“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
포스코그룹의 물류 전문기업 포스코플로우는 그룹의 물류 시스템을 통합하는 플랫폼 'FLOWer'를 전면에 내세우고 있다. 실시간 선박정보와 업무현황 대시보드, 각종 물류 시황정보 등 운송 과정에서 확인해야하는 정보를 하나의 플랫폼에 모았다.
정보가 모이며 효율성은 극대화됐지만 보안 관리가 과제다. 포스코플로우는 임원급 책임자가 정보보호 리스크를 관할하고 정보보안과 IT주관 부서장이 실무를 담당한다. 서울과 광양, 포항 등 각 지역의 정보보안 정책을 중앙 집결해 관리한다.
◇전담 책임자 두고 그룹 통합관제 24시간 운영
포스코플로우는 2024년 스마트 통합물류 운영시스템 FLOWer를 공식 론칭했다. 2022년 포스코플로우 출범과 동시에 포스코DX와의 협업으로 직접 개발한 물류 플랫폼이다. 전 운송 과정을 하나의 플랫폼에서 처리하고 수기로 이뤄지던 서비스 접수와 입찰, 계약, 정산 업무를 하나로 묶었다.
포스코플로우 스마트통합물류 시스템 FLOWer 사용화면. 사진=포스코그룹
포탈 기반 통합의 장점은 명확하다. 업무 단계가 표준화되고 운영 데이터가 모이면서 처리 속도가 빨라진다. 반대로 말하면 한 번의 계정 탈취나 침해가 미치는 영향력도 커졌다.
포스코플로우는 데이터를 한 데 모은 만큼 관리도 그룹 차원의 통합 관제로 처리한다. 포스코플로우는 24시간 365일 그룹 통합 보안관제 모니터링 체계를 구축했다고 밝혔다. 포스코플로우의 지속가능경영보고서에 따르면 특이사항 발생 시 보안관제센터의 탐지와 분석 이후 포스코플로우 주관부서와 포스코DX 인프라, 클라우드 운영 부서가 협업해 대응한다.
거버넌스는 정보보안 담당임원부터 현장 실무자까지 구축했다. 담당 임원은 정보보호 정책 총괄 및 주요 정책 결정, 정보보호 관리체계 구축을 위한 예산 및 인력운영계획 승인 등을 수행한다.
보안 통제 수단도 구체적으로 적시했다. 방화벽과 침입방지 시스템, 디도스 대응, 웹방화벽, 메일 기반 위협 대응, DNS 보안, 유해사이트 차단, 데이터 유출 방지 등 주요 솔루션 구성을 나열했다.
또 포스코플로우 내부 조직으로만 운영하지 않았다. 보안관제 인프라와 클라우드 인프라 운영은 포스코DX 인프라팀과 클라우드팀과의 협업 체계로 운영한다고 밝혔다. 그룹 내 기술 조직과의 역할 분담이 이뤄지는 셈이다.
◇분기 피싱훈련과 연간 감사로 보안성 점검
포스코플로우는 생활보안 점검과 피싱메일 모의훈련을 정례화했다. 클린데스크와 시건장치 점검, 문서와 저장매체 유출 예방 교육을 시행한다. 피싱메일 모의훈련은 분기 1회 실시한다고 적었다. 임직원을 대상으로 분기별 피싱 메일 모의훈련을 실시하고 그룹 차원의 연간 정보보호 감사를 통해 감사지적과 취약점 개선을 수행하고 있다.
외부 개발과 서비스 운영에 대한 관리와 통제도 포함됐다. 홈페이지와 웹 서비스에 대해서는 모의해킹과 취약점 점검을 실시하고 개선 조치를 진행한다고 전했다. 외부 개발사가 참여하는 경우 보안 요구사항을 적용하며 소스코드 보안점검도 수행한다고 명시했다.
사후조치 훈련도 병행한다. 재해 상황, 랜섬웨어, 디도스 상황을 가정한 시스템 복구 훈련과 모의훈련을 통해 사고 대응 절차를 점검하고 유관부서 협업 체계를 확인한다고 포스코플로우는 밝혔다.
◇교육 실적은 수치로 공개…협력사까지 범위 넓혀
정량 지표로는 교육 실적이 제시됐다. 지속가능경영보고서 ESG 데이터에서 정보보안 교육 총시간과 의무교육 이수 인원을 연도별로 제시했다. 2023년을 기준으로 169시간의 정보보안 교육이 이뤄졌고 이수자는 258명이다.
내부 공지와 점검도 진행 중이다. 매월 정보보안 안내 메일을 발송하고 연 1회 사이버보안 이러닝 교육을 실시한다. 연 2회 보안캠페인을 통해 임직원 인식을 제고한다고 적었다.
물류기업인 만큼 협력사 관리도 과제다. 포스코플로우는 물류 파트너사를 대상으로 보안 교육을 진행했다고 설명했다. 실례로 2024년 3월 포항과 광양 지역 20개 물류 파트너사를 대상으로 피싱과 랜섬웨어 사례 및 대응 방안 중심의 교육을 실시했다.
개인정보 보호 체계도 별도로 언급했다. 개인정보보호법에 따른 내부관리계획 수립과 처리 단계별 관리 프로세스를 운영한다고 공개했다. 정보보안 인증도 갖췄다. 2024년 10월 국제 표준인 ISO 27001:2022 인증을 취득했고 매년 사후심사와 3년 주기 갱신심사를 통해 취약점 점검과 개선을 지속하겠다는 방향을 밝혔다.
다만 공개된 정보는 제한적이었다. 이사회와 위원회에 정보보안 이슈가 어떤 주기와 기준으로 보고되는지, 예산이 어느 정도 규모로 편성되는지까지는 확인이 어렵다. 포스코플로우가 제시한 정보는 책임자 운영체제와 임직원 훈련 등에 한정돼 있다. 정보보안 활동을 보다 구체적으로 적시할 필요성이 있는 것으로 보인다.
행동주의 개입 명분 만드는 역설
