모든 보안요소 효과적으로 믹스해야 진정한 기업보안체계 가능

CSO는 모든 위기로부터 회사 자산 지키는 임원 보안관

최근 개인정보 유출, 이집트 폭발물 테러, 경주 리조트 붕괴사고 등 보안·안전사고가 연이어 발생하는 상황에서 수많은 임직원들을 책임지고 있는 기업 경영진과 보안책임자들과 함께 보안·안전사고를 최소화할 수 있는 방안들에 대한 고민이 필요한 시점이다. 글로벌 자동차 회사인 한국지엠에서 보안책임자가 근무한 바 있고, 현재는 미국산업보안협회(ASIS International) 한국지부 사무총장을 맡고 있는 백봉원 총장이 이러한 고민에 대한 명쾌한 해답을 제시한다.

백 봉 원 │ ASIS International Korea Seoul 사무총장 (jhpaik100@daum.net)

Wikipedia 백과사전에 의하면 “CSO(최고보안책임자, Chief Security Officer)는 Security에 대한 기업의 최고책임자를 말한다. CSO는 개발, 구현, 조직의 회사 보안 비전에 대한 관리, 전략과 프로그램에 대해 책임지는 비즈니스 리더로서의 역할을 수행한다. Risk를 예방해 위험을 경감시키고, 사고에 대응하며, 재무적·물리적·인적 위험에 대한 모든 분야에서 유출될 수 있는 경향을 감소하기 위해 조직에 걸쳐 보안 프로세스를 식별·개발하고, 구현하고 유지하는 일에 대한 직접 명령권자이다. 그들은 지적인 자산에 관련된 적합한 표준과 위험 통제들을 수립한다. 그리고 자료 보안과 관련된 정책과 절차의 수립과 구현을 명령한다”라고 정의하고 있다.

CSO는 회사 자산을 지키기 위한 보안관

CSO를 한마디로 표현하면 기업체의 모든 위기로부터 회사의 자산을 지키는 임원급 경찰관, 보안관이다. 기업체 임원들의 신변 경호나 건물·시설에 대한 보안 확보는 물론이고 위기관리, 컴퓨터 및 정보의 디지털 보안 업무와 조사, 수사업무까지 책임질 수 있는 자리이며, 그 모든 업무를 수행하기 위해 다양한 분야에서의 경험이 요구되고 있으며 분석력과 통찰력에 리더십을 갖추어야 한다.

조사기관인 ‘크리스찬&팀버스’가 몇 해 전 390개 기업체를 대상으로 설문 조사한 결과 95%가 CSO를 필요로 한다고 응답했다고 뉴욕타임스(NYT)가 보도한 바 있다. 이렇듯 기업체마다 헤드헌터를 통한 인력 스카우트를 추진하고 있으나, 문제는 헤드헌터 회사들조차 기업체가 바라는 이상형의 CSO를 구하기가 쉽지 않다는 것이다. 기업체 수요에 비해 사람이 턱없이 부족한 새로운 업종이다 보니 CSO 임원의 연봉이 연 40만 달러(한화 5억원 상당)를 호가한다고 NYT는 전했다.

사실 CSO는 9·11 테러 이후 전면에 부상했기 때문에 자원 인력이 많지 않은 것이다. 전 세계에 4만 5000명의 회원을 거느린 미국산업보안협회(ASIS)도 CSO 직위에 적합한 자격요건과 취급 업무를 지속적으로 연구하고 있는 중이다. 국내에 진출하고 있는 외국계 기업들도 이러한 CSO 또는 Security Manager들을 찾고 있으나 쉽지 않아 영어를 하는 인원을 뽑아 내부에서 자체 교육시키는 형태로 운영하고 있는 실정이다.

우리나라 국내 기업의 경우에는 대다수가 Security Concept(개념)의 이해 부족으로 CSO를 한 임원/부장급이 겸직하는 실정이며 그나마도 정보보안과 인력경비, 기계경비 정도의 협의의 개념의 Security 관리 업무 정도를 수행하는 곳이 대부분이다. CSO를 여러 업무의 하나 정도로 치부하고 있으며 외국기업의 CSO 업무에 10%에 불과할 정도의 제한된 업무 권한을 가지고 있어 명목상 CSO 제도를 운영한다고 봐도 무방한 상황이다.

정부에서 추진되고 있는 보안책임자 관련 정책도 마찬가지다. 금융감독원은 기업에 앞서 자산유출 방지를 위한 보안대책을 내놓은 핵심기술 보유기관의 보안 강화를 위해 CISO를 지정하기로 하고 방통위도 통신 분야 대기업을 중심으로 CISO(Chief Information Security Officer)를 의무적으로 선임토록 추진하는 계획을 추진하고 있는 것은 일단 환영할 만한 일이다.

정부의 CSO 제도 시행, 성과는 의문

그러나 이 역시 정보보안 측면의 접근이라는 점에서 CSO라는 큰 틀의 차원이 아닌 ‘한계를 가진 Security 접근’이라는 생각이다. 안전행정부 유정복 전 장관은 지난해 재난과 안전사고 발생 가능성이 높은 산업단지 등에 안전책임관(CSO, Chief Security Officer) 제도를 시행할 것이라고 밝혔다. 재난과 사고를 통합·관리할 수 있도록 각 시·도에 CSO를 임명해 책임성을 분명히 하고 재난 업무를 전체적으로 살펴볼 수 있도록 하며, 지자체, 환경부 등 유관기관과 연계해 상황 발생 땐 신속히 초동대응에 나설 수 있도록 한다는 것이다.

또한 유 전 장관은 “안행부에도 CSO관리관을 두겠다”고 언급하기도 했다. 이는 ‘재난 및 안전관리 기본법’ 일부를 ‘중앙행정기관 및 지자체에 안전책임관(CSO)을 두어 책임성을 강화하고 재난업무를 담당하는 공무원, 정부투자기관 등 종사자 전문교육이수를 의무화함으로써 전문성을 강화하는 방안이라고 할 수 있다. 이에 재난안전 총괄·조정 기능을 강화하도록 법 개정이 진행돼 지난해 6월 27일 국회를 통과한 이후 6개월간의 유예기간을 거쳐 올 1월부터 본격 시행되고 있다.

이는 향후 Security의 발전이라는 측면에 매우 긍정적인 방향임에 틀림없다. 그러나 다른 한편으로는 CSO 개념을 완전히 이해한 상황에서 제도화하는 것인지에 대한 의문은 가지고 있다.

Security에 대한 확실한 개념 정립 필요

위 진행사항을 보듯이 세계 변화에 발맞춰 Security 분야의 발전을 위한 여러 노력들이 추진되고 있으나, Security라는 것에 대한 개념이 확실히 정립되어 있지 않다 보니 서로 다른 부처에서 해당 분야 역할을 위한 업무의 ‘원 오브 뎀(One of Them)’ 처리 방식으로 각각 별도로 움직이고 있는 상황이다.

우리나라도 Security의 개념을 각 조직, 기업들이 각종 도난, 화재 등의 사건뿐 아니라, 지진, 방사능유출, 수해 등 각종 리스크와 관련해 사전, 사후에 어떤 조치가 필요한 것인지에 대해 대처할 수 있는 종합적인 관리가 필요하다. 각 조직과 단체, 기업들은 이러한 업무를 수행할 수 있는 보안조직을 두어 사내부정행위, 비리 등의 조사활동, 위조품 유통, 산업기밀 유출사고와 관련해서도 하나의 부처, 조직에서 활동할 수 있도록 해야 한다.

아울러 이런 포괄적인 Total Security 개념을 도입함으로써 Security 의식을 높여 사회 전반적인 리스크를 감소시킬 수 있다. 또한, 인력경비, 기계경비 분야를 비롯해 위기관리, Risk 예방, Investigation 등 다양한 분야에서 비즈니스 측면에서의 연구개발을 통해 Security 업계에 한 단계 질적 업그레이드도 꾀할 수 있다. 이렇듯 다양한 사업구조의 틀을 갖추어 매출 증대를 추구할 수 있게 하고 나아가 Security 분야를 공부하고 있는 관련학과 학생들에게도 다양하고 부가가치 있는 취업의 길을 제시할 수 있게 되는 것이다.

이것이 창조가치, 창조경영, 4대악으로부터의 안전 추구, 일자리 창출이라는 정부 정책에도 부응할 수 있는 길이라는 점을 강조하고 싶다.

세계 속 기업보안은 리스크로부터의 안전을 의미

정부에서는 창조경제, 안전 강화를 4대악(성폭력, 가정폭력, 학교폭력, 불량식품)과 더불어 강조하고 있다. 이런 정책 기조에 부응하고 국가, 기업, 국민의 보안관련 의식을 향상시킬 수 있다는 차원에서 ‘기업보안(Corporate Security, Total Security)’의 도입은 매우 중요한 사안중의 하나라고 볼 수 있다.

Corporate Security 분야는 선진국에서는 국민소득 25,000~30,000달러 수준에 도달한 시점에 급속히 발전해 온 것으로 분석되고 있으며, 특히 포춘지가 선정한 500대 외국의 선진 기업들은 Corporate Security, Security Team, 또는 그와 유사한 조직과 CSO(Chief of Security Officer)를 두어 전체 리스크를 예방하고 관리하도록 하고 있다. 우리와 같이 인력경비, 기계경비, 정보보안 시스템에 초점을 맞추어 Security를 접근, 운영하는 방식이 아닌 ‘전체적인 리스크 관리’라는 차원에서 중점을 두고 Security의 조직을 운영하고 있다는 것이다.

외국의 기업 슬로건 중에 ‘가장 중요한 기업 목표 중 하나는 모든 위기 상황에서 직원, 고객 그리고 일반 대중의 안녕 및 안전을 가능한 한 최대로 보장하여 주는 것(Our paramount corporate objective in all crises is to ensure to the extent possible the safety and security of its employees, customers and the general public)’이라는 내용은 우리나라 기업들도 눈여겨 볼만한 문구이다.

‘Security’라는 말을 영한사전을 찾아보면 보안, 안전, 경비 등으로 기술하고 있다. 반면에 영영사전을 찾아보면 Security의 해석을 ‘The state of being free from danger or injury, Freedom from danger, fear or anxiety’ 등으로 기술하고 있다. 즉, 위기(危機), 위험(危險), 위해(危害), 공포(恐怖) 등으로부터 자유를 얻는 것으로, 리스크로부터 안전(安全)을 얻는 것으로 해석하고 있는 것이다.

해외 선진 기업에서도 Security의 정의를 ‘기업에 있어 최선의 Security 서비스, 리스크 예방, 수사 및 조사 활동을 제공하는 전사적 지원(Provide a single source of best-in-class risk prevention, investigation, and security services in support of the enterprise)’으로 정의하고 있다.

경비 개념을 넘어 종합적인 리스크 관리 필요

우리나라도 이제는 ‘시큐리티’라는 개념을 경비, 정보보안의 차원을 넘어 각종 사건, 각종 재난재해와 관련하여 사전, 사후에 어떤 조치가 필요한 것인지에 대하여 대처할 수 있는 종합적인 리스크(Risk) 관리가 필요하고 별도의 조직이 있어야 한다.

대부분의 회사가 ‘현재 잘 진행되고 있는데, 굳이 시큐리티 조직을 두어야 하나?’ 라는 의문을 가질 수 있지만, 사실 기업 내 이러한 조직의 구성만으로도 사내활동을 통한 직원 Security Concept(의식) 고취를 통해 각종 리스크를 예방하고 사건사고를 미연에 방지할 수 있다는 것은 실제 업무를 접하면서 많이 느꼈다. 아마도 선진 기업들이 Total 개념의 ‘Security 조직’을 운영하는 것도 여러 시행착오를 거쳐 결국은 그 필요성을 느꼈기 때문일 것이라고 생각한다.

Corporate Security는 종합적이고 전문적 과정이며, 업무 중 가장 중요한 핵심은 리스크 관리이다. 리스크 관리에 있어 가장 중요한 것은 예방(Prevention)이다. 그리고 사고가 발생했을 때 어떻게 적절한 대응을 할 것인가 하는 비상대비계획(ERP, Emergency Response Plan)과 사고 후, 비즈니스를 지속할 수 있는 사업의 사업연속성계획(BCP, Business Continuity Plan)을 기업은 사전에 준비하고 있어야 한다. 결국 Corporate Security를 한마디로 요약한다면, ‘외부의 위해, 위협이 되는 요인(要因)으로부터 회사의 인적, 물적을 포함한 모든 자산(資産)을 보호하기 위한 모든 활동을 하는 것’이라 정의할 수 있는 것이다.

Risk Management를 포함한 포괄적인 Total Security 개념의 도입 시급

한편, 국내 Security 업계의 비즈니스 상황을 본다면 ‘한계점에 다다르고 있다’라고 해도 과언이 아니다. CCTV, ACS 등의 관련 IT 인프라 분야는 이미 포화상태이며, 용역 인력경비 분야에서도 필요 기업들의 미흡한 Security Concept, 예산문제 등 이유로 인력경비 업계의 매출증대는 점점 기대하기 힘든 상황이다. 이런 한정된 범위에서 관련 업계 간의 과당경쟁은 비용경쟁으로 이어져 결국 Security Service의 질적 하락이 야기되는 좋지 않은 악순환이 반복되고 있다.

이런 상황에 Risk Management를 포함한 포괄적인 Total Security 개념의 도입은, 인력경비, 기계경비분야는 물론 Crisis management, Tracking System, Investigation 등 다양한 분야의 도입·확대를 통해 Security 업계의 질적 확대와 매출 증대를 기대할 수 있게 되는 것이다.

[월간 시큐리티월드 통권 제207호(sw@infothe.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)