세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[정보보안도 사람이 먼저다②] 직원의 정보보호 활용능력 중요한 이유
  |  입력 : 2017-10-27 14:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[인터뷰] 김형구 현대백화점그룹 IT실 정보기획팀 전략기획파트 차장
정보보호 활용능력 교재 집필에 참여한 이유는? 결국 ‘보안의 생활화’


[보안뉴스 원병철 기자] 기업의 보안을 책임지는 CISO들과 이야기를 나누다보면 결국 보안의 완성은 사람에게 달렸다는 말을 많이 듣곤 한다. 아무리 완벽한 솔루션을 구축했더라도 사람, 좀 더 정확하게 말하자면 직원이 마음만 먹으면, 혹은 실수를 하게 되면 결국 보안은 뚫릴 수밖에 없기 때문이다.

▲ 김형구 현대백화점그룹 IT실 정보기획팀 전략기획파트 차장[사진=보안뉴스]


이 때문에 CISO나 보안부서는 직원들의 보안의식을 높이는데 다양한 노력을 기울이곤 한다. 보다 많은 직원들이 동참할 수 있게 승진 등 인사에 영향을 줄 수 있는 내부평가로 공포감을 조성하기도 하고, 반대로 금일봉이나 휴가 등을 당근으로 제시하기도 한다. 그럼에도 불구하고 많은 직원들은 보안을 귀찮아하고 업무에 지장을 주는 불편한 것으로 여기고 있다.

그런데 사람들이 막연히 불편해하는 보안을 너무나 자연스럽게 생각하고, 업무를 하는데 있어서 보안을 지키는 것이 당연한 업무의 하나라고 생각하는 직원이 있다면 어떨까? 굳이 CISO나 보안부서가 힘겹게 보안교육을 하지 않아도, 마치 우리가 컴퓨터 활용법을 회사에서 배우지 않아도 자연스럽게 사용하는 것처럼, 보안을 지키는 것이 몸에 밴 직원들이 있다면 말이다.

현대백화점그룹 IT실 김형구 차장은 계열사에서 정보보안관리자 업무를 담당했을때 임직원 교육을 해보면 최소한의 보안의식이 있는 직원들은 같은 교육을 해도 받아들이는 자세부터가 다르다고 말한다.

“기업에 많은 보안정책이나 솔루션이 있지만, 가장 중요한 것은 사람입니다. 저도 1년에 60회 이상의 보안교육을 다니는데, 교육 콘텐츠도 중요하지만 결국 교육을 받는 사람의 의지가 가장 중요합니다. 예를 들면, 사무용 PC의 비밀번호를 자주 바꾸라고 교육을 하면, 대부분 귀찮아합니다. 외우기가 쉽지 않아서죠. 하지만 어느 정도 보안의식이 있는 직원들은 귀찮아도 비밀번호를 자주 바꿉니다. 보안이 중요하다는 인식이 있기 때문이죠.”

이에 김 차장은 기업의 임직원들이 모두 보안에 대한 기본적인 지식이 있고, 몸에 배어있다면 분명 기업에 도움이 될 것이라고 단언한다. “기업 보안에서 보안 솔루션이 많은 부분을 담당하지만, 솔루션도 100%가 아닙니다. 결국 엔드포인트인 PC나 모바일기기가 중요한데, 이건 사용자가 얼마나 보안에 관심이 있느냐에 따라 달라집니다.” 특히, 김 차장은 보안의식은 CISO나 보안부서 직원이 아닌 일반 직원들에게도 필요하다고 강조했다.

김형구 차장이 이번 정보보호활용능력(정활) 표준수험서 교제 발간에 참여하게 된 이유도 그 때문이다. 자격증 시험을 떠나서 최소한의 보안의식을 배울 수 있을 것이라고 생각하기 때문이다. 최근 초등학교를 중심으로 코딩 교육 열풍이 불고 있는데, 같은 이유로 어렸을 때부터 정보보호 활용능력 교육을 받는 것도 좋을 것 같다는 생각이 들었기 때문이다. 특히, 정활 교재에는 ‘보안윤리’가 중요시되는 등 기술보다 윤리를 먼저 배울 수 있어 좋다고 김 차장은 설명했다.

“최근 보안교육들이 기술에 초점이 맞춰져 있는데, 사실 엔지니어가 될 게 아니라면 보안정책이나 보안관리 교육을 받는 것이 더 좋습니다. 오히려 CISO 등 보안을 전체적으로 총괄하는 입장에서는 이러한 부분이 더 중요합니다.”

나름 보안전문가라고 생각했던 김 차장 역시 이번 정활 수험서를 집필하면서 평소 놓치고 있던 점을 발견했다고 털어놨다. PC 비밀번호 설정 관련 부분을 작성하면서 실제로 사용하는 PC의 비밀번호를 설정했는데, 너무나 당연했던 걸 놓치고 있더라는 얘기다. 기초중의 기초지만 이를 차근히 정리하면서 다시 한 번 보안을 돌아보게 됐다고 김 차장은 설명했다.

이에 김 차장은 보안교육을 하면서 직원들이 한 번씩 직접 해보도록 하는 것이 중요하다고 강조했다. 대기업이나 외국계 기업처럼 보안절차나 보안교육 커리큘럼이 체계적으로 갖춰져 있지 않다면, 정활 수험서를 활용하는 것도 좋을 것 같다고 그는 덧붙인다.

“실제로 위탁업체에 보안교육을 다니다보면 너무나 당연하다고 생각했던 PC 백신이나 비밀번호 설정, 운영체제 등 소프트웨어 업데이트 등 기본적인 것이 잘 안 되어 있는 경우가 많습니다. 요즘 기업의 보안교육 상당수가 온라인으로 진행되는데, 사실 맹점이 좀 있죠. 무엇보다 직접 한 번 해보는 것이 정말 큰 도움이 될 겁니다.”

아무리 효과적인 보안체계나 솔루션을 갖춰도 100% 안전하다고 할 수 없지만, 여기에 사람의 의지가 포함된다면 100%에 근접할 수 있을 것이라고 설명하는 김 차장. 정활이 ‘보안전문가’를 키울 순 없어도 ‘보안의 생활화’는 이룩할 수 있다고 자신했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)