지게 되었고, 정보보안 역시 단순한 IT 리스크 통제가 아니라 사업 연속성과 직결된 핵심 인프라 보호 전략으로 접근해야 한다고 생각하게 되었습니다.
동국제약에서도 연구개발, 생산, 영업, 외부 협력사까지 아우르는 엔드투엔드(End-to-End) 보안 전략을 수립하여, 기업 전반의 디지털 리스크를 효과적으로 제어하는 데 기여하고 싶습니다.
5. 자신의 경험 가운데 가장 어려웠던 일은 무엇인지, 그리고 어려움을 극복한 과정을 구체적으로 기술하십시오.
제가 가장 어려웠던 경험은 내부 보안 침해가 의심되었으나 명확한 증거 없이 상황을 관리하고, 리스크를 제거해야 했던 사건입니다.
당시 저는 사내 정보보안 담당자로 근무하고 있었고, A 부서에서 수개월간 진행하던 대외비 연구자료가 외부 컨설팅 회사로 유출되었다는 익명 제보를 받았습니다. 로그 상 명백한 해킹 흔적은 없었고, 보안 솔루션의 알림도 없었기 때문에 사실 여부를 판단하기 어려운 상황이었습니다.
저는 먼저 가능한 모든 로그를 수집하고, 퇴사자 계정과 외부 접근 이력을 전수 조사했습니다. 문제는 해당 부서 내에서 개인 메신저, USB 등 비인가 경로로 파일을 주고받는 관행이 있었고, 공식 시스템 사용률이 낮았다는 점이었습니다. 당시에는 직접적인 증거가 없었기 때문에 무리한 조사보다는 시스템적 접근과 인식 전환이 필요했습니다.
이에 따라,
가. 보안 리스크 프로파일링 문서를 만들어 해당 부서의 현재 상태와 문제점을 정리했고,
나. 사용자 중심 보안 개선 제안서를 작성하여 관리자에게 설명했습니다. 강제 차단이 아닌, ‘업무 효율과 보안을 동시에 높이기 위한 대안’을 제시한 것입니다.
다. 동시에 내부에서 사용하는 파일공유 정책을 전면 개편하고, 승인 없는 외부 메신저 및 이메일 첨부 차단 기능을 도입했으며,
라. 부서별로 보안 리스크 관리 자가점검표를 배포해 자율점검 → 피드백 → 개선을 유도했습니다.
그 결과, 문제의식을 공유한 해당 부서는 자발적으로 자료 유출 방지 대책을 수립했고, 실제로 그 이후 외부 유출 의심 징후는 사라졌습니다. 공식적으로 사고로 인식되지 않았지만, 저는 이 사례를 통해 보안 담당자의 역할은 강제 차단보다 ‘변화를 설계하고 문화를 이끄는 것’이라는 점을 절감했습니다.
동국제약에서도 단순한 침해 대응을 넘어서, 조직 내 보안문화 정착과 실효성 있는 통제체계 수립을 통해 리스크를 사전에 감지하고 차단하는 보안 리더 역할을 수행하고자 합니다.