국가 핵심기반산업을 보호하라!

반도체. 사실상 지금의 대한민국을 있게 한 주요 원동력 중의 하나이자, 빼놓을 수 없는 국부(國富) 중의 하나. 국가에서 적극 육성하는, 아니 적극 육성할 수밖에 없는 핵심 중의 핵심사업이다.

때문에 이곳의 보안에 대한 관심은 일반인들의 상상을 뛰어넘는다. 기자생활을 하면서 참으로 다양한 형태의 기업을 취재할 기회가 주어지지만, 반도체와 같은 산업체를 찾아가는 것은 여간 꺼려지는 일이 아니다. 도대체 뭔 규제가 그리도 많고, 거쳐야 할 성가신 절차는 그리도 많은지. 하지만 어쩌겠나. 이런 곳의 보안수준을 소개하는 것이 기자가 먹고 살 수 있는 길인 것을.

반도체 생산산업은 크게 메모리와 비메모리 분야로 나눌 수 있다. 삼성, 하이닉스 등에서 생산하는 주요 반도체가 메모리고, 이번 호에 소개할 동부아남반도체에서 생산하는 주요 반도체는 비메모리다. 비메모리 분야는 대부분 수탁생산 판매형태를 띤다. 고객의 주문을 받아서 양질의 비메모리 칩을 생산해내는 것이다.

그럼 이같은 반도체 산업에서 가장 중요하게 보호해야 할 정보에는 어떤 것들이 있을까. “우선, 반도체 도면정보나 공정기술 같은 핵심정보들이 있을 수 있습니다. 또한, 수탁생산 형태인 비메모리의 특성상 고객의 정보 또한 보호해야 할 중요한 정보가 될 수 있죠. 특히, 공정기술의 경우 국가핵심기술이기 때문에, 해외 경쟁업체 등에 유출이 되지 않도록 각별히 신경을 써야 합니다.” 동부아남반도체 데이터센터에서 보안을 책임지고 있는 김도형 대리는 말한다.

동부아남반도체는 정보보호팀이 별도로 없는 특이한 형태를 띠고 있다. 대신 지원부서 보안담당자가 각 공장별로 존재하고, 전산보안은 IT 전략부서에서 정책적인 부분을 결정하며, 동부정보기술 데이터센터에서 보안 시스템을 운영하면서 상호 유기적인 협력체계를 구축하고 있다.

“유행을 따를 게 따로 있죠, 보안은 아니예요”

이들의 보안에 있어 가장 큰 특징으로 규정지을 수 있는 것은 뭐니 뭐니 해도 ‘냉정하자’라는 캐치프레이즈다. 즉, 유행 또는 근거 없는 이슈에 따라 이것 저것 마구잡이로 도입해 관리도 못한 채 방치하느니, 하나를 사더라도 철저한 관리가 이루어질 수 있는 솔루션을 산다는 것. 김도형 대리는 “광고나 유행에 따라서, 또는 주변의 분위기에 휩쓸려 무조건 보안 솔루션을 도입하는 것은 잘못됐다고 봐요. 요즈음은 IPS가 유행이더라, 또는 ESM이 유행이더라는 식으로 무조건 따라가는 것은 예산낭비를 초래할 가능성이 크고, 도입한다 해도 관리 포인트만 많아질 뿐이죠”라고 말한다. ‘당연한 것’아니냐고 되물을 독자들이 있을지 모르겠다. 그렇다. 하지만 ‘말’은 당연하되, ‘실천’은 결코 당연하지 않다. 이들이 돋보이는 이유가 바로 그 ‘실천’에 있다.

이들이 보안 솔루션 도입에 앞서 반드시 검토를 거치는 세가지 항목이 있다. 하나는 앞서 언급한 ‘필요성’이고, 둘째는 투자대비효과다. 하지만 원하는 기능을 모두 갖췄으면서도 비용은 적게 드는, 무조건 도입비용이 적게 드는 솔루션을 찾는 것이 아니라, 연간예산을 고려했을 때 유지보수 내용에 따른 유지보수 비용까지 염두에 두고 예산에 가장 적합한 솔루션을 찾는다는 얘기다. 여기에 요즘같이 보안담당자의 관리 포인트가 점점 많아지는 환경에서 필수적으로 요구되는 관리의 편의성 또한 이들의 주요 체크 사항이다.

<동부아남반도체 보안담당자 김도형 대리>

눈 앞이 캄캄했던 기억

동부아남반도체의 보안을 책임지고 있는 김도형 대리는 실시간 모니터링이 필요한 시스테의 경우 잘 보이는 모니터에 띄워놓고 항상 모니터링을 한다. IDS는 당연하고, 이외에도 중요 시스템에 대해서는 Syslog를 통해 모니터링을 한다. 중요 유닉스 서버는 물론, 방화벽 및 VPN 장비 등도 그의 책상에서 모니터링이 가능하다. ‘책상 위의 보안관제센터’를 만들어 놓은 셈이다.

어느 기업이나 그렇듯, 이들에게도 경영진을 설득하는 일은 결코 쉬운 일이 아니었다. 경영진이 전산실무자도 아니었고, 또 전산에 대한 지식도 그리 많지 않았기 때문에, 보안 쪽의 투자는 그만큼 어렵기만 했다.

그러나 이후 전산 전문지식을 보유한 CIO의 영입과 함께 분위기는 급변했다. 보안의 중요성을 충분히 인식하고 있는 CIO의 방침에 따라 필요한 보안 솔루션의 도입이 순차적으로 이루어지기 시작했고, 올해도 다양한 보안 솔루션의 구축 프로젝트가 예정되어 있다.

이와 관련해 김도형 대리에게는 웃지못할 추억이 하나 있다. “회사에 보안 솔루션이라고는 방화벽 정도가 고작이었던 시절, IDS가 반드시 필요하다는 생각에 IDS 도입 제안서를 만들어 경영진 앞에서 프리젠테이션을 할 기회가 있었어요.”

보안담당 보직을 맡은 이후 경영진 앞에서의 첫 프리젠테이션이었단다. 얼마나 긴장되고 떨리는 순간이었겠나. “한참을 나름대로 조리 있게 설명했다고 생각했는데, 윗분들은 서로 마주보며 ‘저게 뭐지’라는 표정이었어요. 오히려 방화벽만 있으면 다 된 거 아니냐며 되묻는 분도 있었죠. 눈앞에 캄캄해지더군요.”

하지만 끈질긴 설득 끝에 경영진을 이해시키면서 IDS의 도입이 가능해졌고, 이후에는 1년에 1~2개의 추가 솔루션 도입예산이 따로 편성되고 있을 정도로 상황이 호전되기에 이르렀다.

“보안을 혼자서 한다는 건 말도 안되는 일이죠”

앞서 언급했듯, 별도의 정보보호팀이 없고 지원부서 보안담당자가 각각 존재하는 상황에서, 동부아남반도체의 정보보호 시스템 운영에 있어 가장 중요한 것은 각 시스템 운영자들 및 애플리케이션 담당자들과의 긴밀한 협조체계 구축이다. 각 시스템에 문제가 발생할 경우 해당 시스템의 담당자가 문제발생 사실을 모든 담당자들에게 알리고, 그 즉시 담당자들이 머리를 맞대고 문제해결에 나선다. 일종의 보안 TFT가 수시로 구성되고 있는 것이다.

이렇게 수시로 구성되는 동부아남반도체의 보안 TFT는 부서별 보안담당자로 구성되어 평소에는 부서원의 보안교육을 수행하고, 긴급한 보안관련 사고 또는 이슈가 발생할 경우 IRT(Incident Response Team)으로 변모해 보안문제를 적극 해결해나가고 있다. 보안 TFT의 장은 당연히 경영진이 맡는다. “보안을 혼자서 한다는 건 말도 안되는 일이잖아요.” 오랫동안 꿈꿨던 보안 TFT의 본격적인 활동을 눈앞에 두고 있는 김 대리는 웃으며 말한다.

이들에게는 일반적인 보안 시스템 운영보다 더 중요한 것이 있다. 반도체 관련 산업분야에서 발생했던 보안사고 중 외부로부터의 침투로부터 야기된 사고는 그다지 많지 않았다. 오히려 내부로부터 야기된 사고가 절대 다수를 차지했던 것이 사실. 따라서 외부로부터의 침투를 막을 수 있는 보안 솔루션의 운용도 물론 중요하지만, 이들이 더욱 중요하게 생각해야 하는 것이 바로 내부로부터의 정보유출 차단이다.

충분한 설명과 사전 공지, 직원들과의 마찰 최소화

때문에, 동부아남반도체 건물 내부에 존재하는 모든 PC나 노트북에는 컴퓨터라면 으레 있어야 할만한 것이 눈에 띄지 않는다. DVD 롬이나 라이터는 물론이고, USB 저장장치, 플로피 디스크, 심지어는 CD 라이터도 없다. 중앙관리가 가능한 기업용 PC 보안 솔루션은 기본적으로 구비되어 있고, 모든 반출입 물품들은 철저한 신고과정을 거쳐야 한다.

특히, 협력업체 인력이 노트북을 반입할 경우에는 PC 보안 프로그램을 의무적으로 설치해야 한다는 규정을 두고 있으며, 반출시에도 검사를 거쳐 이상이 없을 경우에만 반출이 가능하다. 뿐만 아니라, 메신저나 P2P는 원천적으로 차단이 되고, 웹메일이나 웹하드 등 정보유출의 가능성을 열어두고 있는 모든 웹사이트도 차단된다.

보안이 강화되면 강화될수록 사용자들이 접근할 수 있는 영역이 줄어드는 것은 사실이다. 그렇다 치더라도 때론 조금은 답답하지 않을까. 일반직원들로서는 당연히 답답해할만한 일이다. 또 그에 따른 원망은 고스란히 보안담당자들이 감당해야 한다. 어딜 가나 불쌍한 우리 보안담당자들이다.

“이것이 회사의 정책이라면, 회사에 소속된 구성원으로서 따르는 수밖에 없죠.” 김 대리는 말한다. “회사의 정책이라고 적극적으로 설명을 하면 대부분 수긍을 해줍니다. 때문에 직원들과 심각한 마찰이 생겼던 기억은 거의 없어요.” 실제로 이들은 인트라넷을 통해 보안에 관한 회사의 정책이 새로 나올 경우 충분한 기간을 두고 미리 공지를 함으로써 불필요한 마찰이 생길 수 있는 소지를 애초에 최소화시킨다.

모든 임직원들이 동참해야 진정한 기업보안

보안은 어렵다. 잘해도 티가 안난다. 사실 가장 티가 안나게 하는 것이 가장 보안을 잘하는 것이다. 그래서 모든 보안담당자들은 외롭고 힘들다. 김도형 대리가 힘들어 하는 부분 또한 마찬가지다. “보안은 잘하면 아무 티가 안나지만, 자칫 보안사고 발생시 보안담당자의 책임소지가 엄청나게 크죠. 보안은 모든 임직원이 참여해야 어느 정도의 수준을 확보할 수 있는 것임에도 불구하고, 사실상 모든 책임이 보안담당자에게 전가되고 있어요. 인식의 전환이 반드시 필요한 부분이죠.”

보안은 보안담당자만의 일이 아니다. 보안담당자는 자사의 정보를 어떻게 보호해야 될 것인가에 대해 전력을 다해 고민해야 할 것이고, 경영자는 보안담당자의 의견에 귀를 기울이고 최대한으로 지원해야 하며, 직원들은 보안의식을 가지고 보안을 생활화해야 할 것이다. 성공적인 보안은 모든 임직원들이 함께 참여해야 이루어질 수 있다고 김도형 대리는 굳게 믿고 있다.

[정보보호21c(is21@infothe.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)