매년 7월 둘째 주 수요일은 ‘정보보호의 날’이다. 정보보호의 중요성에 대한 사람들의 의식을 제고하기 위해 우리 정부가 제정했다. 기업에서도 정보보안이 무엇보다 중요하다. 개인의 이익을 위해 회사의 유무형 자산을 사외로 유출하려는 시도나 외부의 대규모 사이버 공격 등이 실제로 이뤄진다면, 기업과 국가에 막대한 피해를 끼칠 수 있기 때문이다. 기업의 생존권이 걸린 문제이자 국가 경쟁력과도 밀접하게 관련된 만큼, 정보보호는 기업의 미래뿐만 아니라 국익 수호에도 기여함을 명심해야 한다.
SK하이닉스 역시 산업보안을 철저히 지키고 내부적으로도 안전한 보안 체계를 구축해 실천하고 있다. 뉴스룸은 정보보호의 날을 맞아 SK하이닉스의 산업보안 체계 전반을 살펴보고, 보안기획 조직을 만나 산업보안 강화를 위한 활동들과 지속적인 교육 및 홍보를 통해 구성원의 보안 인식을 제고하기 위한 노력들에 대해 들어봤다.
※ 인터뷰 및 사진 촬영은 COVID-19 방역 수칙을 준수해 진행했습니다.
보안 중요성 커진 뉴 노멀 시대, 최우선 과제는 ‘보안 인식 제고’
최근 전례 없는 코로나 팬데믹 상황이 장기화하면서 기업들의 디지털 전환(Digital Transformation)이 활발하게 이뤄지고 있다. IT 기기와 빅데이터에 기반한 새로운 사업 모델들이 속속 등장하고 있으며, 클라우드 서비스 사용이 보편화되고 재택근무, 화상회의 등 언택트(Untact) 환경이 일상이 됐다.
기업 입장에서 이 같은 뉴 노멀(New Normal) 시대는 장소나 거리의 제약이 사라지고 업무 환경을 디지털 기반으로 효율화할 수 있다는 장점이 있지만, 회사의 중요한 정보들이 온라인상에 모이는 만큼 해킹이나 정보 유출 등 보안 리스크가 커진다는 단점도 있다.
실제로 글로벌 해킹 피해 사례가 속출하며 보안에 대한 기업의 경각심이 높아지고 있다. 올 상반기 과학기술정보통신부가 실시한 사이버 위기 대응 모의 훈련에 참여한 기업은 230곳으로, 지난해 81곳에 비해 참여율이 3배 가까이 증가했다. 그 중 30개 기업 홈페이지에서 보안 취약점이 발견됐는데, 해커들은 이러한 취약점을 통해 기업 내부 시스템에 접속, 중요 데이터를 유출한다. 최근 수백 개 기업의 보안을 관리하는 IT 기업이 해킹에 노출되기도 했다.
또한 구성원이나 기업 관계자가 온라인상에 올린 루머나 부정확한 정보가 증권가 정보지나 오보를 양산하며 주가 하락 등 투자자의 금전적인 소실을 야기하거나 기업 가치를 떨어뜨리는 일도 종종 벌어지고 있다. 아울러 산업 스파이 활동이나 구성원의 부주의 등으로 회사의 유무형 자산이 경쟁사에 흘러 들어가게 되면 기업의 근원적 경쟁력에도 영향을 미치는 경우가 발생할 수 있다.
이처럼 기업의 산업보안은 기업뿐 아니라 국가 경쟁력에 직접적으로 영향을 미친다. 특히 반도체 기술과 같이 우리나라 경쟁력에 큰 영향을 끼치는 핵심 기술이 유출될 경우, 그 파급 효과는 상상하기조차 어려울 정도.
이에 많은 기업이 산업보안을 위한 새로운 전략과 시스템을 구축하는 한편, 내부적으로는 구성원이 업무를 수행할 때 보안을 철저히 지키며 소통하도록 보안 수칙을 만들어 배포하는 등 보안 리스크를 줄이기 위해 다양한 노력을 하고 있다. 정부도 최근 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제18201호, 2021.6.8)」, 「산업기술의 유출방지 및 보호에 관한 법률(법률 제17163호, 2020.3.31)」 등의 관련 법규와 정책을 강화하며 산업 정보보호에 더 많은 노력을 기울이고 있다.
산업보안 조직 강화를 통해 SK하이닉스의 보안 수준 한층 높이다
SK하이닉스도 회사의 유무형 자산이 경쟁력의 원천임을 인식하고 자율 참여 보안 문화를 확립해 회사의 지속가능한 발전을 추구하기 위해 힘쓰고 있다. 보안기획 손영우 PL은 “SK하이닉스는 보안 인프라를 견고히 구축하고 구성원들의 보안 인식을 제고하면서 산업보안 체계를 철저히 관리하고 있다”며 “무엇보다 회사를 대표하는 SK하이닉스 구성원들이 품위 있게 소통하고 회사의 소중한 정보를 지키는 것이 중요한 만큼, 대내외 소통 시 보안을 위한 행동규범인 ‘하이지니어 보안수칙’과 ‘대외 커뮤니케이션 가이드라인’을 새롭게 정립해 배포했다”고 설명했다.
▲ 보안기획 손영우 PL
SK하이닉스에는 산업기술 보호를 위한 산업보안 전담 조직이 있다. 보안 정책을 수립하는 보안기획을 비롯해 보안 분야별로 물리보안, IT보안 조직이 각각 구성돼 있다. 제작년에는 본사 및 중국 생산법인 외 해외에 위치한 기술 및 판매법인의 보안 수준을 강화하고 즉각적인 대응을 하기 위해 OSS(Overseas Security Support) 보안 조직도 신설됐다. 이들 산업보안 조직은 구성원의 지속적인 행복을 위해 소중한 정보자산을 지킬 수 있도록, 각 분야별로 전문성을 갖고 업무에 임한다. 산업보안이 구성원 누구나 지켜야 하는 기본 문화로 정착될 수 있도록 구성원들에게 부단히 알려주고 이해시키고 설명하고 있다.
각 조직별 세부 업무를 들여다보면, 보안기획 조직은 산업보안 체계 구축, 보안 정책 대응, 정책 감사 및 사고 조사, 보안 인식 제고 등의 업무를 수행하고 있다. 물리보안 조직은 각 사업장에 대한 물리보안 정책을 수립하고 보안 검색, CCTV 관리 등 정보 자산을 물리적으로 보호하는 업무를 맡았다. 또한 IT보안 조직은 사이버 공격을 차단하고 구성원들이 IT 기기 사용 시 정보가 유출되는 것을 예방하는 일을 한다. OSS는 해외에 위치한 기술 및 해외 법인에 대한 보안 강화를 담당하고 있다.
이 중 SK하이닉스의 정보보안을 위해 보안기획 조직이 하는 활동을 살펴보면, 전사 보안 정책을 수립하며 그에 따른 시스템을 구축하고 관리하는 일을 맡고 있다. 보안 사고가 발생했을 때나 구성원이 보안 정책을 위반했을 경우, 이를 처리하는 데 필요한 기준을 정하는 일도 수행 중이다.
또한 대외적인 보안 대응 업무도 전담한다. SK하이닉스가 보안 관리 체계 국제 표준인 ‘ISO 27001’ 기준에 부합하는지 인증 받고 관리하는 역할을 맡고 있으면서 국가의 보안 정책 변화를 빠르게 파악하고 대응하는 업무도 수행 중이다. 아울러 고객사의 보안 요청 사항이 준수되는지 관리 감독하며, 대외 보안 점검에 필요한 보안 기준 지표도 정립하고 있다.
정립한 보안 정책을 각 부서에서 잘 이행하고 있는지 점검하고, 보안 사고 발생 시 사고 경위를 조사하고 필요한 조치를 취하는 것도 보안기획 조직의 역할이다. 또한 장비 반입, 반출부터 구성원들이 만든 새로운 프로젝트가 보안 측면에서 안전한지 판단하는 등의 일상적 업무의 보안성 검토 작업도 수행하고 있다.
보안에 있어 체계를 구축하고 수칙 준수 여부를 감시하는 것보다 더 중요한 것은 구성원 개개인이 일상에서 높은 수준의 보안 의식을 유지한 채 업무에 임하는 것이다. 이를 위해 ‘하이지니어 보안수칙’ 행동규범을 제작해 배포하고, 수립한 보안 정책을 교육하는 일도 하고 있다. 또한 캠페인송 제작, 보안 이모티콘 배포, 참여형 프로그램 등 다양한 캠페인 활동으로 구성원들의 관심을 이끌고 보안 인식을 제고하기 위해 노력하고 있다.
보안과 업무 효율성 동시에 잡는 정책/시스템 구축이 목표
보안기획 조직은 지난해부터 올해까지, 한층 강화된 보안 규제와 정책 동향에 따라 평소보다 늘어난 과업을 수행하느라 그 어느 때보다 바쁜 나날을 보내고 있다. 먼저 구성원의 보안 지침이 될 ‘하이지니어 보안수칙’을 정립해 안내했고, SSM(Smartdevice Security Management, 휴대폰 카메라 촬영 통제 시스템), CISM(Cooperation Information Security Management, 협업 정보보안 관리 시스템), HyCon(SK Hynix Connect, 재택근무 시스템) 등 다양한 보안 관련 시스템도 구축했다.
▲ (왼쪽부터) 보안기획 김종혁 TL, 손영우 PL, 이송원 TL, 서형욱 TL
모바일 보안 솔루션 SSM은 회사 출입 시 스마트폰의 카메라 기능을 자동으로 통제하는 시스템으로, 이를 활용하면 출입 시 스마트폰에 보안 스티커를 붙이는 번거로운 작업을 생략할 수 있다. 구축 작업을 완료해 일부 배포했으며, 지금은 고도화 작업을 진행 중이다. 모든 작업이 완료되면 더 많은 구성원이 SSM을 통해 더 편리하게 출입할 수 있으며, 사내 정보의 외부 유출을 사전에 차단할 수 있다.
지난해에는 CISM를 도입해, 업무상 꼭 필요한 데이터를 외부로 전달할 때 최초 결재 후, 그 절차를 간소화해 업무 효율성을 높였다. 외부로 전달되는 데이터의 보안성을 검토하고 승인받는 절차는 물론, 설정한 유효 기간이 지나면 관련 자료들이 모두 파기됐는지 확인하는 과정까지 모두 시스템화한 것. 시스템상 누가 언제 어떤 데이터를 보냈는지 로그가 다 기록돼, 데이터 반출 이력도 손쉽게 관리하면서 제3의 누출을 사전에 방지할 수 있다.
또한 HyCon이라고 명명한 VPN(Virtual Private Network, 가상사설망) 시스템도 새롭게 구축했다. 하이콘은 집에서도 회사 내 서버에 보안을 유지한 상태로 접근할 수 있도록 하는 네트워크 시스템으로, 원격 근무에 필수적이다. 이번 신규 VPN 구축을 통해 기존보다 접근성이 향상돼, 구성원들이 장소에 제약을 받지 않고 편리하게 일할 수 있게 됐다.
▲ 보안기획 김종혁 TL
더 효율적인 보안 통제를 위해 보안 관리 지표를 정리하는 작업도 하고 있다. 현재 활용되는 보안 관련 체크리스트가 굉장히 많은데, 이 중 핵심적인 지표들을 한눈에 파악할 수 있는 ‘대시보드(Dashboard)’를 구성하고 이에 필요한 대표 지표들을 뽑는 작업이다. 김종혁 TL은 “올해는 의미 있는 지표를 추출하고 있고, 내년엔 이를 시스템화할 계획”이라며 “이 작업이 완료되면 내부 관리나 외부 보안 점검 등 보안 관련 외부 대응에도 더 효과적으로 활용할 수 있을 것”이라고 말했다.
▲ 보안기획 이송원 TL
아울러 구성원들의 보안 인식을 제고하기 위한 활동에도 전력을 쏟고 있다. 사내 방송이나 홍보물 부착과 같은 일반적 홍보 방식은 물론, 보안 절차를 노래 가사로 만든 ‘보안송’도 만들었다. 특정 사례를 보여주고 ‘틀린 그림 찾기’처럼 보안에 위배되는 그림을 찾게 하거나 온라인 교육을 게임 형태(Gamification)로 만드는 등 구성원들의 눈높이에 맞춰 좀 더 재밌고 쉽게 기억될 수 있는 방식들을 도입했다. 그 결과 구성원들의 참여율도 눈에 띄게 높아졌다.
이송원 TL은 “어떻게 하면 구성원이 보안 캠페인이나 관련 교육을 더 친근하게 느끼고 관심을 가질지에 대해 늘 고민하고 있다”며 “지금까지 도입한 방식 외에도 챌린지 이벤트를 접목하거나 업무 중 보안 활동에 참여하고 인증하면 포상하는 등 구성원이 쉽고 재미있게 참여할 만한 방식들을 기획하고 있다”고 말했다.
보안을 지키며 효율적으로 일할 수 있는 환경을 구축하기 위해, 구성원과의 소통의 폭도 넓히고 있다. 보안 기준을 너무 강조하면 그만큼 업무 절차에 제약이 생기고, 반대일 경우엔 보안에 소홀해질 수 있다. 중요한 정보를 효과적으로 보호하면서도 구성원들의 업무 편의성을 높일 수 있는 접점을 찾기 위해 늘 고민한다. 이를 위해 현업과 적극적으로 소통하며 자율적으로 관리할 수 있는 시스템을 만들기 위해 애쓰고 있다.
서형욱 TL은 “사소한 물건 하나가 회사로 반출되는 것에도 보안성 검토가 필요한데, 각 사안마다 일일이 파악해 검토하는 것은 구성원의 협조 없이 쉽지 않은 일”이라며 “특히 머신 러닝(Machine Learning), AI(Artificial Intelligence) 등 업무 영역이 다양해지면서 현업과 적극적으로 커뮤니케이션하고, 이를 통해 서로 보안에 대한 이해를 높이며 업무 효율성을 높여 나가고 있다”고 말했다.
마지막으로 더 철저한 보안 체계 구축을 위해서는 구성원의 참여가 꼭 필요하다며 간곡히 당부했다.
“SK하이닉스의 위상이 높아질수록 우리 회사의 정보를 얻어내고자 하는 이해관계자들이 점점 더 많아질 수밖에 없습니다. 보안을 위해 시스템적으로 개선하고 있지만, 구성원 개개인의 노력이 더욱 필요한 시점입니다. 보안과 관련된 소통 창구는 언제나 활짝 열려 있습니다. ‘하이 보안’ 채널을 통해 의견 주시면 함께 고민하고 해결하겠습니다. 산업보안 조직은 SK하이닉스의 유무형 자산을 지켜 비즈니스 영속성, 그리고 국가 핵심 경쟁력을 유지하기 위해 존재한다는 걸 기억하고, 우리의 소중한 자산을 지키는 데 구성원 모두 함께해 주시길 부탁 드립니다.”