는 일이 기업보안을 강화하는 데 더욱 효과적이라고 회사 측은 판단했다. 이에 따라 직원들의 아이디어를 모아 포스터를 제작하고, 타사의 기밀유출 사례를 수집해 이를 1~2개월 주기로 사내 곳곳에 게시하고 있다.

Q. 향후 보안업무에 초점을 맞출 부분은.

A. 앞으로는 회사에서 발생되는 출력물의 유출방지에 보다 중점을 둘 계획인데, 이의 일환으로 이미 팩스보안 시스템도 구축 시행 중에 있다. 이렇듯 보안강화 노력은 끊임없이 지속될 것이며, 점차 업무효율을 증대시키는 방향으로 개선해 나갈 생각이다. 또한, 중국공장의 보안체계도 점차 강화해 나갈 방침이다.

[권준 기자(joon@infothe.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)