조직의 가치를 지키는 보안 이야기

정연욱 KESL 대표, <기업 경호 사용설명서>

경찰관으로 오래 살아오면서, '문서 보안', '정보보안', '경호 경비', '보안 부서' 등의 단어, 직무, 부서들이 가까이 있었다. 달갑거나, 즐겁지 않고, '귀찮고', '재미없음', '왜 하는지 모르겠다'는 고정관념이 있었다.

그런 관념을 깨 주고, 조직의 보안에 대한 신선한 시각과 배움을 준 책을 읽었다.

유수의 기업에서 보안책임자로 일했고, 현재는 보안 업체 <엔터프라이즈 시큐리티 랩>을 운영하고 있는 정연욱 대표님의 책, <기업 경호 사용설명서>이다.

기업의 경호, 경비, 보안, 이라는 단어에서, 경영진에 대한 경호, 의전, CCTV와 접근 제어와 같은 물리보안을 떠올린다. 기업의 보안이란 몇 가지 개념에 한정하지 않고, '리스크 매니지먼트', '위험 관리'라는 라는 종합 개념이다. 조직이 가진 가치를 지키고 키우기 위해서 그 가치를 위협하는 위험을 대응하는 총체적 활동이다. 조직이 가진 '자산', 자산에 대한 '위협', 위협에 대한 '취약성'이 위험 관리의 3요소이다.

단순히 CCTV를 달고, 대표를 몸으로 경호하는 것에 국한하지 않는다. 예를 들어 조직의 문화를 건전하게 유지하고, 갈등으로 인한 내부 정보 유출이 일어나지 않게끔 하는 것도 큰 틀에서의 보안에 해당한다.

예전 대기업 보안 부서로 전직한 경찰 동료와 '당신이 그 회사에서 어떤 일을 하세요?'라고 문답했다.,

"음.. 임원들 움직일 때 경호하고,," "음, 그건 경찰에서 경호이네요"

"중요 시설에 대한 시설 경비하고,,", "그건 경비 맞네요"

"내부에서 사고 터지면 조사도 해요", "응? 그런 우리 회사 감찰이네요? 우리 회사 있을 때 한 일들하고 큰 차이가 없네요"라고 웃었던 적 있다. 이 책에 맞춰보니, 그 이의 부서가 '종합 보안'부서였던 것이다.

책이 소개하는 보안 책임자의 역할은 조직의 보안 정책과 절차를 규정하고, 위기관리와 비상계획을 수립하며, 물리보안과 정보 보안을 운영한다. 내부 보안 교육을 책임지고, 협력사의 보안체제를 컨설팅하며 사건사고를 관리하고 조사한다. 이러한 보안 시스템은 CCTV, 지문인식기, 출입통제장치 등과 같은 제품이나 정보화 시스템만을 의미하지 않는다. 그 제품, 시스템을 운영하는 조직의 절차, 규약, 체제를 의미한다.

글로벌 기업 딜로이트의 최고 보안책임자(CSO)였던 에인 슬라는 미국 정보기관에서 대테러 경력을 쌓은 전문가이다. 에인 슬라는 여러 부서와 전 세계 지부들과 의사소통, 협력하고, 인적-정보 자산을 관리하며 요소들에 대한 리스크를 평가하며 이에 대한 법률 업무도 책임진다. 에인 슬라는 매주 딜로이트의 경제적, 지정학적 환경을 분석해서 위험을 평가해서 경영진에 보고한다. 이러한 딜로이트의 위험 관리 체제는 쓰나미 사건 등 세계적 위기에서 딜로이트의 피해를 최소화시켰고, 위기를 회복하고 복원력을 가지게끔 했다.

위험 관리 체제를 갖추는 것은 환경 변화에 필요하다. 세계적 대기업의 영향력과 자원 집중은 어지간한 국가를 능가하고 있다. 인간의 사회적 활동이 복잡해지면서 집단의 활동이 새로운 가치를 만들어 성장하고 무너지기도 한다.  사회의 갈등과 이익의 분쟁은 여전하다. 납치, 청부살인과 같은 전통적 위험은 여전하고 사이버테러, 해킹과 같은 사이버 위험, SNS를 앞세운 인적사항 도용과 사칭을 이용한 정보 유출 시도도 많아졌다. 물리력을 통한 전쟁은 줄었더라도, 이를 대체한 사회적 권력 쟁투, 평판에 대한 침해, 흠집 내기, 수사기관을 앞세운 제압 등이 현대 사회의 기업, 조직을 둘러싼 위험이기 때문이다. 이런 환경에서 보안 책임자는 환경을 냉정하게 평가해서 조직을 지키고 성장시킨다. 보호할 대상을 이해하고, 주변을 우호적인 사람들이 둘러싸도록 하며 주변의 정보를 모아 대응하는 활동이 갖춰야 할 역량이다. 몸으로 막아내는 보디가드가 아니라, 발 빠른 움직임, 먼저 조사하는 계획성, 관찰력, 소통능력을 필요로 한다.

이런 보안 활동은 수요가 늘어날 것이다. 대기업은 자체 보안 조직을 갖출 수 있지만, 중소기업은 필요성에도 불구하고 갖추기 어렵다. 신뢰할 수 있는 보안 헤드헌팅 업체와의 연계와 신뢰관계를 키워갈 수 있는 체제를 구상할 수 있다. 일종의 사회적 관계망을 활용한 보안 플랫폼이다. IT와 전현직 경찰을 연결해서 사회적 활동을 만드는 상상을 해봤다. 내가 배운 경찰 경험이 사회와 조직을 위해 가치 있는 경험임을 새삼 일깨워 준 좋은 책, 만남이었다.