이제는 창조경제 시대다. 지금 우리가 사는 시대는 인류 역사상 가장 창조적이고 혁신적인 시대로 그 어느 때보다 새로운 아이디어를 생각하는 데 시간을 투자하려는 사람이 많다. 더불어 오늘날 창조성은 사람들의 머릿속에서 하루 24시간, 생각할 시간이 있을 때마다 생겨나기에 시간과 공간을 초월해 변화를 위한 전략이 필요하다. 변화의 바람은 기업 정보보호 분야에서도 거세게 분다. 정보보호의 패러다임이 변화하고 있는 것인데, 데이터보호와 내부보안, 능동적인 사전 예방과 대응, 지속적인 통합보안관리를 위한 대응방안에 초점이 맞춰지고 있다. 더불어 정보보호와 보안의 영역도 ‘위험관리’의 범주로 확장돼야 한다는 목소리가 높아지기까지 많은 이들의 아이디어가 쌓여졌다. 그 가운데 ‘10개의 고객 요구 사항에 1을 더해준다’는 창조적인 경영철학으로 종합 정보보호 전문 업체를 이끌어가고 있는 최용 대표가 있다.
 |
| ㅣ 시큐어플러스(주)최용 대표이사 |
고객의 요구 10에 1을 더하는 보안 컨설팅
“시큐어플러스는 정보보안 서비스 이외에 고객과 사회에 추가적인 이익(또는 가치)을 주자는 의미입니다. 전문가가 인정받는 회사, 세계 정보보안 기술 발전에 기여하고 고객에게 보안 서비스를 넘어 가치를 전달하는 회사를 목표로 합니다. 사명에서 Security가 아닌 Secure를 택한 이유는 가장 포괄적인 보안의 의미인 Secure를 사용함으로써 정보보안과 업무상의 보안관리(안전)를 포함하는 포괄적인 서비스를 제공하고자 하는 의지를 담았습니다.”
기업의 사명(社名)에는 기업이 꿈꾸는 가치와 철학, 문화 등이 포괄적으로 담겨 있다. 인터뷰가 시작되자마자 사명에 담긴 의미를 전한 시큐어플러스 최용 대표. ‘고객의 요구가 10개 있으면 1을 더해준다’는 그의 원칙은 시큐어플러스의 컨설팅 서비스에 그대로 투영된 듯하다. 2011년 5월 설립된 이곳은 자체 개발한 정보보호 방법론을 이용해 정보보안 및 개인정보보호 컨설팅과 보안감사에 주력해왔다. 관리체계 수립, 정보시스템 취약점 진단, 모의해킹, 기업정보 유출방지, 정보보안 인증 및 사전점검 대응 컨설팅, 보안성 심의 등 다양한 산업분야의 맞춤형 컨설팅과 외부 보안감사 서비스에 주력하고 있으며, 부가적으로 정보보안 솔루션(방화벽, IPS, DDoS, 개인정보 유출 방지 등)을 유통한다. ‘종합 정보보안 서비스 제공’을 지향하는 만큼, 최신 침해사고 유형 분석과 모의해킹 방법론 연구를 진행하기 위한 정보보안 연구소를 개소했고, 전문기술 인력의 확보, ISO27001 인증 획득, 고객들에게 최신 이슈사항에 대해 설명하고 대응할 수 있는 교육을 통해 기반을 다지고 있다.
시큐어플러스는 가장 큰 사업영역인 컨설팅 분야에서 포괄적인 서비스를 제공하는 중이다. 각각의 컨설턴트는 컨설팅 수행 전에 해당 서비스(업무)를 먼저 이해하고, 위험요소를 종합적인 관점에서 분석한다. 또한 위험을 진단/분석할 때, 단편적인 시각으로 바라보는 것이 아니라 연관된 업무와 시스템을 고려한 상관분석으로 정밀한 분석을 진행하는 차별화된 서비스를 선보인다. 외부 용역인력을 대상으로 비밀유지서약서를 받았는지에 대해 점검한다고 가정하면, 단순히 샘플링으로 점검하는 것이 아니라 외부 인력이 수행한 업무를 시간대별로 추적해 점검하는 것이 이곳만의 경쟁력이다. 보안에 대한 전문지식은 기본이고, 컨설턴트들이 기관이나 기업에 컨설팅 서비스를 제공함에 있어 직업 윤리의식을 제 1의 가치로 여긴다. 최 대표가 직원들의 귀에 못이 박히도록 강조한 말이다.
“개인정보보호 컨설팅은 직업윤리 의식을 갖춘 직원들과 굳건한 보안체계의 바탕 위에서 가능하다고 봅니다. 그만큼 윤리와 보안은 불가분의 관계에 있는 거죠. 뼛속까지 ‘보안쟁이’로 행동하도록 요구합니다.”
중·소기업 대상 맞춤형 컨설팅 ‘SPlus Partners’
컨설팅 서비스의 특성상 공공기관, 금융회사, 그룹사 등 대규모 기관과 기업 위주로 수요가 있었지만, 소규모 중소기업은 비용 부담으로 인해 손쉽게 받지 못하는 실정이다. 하지만 개인정보보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 준수해야 하는 소규모 기업은 전담인력이 부족하고 충분한 예산을 확보할 수 없어 개인정보 유출 사고에 상대적으로 취약하다. “컨설팅을 수행하면서 개인정보보호, 정보보안을 이행하기 어려운 소기업들을 마주했습니다. 예산확보의 어려움, 전담인력의 부재, 임직원의 보안인식이 낮아 정보보안 업무 담당자의 고충이 컸죠. 이 때문에 소규모 기업이 최소한의 비용으로 정보보안 서비스를 활용할 수 있는 패키지를 개발하여 제공하고 있습니다.” 최용 대표는 ‘SPlus Partners’의 개발 계기를 알렸다.
시큐어플러스가 지난해 선보인 ‘SPlus Partners’는 대규모 기관 및 기업에 제공하는 서비스를 압축한 것으로 개인정보보호 및 정보보안 서비스를 단계별로 구분하고, 컨설팅 서비스 비용을 최소화했다. 구체적으로 해당 패키지는 중·소기업을 대상으로 한 정보보안 업무 아웃소싱 서비스며 기업의 규모와 업종, 정보보안 성숙도에 따른 맞춤컨설팅이 가능하다. 기존 컨설팅 받은 업체는 초기 정보보안 체계구축에 대한 비용이 감소하고, 고객사의 요청에 따라 상주, 비상주, 방문, 온라인으로 구분해 다양한 방법으로 서비스를 제공하는 등 경제성과 최상의 정보보안 및 개인정보보호 효과를 얻을 수 있어 고객들의 만족도가 높다.
정보보안은 ‘비용’이 아닌 ‘투자’
인터뷰 내내 차분한 어조로 말을 이어간 최용 대표의 목소리에 힘이 실렸다. ‘정보보호의 달’ 특집으로 진행된 인터뷰에서 그는 최근 기관과 기업에서 정보보안과 개인정보보호 업무를 담당하는 것을 기피하고 있다고 전했다. 보안 사고를 예방하고자 불철주야 애를 썼더라도 사고가 발생하면 모든 책임이 정보보안 및 개인정보보호 담당자에게 전가되기 때문이란다. 더욱이 보안통제를 적용한 일부 기업에서는 임직원 스스로가 지켜야 하는 회사의 방침인데도 불구하고 보안 담당자를 질타하고, 통제에 대한 불편함을 다면평가에서 최하위 점수를 매겨 표현하는 경우가 부지기수다. 그는 이러한 일들이 우리나라 기관과 기업의 정보보안 인식수준이 매우 낮은 데에서 비롯된 것이라며 안타까움을 토로했다. 이에 정보보안 및 개인정보보호를 주관하는 부서는 보안기획(계획수립), 정책(규정/지침) 수립 및 공표, 각 부서의 정보보안 정책 이행에 대한 관리감독 및 모니터링, 정보보안 기술지원 등 정보보안 업무 프로세스를 세분화하고, 프로세스별 역할을 명확히 정의하여 임직원 개개인에게 인식시켜야 한다고 거듭 강조한다. 또한 보안 분야의 지출을 비용으로 인식하는 경영자들에게 이에 대한 관점 변화를 주문했다.
“정보보안을 비용으로만 판단하는 것은 보안사고 발생에 대한 측면만 바라보기 때문입니다. 정보보안의 인식을 ‘보안 사고를 막는다’는 관점에서 나아가 새로운 먹거리(서비스)를 가능케 하는 산업의 경쟁력으로 생각하고 투자하는 것이 맞습니다.”
사물인터넷(IoT)의 개념 창시자 케빈 에쉬튼은 “모든 서비스들이 인간의 삶을 풍요롭게 하고 살찌우게 한다면, ‘보안’은 인간의 삶을 편리하고 안전하게 만들 것”이라고 한다. 실제로 지점을 방문해 은행 업무를 수행하던 것이 시간과 장소의 제약이 없는 모바일뱅킹으로 실용화되고, 핀테크 시장 선점 경쟁이 본격화되기까지 보안기술이 뒷받침 됐다. 즉 정보보안은 기업에 직·간접적으로 상당한 이익을 창출하며 신산업의 자양분이 되고 있다.
새로운 IT 패러다임에 발맞춘 지속적인 투자와 노력
클라우드, 빅데이터, 사물인터넷 등으로 인한 초연결사회(Hyper-connected Society)의 도래는 경제와 산업 분야에서 새로운 기회를 창출하고 인류에게 더 나은 편의를 제공하고 있다. 그러나 새로운 트렌드를 이용한 지능형 공격이 벌써부터 현실화되고 있어 대응책을 마련하는 것이 시급한 문제가 된다. 최용 대표는 정보보안 위험관리에도 패러다임의 변화가 올 것이라고 말한다. “정보보안 위험관리도 시스템화·오토메이션화 될 것으로 예상합니다. 정보 시스템에 대한 정밀 취약점 진단은 이미 컨설턴트 자질에 의한 수동진단에서 시스템화 되어가고 있어요. 정보보안 업무도 마찬가지입니다.”
그는 과거 정보보안 담당자가 이메일로 요청하고, 피드백을 받아 관리했던 업무들이 내부 업무시스템(응용프로그램)으로 구축되어 관리되고 있다고 말하면서, 앞으로는 정보보안과 개인정보보호 주관 부서의 요청에 의한 업무 수행이 아니라 평상시 본인이 담당하는 업무를 진행하면서 요구되는 보안 요구사항을 실행해야 하는 시대가 머지않았음을 시사했다. 정보보안 위험관리의 시스템화·오토메이션화는 일상적인 업무를 수행하면서 자동적으로 정보보안과 개인정보보호 의무를 이행하는 환경을 가져올 것이라는 주장이다. 그는 확신이 들면 행동으로 옮긴다. 빅데이터를 활용한 정보유출 위험을 실시간으로 예측하고 사전에 차단할 수 있는 ‘지능화된 위험관리 시스템’을 개발하면서 ‘하드웨어적 정보시스템 중심’이었던 정보보안 관리 주체를 ‘빅데이터 기반의 인간 행동학 중심’으로 변경하려는 시도를 지속한다. 보안시스템 개발까지는 상당한 초기자본이 요구되는 바, 조금은 더디게 진행되고 있지만 최 대표의 강한 확신과 추진력은 경직된 정보보안 분야를 창조적 발전 방향으로 이끄는데 충분해 보인다.
 |
| ㅣ 시큐어플러스는 높은 업무 강도와 낮은 여성 고용률 등 보안업계 특성에도 불구하고. 최 대표의 실천적 노력으로 '2014년 가족친화 인증'을 획득했다. |
서비스를 넘어 창조적 가치전달을 위한 끊임없는 노력
“정보보안 컨설턴트로 해당 분야에서만큼은 전문가임을 자부하지만 아직 경영은 갈 길이 멀어 보이네요. 하지만 영속성 있는 기업을 만들기 위해 늘 고민하고 시도하기를 두려워하지 않습니다. 기업문화는 경영자가 지키고 가꾸려고 노력할 때 만들어지고 강해지는 것이라고 생각합니다.”
최용 대표가 기업경영에서 가장 심혈을 기울이는 부분은 ‘업무수행을 위한 프로세스(절차)’를 설계하고, 해당 프로세스에 의해 회사의 모든 업무를 매뉴얼화하고자 한다. 고효율 자율경영시스템, 계획 대비 실행 내용을 객관적인 성과관리 지표에 의해 평가하고 이를 분석함으로써 더 나은 가치를 만들기 위한 일련의 과정을 체계적으로 조성하기 위함이다. 여기에는 직원들 스스로가 개인의 발전을 위해서 일하는 기업문화를 조성하고 싶은 최 대표의 숨겨진 뜻이 있다.
프로세스 수립 이외에도 신규기술 개발, 프로세스 혁신, 방법론 개선 등 임직원의 다양한 정보보안 기술력 향상을 위해 기술등급 평가제를 시행한다. 학력이나 경력을 배제하고 정보보안 기술 능력만으로 직원들을 평가하면서 이를 연봉협상에 반영하는 한편, 회사 내부 자격증 및 배지를 부여하고 있다. 혁신을 위해 다각도로 문제에 접근하고 새로운 방법을 시도할 수 있는 환경을 만들어주고자 하는 생각에서다. 최 대표의 실천적 노력은 정보보안 업계가 높은 업무 강도와 낮은 여성 고용률 등으로 가족 친화기업으로 선정되기 어려운 상황에서 시큐어플러스가 '2014년 가족친화 인증'을 획득하는데 밑거름이 됐다. 시큐어플러스는 현재 경조사 및 건강검진비용 지원과 출산 및 육아 관련 휴가제도 정비는 물론, 출산으로 인한 여성근로자의 경력단절을 예방하고 남성 육아휴직을 함께 보장한다.
보안 서비스를 넘어선 가치를 전달하고자 하는 그의 노력은 현재진행형이다. 그는 아직 성장단계지만 회사의 영업이익이 발생하면 다양한 형태로 임직원과 사회에 재분배할 것을 다짐했다. 특히 정보보안을 이끌어가는 전문회사로써 재능기부에 뜻이 있는 최 대표는 올 하반기 컨설턴트로 취업을 희망하는 대졸자를 대상으로 한 멘토스쿨을 계획한다. 약 30명 정도로 예상하고 있으며, 정보보안 컨설턴트라는 직업과 직무에 대한 현실적인 조언 및 교육이 진행될 예정이다. 대한민국 정보보안 분야에 다각적 해법을 제시하고자 끊임없이 정진하는 최용 대표의 열정은 식을 줄 모른다. 시큐어플러스가 단시간에 다양한 도전을 하며 성장할 수 있었던 것은 그 열정에서 비롯된 것이리라.
“누군가가 ‘정보보안’이나 ‘개인정보보호’라는 단어를 언급하면 떠오르는 보안 전문회사가 되고 싶습니다. 외형적인 성장이 아닌 내실 있는 회사이길 바랍니다. 사실 정보보안은 딱딱하고 정형화된 분야이기에 융합, 협력의 트렌드를 정보보안 분야에 접목시킬 생각입니다. IT기술은 물론이고, 비IT기술에까지 정보보안 기술을 더해 새롭고 즐거운 정보보안 서비스를 제공하고 싶습니다.”
저작권자 © 월간인물 무단전재 및 재배포 금지
