[디지털데일리 이민형기자] “기업 최고경영진이 정보보호에 대한 인식을 바꾸는 것이 보안 사고 예방에 가장 큰 도움이 됩니다.”

문영식 LG유플러스 보안정책팀 부장은 22일 양재동에서 열린 ‘정보보호 인증제도 설명회’에서 경영진들의 정보보호 인식이 변해야한다고 강조했다.

문 부장은 “최고경영자(CEO)가 직접 보안을 챙긴다면 기업의 정보보호 수준이 높아질 수 밖에 없다. 같은 맥락으로 정보보호관리체계(ISMS) 인증 획득 등에도 관심을 가져달라고 경영진을 설득하는 것이 보안담당자의 최우선 과제”라고 주장했다.

LG유플러스는 지난 2011년 이동통신사 최초로 개인정보관리체계(PIMS) 인증을 획득했고, 지난해 11월에는 전사 시스템을 대상으로 한 ISMS 인증도 획득했다.

LG유플러스가 ISMS 인증을 획득하게 된 계기는 물론 정보통신망법에 따른 ISMS 인증 의무화 대상기업이었기 때문이기도 하지만, 보다 궁극적인 목표는 통제기반의 정보보호 프레임워크 구축이 필요했기 때문이었다.

문 부장은 “지난 2010년 LG텔레콤, LG파워콤, LG데이콤을 하나로 합치면서 정보보호 프레임워크 구축에 대한 논의가 처음 시작됐다. 그 전까지는 전사적인 정보보호 체계가 부족했던 것이 사실”이라며 “합병 이후 내부에서 통제기반의 정보보호 프레임워크 구축이 필요하다는 내부의 목소리가 경영진까지 전달됐고, 이는 ISMS 인증까지 이어졌다”고 설명했다.

LG유플러스 보안정책팀은 ISMS 인증을 준비하는 과정에서 가장 먼저 경영진을 설득하는 과정에 매달렸다고 한다. 컴플라이언스 준수만을 강조하기에는 회사 자체적으로 얻을 수 있는 이득이 많지 않았기 때문이다.

이와 관련 문 부장은 “컴플라이언스 준수라는 목표만을 설정해서는 경영진들의 승락을 받기가 매우 힘들었다. ISMS 인증 준비로 인해 얻을 수 있는 기업의 전사적인 보안을 강조해 경영진의 동의와 지원을 약속받았다”고 말했다.

LG유플러스는 ISMS 인증을 준비하는 과정에서 경영진이 직접 참여하는 ‘전사보안협의회’, ‘보안실무협의회’를 열어서 임직원 모두에게 협조를 구했다. 경영진이 먼저 보안을 챙기는 문화가 형성됨에 따라 직원들의 협조체계 구축도 수월했다는 후문이다.

문 부장은 “경영진의 지원을 등에 업으니 인증 획득을 준비하는 과정이 매우 수월하게 흘러갔다. 반대로 말하자면 경영진만 설득하면 기업의 보안체계는 크게 강화될 여지가 크다는 의미”라며 “LG유플러스의 경우 조직이 크기 때문에 약 100여개의 팀의 협조가 필요했다. 협의회를 통해 세워진 전략들은 각 팀에서 자연스레 소화가 됐고, 이는 보안 취약점의 해소로 이어졌다”고 강조했다.

보안정책팀은 ISMS 인증을 진행하면서 세밀한 체크리스트를 수립, 운영했다. 각 부서에서 해야하는 일을 구체적이고 명확하게, 또 쉽게 이해할 수 있도록 체크리스트의 형태로 만들어 요청했다.

문 부장은 “ISMS 인증과 같은 부분은 보안부서 혼자서 할 수 있는 부분이 아니다. 반드시 유관부서의 협조가 필요하며, 이를 위해서는 우리의 요구사항을 해당 부서 담당자들이 이해할 수 있도록 만드는 것이 중요하다고 판단했다”고 전했다.

LG유플러스는 지난해 ISMS 인증 획득을 계기로 앞으로도 전사적 정보보호 관리체계를 유지해나갈 계획이다. 또 최근 미래창조과학부가 발표한 ‘정보보호 관리등급 제도’에 대해서도 논의할 예정이다.

끝으로 문 부장은 “기업보안은 어느 한 부서의 힘으로 이뤄지는 것이 아니라 조직문화로 만들어가야 하는 부분”이라며 “이를 위해서는 경영진의 적극적인 동참과 지원이 필수적”이라고 거듭 강조했다.

<이민형 기자>kiku@ddaily.co.kr