[기고] 보안인식 제고와 산업보안 전문인력 양성의 중요성

입력 2021-08-01 18:05 수정 2021-08-02 09:06

신현구 중부대학교 경찰경호학부 교수 opinion@etoday.co.kr

기자 이름을 클릭하면
더 자세한 정보를
확인할 수 있어요!

북마크 되었습니다.
마이페이지에서 확인하세요.

가장작게
작게
기본
크게
가장크게

국가정보원 산업기밀보호센터와 경찰청 통계자료를 종합해 보면 산업기술유출사범은 87% 이상이 전·현직 임직원에 의해 발생된다. 산업스파이 사건 발생 시 유출자가 유출하는 핵심 동기는 개인 영리와 금전 유혹도 있지만 무엇보다 허술한 보안 환경으로 유출 기회가 많다는 것이다. 대부분의 유출자는 자신의 유출 행동을 합리화하고, 다른 사람들도 자신과 같이 유출한다고 믿고 있어 특별한 죄의식이 없다. 이렇게 범죄를 하려는 마음(범죄성)과 범죄기회(범죄대상)가 합하여 범죄행위가 일어난다. 산업보안 활동은 이러한 범죄성과 범죄기회를 최소화하거나 제거하는 노력을 말하는데 그 방법 중 가장 으뜸은 내부 임직원의 보안에 대한 인식 제고다.

임직원의 보안인식이란 보안 위험을 줄이기 위해 조직 내 보안 시스템의 적절성과 효과성 등을 의식하는 것을 의미한다. 보안인식은 지속성이 생명이라고 할 수 있고, 이를 지속적으로 유지하기 위해서는 보안교육을 통해서 일반적인 보안지식을 고양하고 보안관리의 이유와 중요성을 깨우치게 하는 것이다.

그런데 교육전문가 프랭크 버드(Frank e. Bird Jr.)에 의하면 학습자의 기억된 정보량에 대한 조사를 실시한 결과 말로만 학습한 경우 3일 후에는 90%를 기억하지 못하고, 보여주기만 한 경우에는 80%를 기억하지 못하는 데 반하여, 보여주면서 설명을 한 경우에는 3일 후에도 65%는 기억하고 있다고 한다. 따라서 보안교육에 있어서도 말로만 하는 교육이나 보여주기식 교육은 지양하고 기업의 현실에 맞게 살아있는 교육, 피교육자가 공감하고 충분히 이해하는 쉬운 교육이 필요하다.

사람들은 보안교육이라고 하면 강사가 수강자를 모아놓고 전달하는 방식의 교육만을 생각하는데 온·오프라인의 게시판을 통한 커뮤니케이션과 각종의 보안 관련 이벤트 활동도 아주 훌륭한 교육 효과를 거둘 수 있다. 산업보안 교육은 이론에만 치우치거나 보안 교과서의 설명에 그쳐서는 아니되며, 현업에서 즉시 적용하고 있거나 해당 기업의 수준과 상황에 맞도록 교육 내용을 구성해야 하고, 학교 교육과 달리 감정에 호소하는 교육을 더 잘 듣고 이해하며, 지식 전달이 아닌 실생활의 살아있는 교육이 반복적으로 이루어져야 한다.

우리 기업은 이런 기본 상식을 잘 알면서도 임직원의 보안인식 제고 노력은 없이 많은 예산을 투입하여 기술적 보안 시스템을 우선 도입해야만 보안 체계가 갖추어졌다고 오해한다. 가장 중요하고 기본적인 보안 체계는 임직원의 보안인식 제고를 위한 보안교육이 선행되어야 한다. 더불어 굳이 보안관리성을 거론하지 않더라도 교육내용, 시간, 수강자 서명록, 강사, 사진촬영 등의 기록을 남겨 향후 있을지 모를 보안관리 노력의 증적자료로 활용할 수가 있다.

그리고 보안교육 콘텐츠 확보 및 운영은 정부에서 관심 있게 지원하고 있고 이러한 지원제도를 적절하게 활용한다면 기업보안 인식 제고를 통한 보안 수준을 한 차원 더 높일 수 있다.

한편, 산업스파이는 점차 고지능화, 첨단화, 치밀화, 글로벌화되고 있는 데 반하여 산업현장에서 이에 대응하는 산업보안전문가는 부족하다. 교육의 대부분이 기술적 교육에 치중하고 있는 보안환경과 편중된 정부 정책에다 산업보안에 대한 사회적 인식의 저하로 그간 산업보안 전문가 양성의 중요성 부각이 부족했던 게 사실이다. 그러나 최근 몇몇 대학에 산업보안 관련 전공학과가 신설되었고, 산업보안관리사(ISE) 자격제도가 국가공인으로 승격되었으며, 정부의 도움으로 대학원 석·박사 과정에서도 산업보안 전문인력 양성사업에 국가 예산을 투입하는 등 산업보안 전문가 양성을 위한 많은 노력을 경주하고 있다.

이에 발맞추어 산업현장에서도 산업보안 전문가의 활용에 전향적인 자세가 필요하다. 이미 국가공인 산업보안관리사 자격 취득자는 경찰, 군인, 일부 대기업 보안부서에서는 필수 자격증으로 요구받고 있지만 나머지 현장에서는 그 가치를 인정받지 못하고 있다. 최소한 관련법에서 정하는 국가핵심기술 보유기업에서 만큼은 산업보안전문가나 전공자를 고용하도록 하고, 나아가 의무고용 인력으로 법제화되도록 해야 할 것이다. 또 산업기술보유기관에 대하여는 산업보안전문가의 고용 시 가점을 부여하는 다양한 방안을 강구하여 전문가의 활용도를 높여야 한다.

아마추어에게 기업의 보안을 맡기는 시대는 끝났다. 산업보안은 전문영역이다. 기업의 정보자산 가치가 소중한 만큼 보안체계도 이에 걸맞은 수준으로 구축해야 한다. 보안전문가의 적극적인 활용이 필요한 이유다.

- 이 글은 국가정보원 산업기밀보호센터 및 (사)한국산업보안연구학회 공동기획 기고문 입니다.