네이버 정보보호실 황정아 부장이 말하는 관리보안 방법 5가지
보안은 재미있게(Enjoy), 낡지 않게(Newest), 꾸준하게(Steady)

[보안뉴스 민세아] 과거에는 전산팀의 일부 역할이었던 보안이 이제는 보안담당자, 보안팀의 형태로 나타나기 시작했다. 보안담당자는 마땅히 자신의 할 일을 하는 것이지만, 보안담당자의 힘이 커지기 시작하면서 임직원들에게는 보안담당자가 그저 자신의 일을 방해하는 귀찮은 사람으로 인식되어 버리는 경우도 적지 않다.


지난 8월 31일까지 열린 국제 사이버 시큐리티 컨퍼런스(ISEC 2016)의 둘째날 키노트 스피치에서 나선 네이버 황정아 부장은 ‘기업의 정보보호, 뭣이 중헌디!’를 주제로 기업 보안담당자로 지내면서 느낀 점을 솔직하게 밝히고, 효과적인 관리보안 방법 5가지를 소개했다.

황 부장은 임직원들이 보는 보안담당자에 대해 “어려운 말 쓰는 사람들, 무서운 사람들, 고지식하고 융통성 없는 재미없는 사람들이라는 인식이 강하다”며, 이러한 인식을 바꾸기 위한 방법으로 ENS 원칙을 제시했다. ENS 원칙이란 재미있게(Enjoy), 낡지 않게(Newest), 꾸준하게(Steady) 업무를 수행해야 한다는 원칙이다.

황 부장은 ENS 원칙에 따른 관리보안 5가지 방법인 보안정책, 보안교육, 홍보, 캠페인, 수시피드백에 대해 설명했다.

우선, 보안담당자는 보안정책이 왜 필요한지 스스로 생각해볼 필요가 있다. 보안정책은 온전히 직원들을 위한 정책서가 되어야 하며, 임직원들이 준수해야 하는 사항들을 보안 정책서에 잘 녹여내야 한다. 네이버도 초창기에는 보안정책이 단순히 두꺼운 문서로 되어 재미없고 읽기 싫은 형태로 존재했지만 언어를 순화하는 작업부터 시작해 오늘날의 쉽고 알찬 보안정책서가 만들어졌다는 것이다.

네이버는 보안정책서의 명칭을 ‘전산시스템 보안관리지침’에서 ‘생활보안지침’으로 바꾸고, 바로 표지를 넘기면 본론을 바로 볼 수 있도록 구성했다는 것. 또한, 종이문서 형태에서 온라인 문서화 시키고 정책 업데이트도 꾸준하게 진행되도록 했다. 이와 함께 현재 실정과 맞지 않은 지침이 남아 있으면 문제가 되기 때문에 보안정책 담당자가 최소 한달에 한번씩 정책을 읽어보고 업데이트 하고 있다는 설명이다.

황 부장은 “보안정책서는 단순한 페이퍼가 아니라 보안담당자 업무의 근간이다. 보안담당자들이 정책서를 알기 쉽게 잘 만들어 직원들이 실천할 수 있도록 하는 것이 중요하다”고 강조했다.

두 번째로 황 부장은 효과적인 보안교육을 위해 같은 내용도 새롭게 반복하라고 전했다. 보안담당자 입장에서 보안교육 자료를 만드는 것은 부담스럽고 어렵지만, 보안이라는 컨텐츠 자체가 보안전문가가 아닌 일반인들에게는 지루하고 재미없고 관심도 없는 분야이기 때문에 같은 내용도 새롭게 느끼도록 현혹시켜야 한다는 얘기다.

네이버의 경우 내부 임직원들의 보안수준 향상을 위해 보안담당자는 연도별 보안교육 주제를 관리해 중복을 방지하고, 그 해의 가장 핫이슈를 다룬다.

주로 온라인 교육을 진행하지만, 온라인 교육은 제대로 교육됐는지 확인하기 어려운 문제가 있어 가끔씩은 오프라인 교육도 필요하다는 게 황 부장의 설명이다. 유명 보안전문가를 초빙해 강연을 듣거나 보안담당자가 직접 주간회의 시간에 찾아가서 10분 정도 중요 메시지를 전달하는 등의 노력을 하고 있다. 또한, 보안교육 컨텐츠에 직원들을 참여시키면 더욱 교육 효과가 뛰어나다고 밝혔다.

황 부장은 보안교육을 위해 만든 동영상을 구내식당이나 카페테리아 등에서 재생시켜 임직원들에게 노출시키고 있다고 전하며, “대부분의 보안사고는 인식 부족에서 비롯되기 때문에 보안담당자는 사명감을 가지고 보안교육을 해야 한다”고 당부했다.

세 번째는 보안정책과 보안교육의 압축판이라고 할 수 있는 ‘보안 홍보’다. 시스템에 변화가 생겨 보안공지를 하더라도 딱딱한 말투를 사용하기보다 임직원들에게 친근하게 다가갈 수 있도록 재미있게 보안공지를 올린다는 것.

뿐만 아니라 웹툰 형태의 가이드를 통해 핵심 내용을 효과적으로 전달할 수 있게 하고, 포스터를 부착해 보안수칙을 숙지할 수 있도록 하거나 보안수칙 중 중요한 핵심수칙만 골라 소책자로 제공하고 있다. 황 부장은 “홍보를 잘 해야 보안담당자가 당당해질 수 있다”고 덧붙였다.

네 번째 방법은 캠페인으로, 임직원이 재미를 느껴 스스로 참여하도록 하는 게 중요하다고 강조한다. 네이버에서는 매달 다른 방식의 보안과 관련한 캠페인을 진행하고 있으며, 참여자 중 우수자에게는 선물이나 보안 마일리지를 주고 있다. 연말에 보안 마일리지가 가장 높은 사람에게 큰 상품을 증정하기도 한다.

이와 함께 보안수칙을 잘 지킨 팀을 선정해 깜짝 선물을 증정하기도 하며, 보안 우수조직을 선정해 전사에 공개하고 상품을 지급하기도 한다.

얼마 전 최대 200만원 상금규모의 보안 UCC 공모전을 열었는데, 참여율도 높았고, 공모작의 수준도 상당히 우수했다는 설명이다. 이러한 공모전의 경우 직접 공모작을 만들면서 보안에 대해 공부할 수밖에 없기 때문에 임직원들에게 보안의식을 심어주는데 매우 효과적이라는 것. 황 부장은 “보상이 클수록 참여율이 높기 때문에 경영진을 잘 설득해 관련 예산을 책정하는 것이 매우 중요하다”고 전했다.

마지막으로는 ENS 원칙에 맞게 보안팀이 항상 지켜보고 있음을 임직원들이 느끼게 해야 한다는 것이다. 일명 ‘수시피드백’으로, 예를 들어 임직원이 대외비 메일을 사내 메일이 아닌 외부 메일로 발송하는 등 보안수칙에 어긋나는 행동을 하는 경우, 보안담당자가 해당 행동에 대한 소명을 요청하고, 소명 내용에 따라 보안교육을 실시하거나 징계를 내리게 된다.

또한, 개인정보 조회가 갑자기 많아지거나 조회 패턴이 달라지는 경우 이에 대한 사유를 확인하는 메일을 발송해 마찬가지로 사유에 따라 재발방지 교육을 실시하거나 징계를 내린다. 이렇듯 황 부장은 “재발 방지 교육을 통해 임직원들의 잘못된 행동을 사전에 예방할 수 있다”고 설명했다.

황정아 부장은 “보안 솔루션이 설치되어 있다 하더라도 보안팀과 보안담당자가 꾸준히, 반복적으로 솔루션의 부족함을 메꿔야 한다. 보안 솔루션이 사람의 역할을 모두 대신할 수는 없다. 사람에 의한, 사람의 취약점으로 인한 사고가 많이 발생하고 있는데, 임직원의 보안실행 능력에 못지않게 보안담당자가 뒷일을 열심히 해줘야 회사의 보안이 안전해질 수 있다. 임직원과 임직원을 관리하는 보안담당자의 역할이 중요하다”고 당부했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>