| 보안업체 경쟁력이 결과적으론 ‘그린 시큐리티’ 만드는 첩경 | 2010.06.12 | |
[인터뷰] 최동근 롯데정보통신 이사/ISC부문장
정보보호, 기업 리스크관리 측면에서 바라보는 인식전환 필요
-정보보안에 대한 롯데정보통신의 사업기조에 대한 말씀? 롯데정보통신의 정보보안에 대한 미션은 크게 두 가지다. 하나는 롯데그룹의 보안수준을 향상시키고, 개인정보보호를 위한 활동을 지속적으로 전개해 그룹의 고객정보 보호에 최우선을 다하는 것이다. 물론 그렇게 하기 위해서는 기본적으로 보안관리나 교육 등의 관리적인 보안과 스마트폰 등 모바일환경에 대한 보안, POS 등 보안취약점이 있는 부분의 개선 등 수많은 정보보안 대응책을 제시하고 구현할 수 있도록 정보제공 및 가이드 작성에도 노력을 기울일 것이다. 이를 위해 그룹 정보보호위원회를 개최해 그룹사 정보보호 담당임원들에게 그룹의 보안이슈에 대한 정보공유와 실무담당자들을 대상으로 정보보호실무위원회를 수시로 개최하고 대응책을 함께 논의하고 있다. 다른 하나는 롯데정보통신의 정보보안 역량을 한곳으로 결집해 대외사업에서 보안프로젝트를 수주하는 것이다. 이미 2008년부터 정부부처의 망분리 사업에 두각을 나타내며, 대외의 보안SI 프로젝트를 다수 수주하는 성과를 거두고 있다. 이는 타 SI와 경쟁에서 우위를 나타낼 수 있는 보안SI 영역에서 롯데정보통신의 역량을 나타내었기 때문이라 생각된다. 최근 우정사업본부의 정보보호강화사업, 올해 대전 정부통합센터의 정보보호 강화사업 등을 수주한 것도 정보보호에 대한 강점을 십분 활용한 것이 도움이 됐다고 판단된다. 이는 롯데정보통신이 가진 지식경제부 지정 정보보안컨설팅전문업체와 방송통신위원회 지정 안전진단 수행기관 인증을 통해 객관적인 평가에 따른 강점을 가지고 있기 때문이라 여긴다. 특히 지난 6월 3일에는 ‘LOTTE Security Forum 2010’ 행사를 가진 바 있다. 올해 행사는 ‘Green Security’라는 주제 하에 Privacy 보안과 Smart 보안에 대한 주제로 발표세션으로 진행됐다. 이러한 행사들을 통해서도 보안분야 사업을 강화해 나갈 것임을 알리는 기회로 삼고 있는 것이다. 따라서 롯데그룹 내 보안강화와 대외사업의 강화를 통해 롯데정보통신의 정보보호에 대한 역할을 확대해 나갈 것이다.
-특히 보안 사업에 있어서의 대외매출 증가가 눈에 띄는데, 대외사업 진행은? 기존의 정보보안컨설팅의 사업영역은 1회성이고 인력을 투입한 인건비 위주의 사업에 치중했다면, 정보보안 SI사업인 경우 보안컨설팅이 가미된 보안솔루션 구축사업이라고 볼 수 있겠다. 물론 인력위주의 컨설팅에 비해 규모가 크고 구축사업이므로 리스크 또한 있는 것은 사실이다. 따라서 매출 측면에서 많은 성장이 있었다고 볼 수 있으며, 기본적인 정보보안컨설팅은 핵심역량인 기반시설, 안전진단, 보안인증, 개인정보 등은 지속해서 유지할 것이다. 최근 2년간 정부기관 망분리사업, 우정사업정보센터 보안강화, 행정안전부 웹취약점 점검, 대전 정부통합센터 보안강화 사업 등의 수주 및 부산은행 차세대에 대한 SK C&C와의 공동사업수주, 한국증권예탁원 등에 대한 금융권 수주 등 대외 보안SI성 프로젝트에 역량을 집중하고 있다. 이는 그룹내 금융권 계열사(롯데카드, 롯데캐피탈, 롯데손해보험)의 개발 및 운영경험 등을 바탕으로 대외사업에 강점을 나타내고 있는 것으로 해석할 수 있겠다. -보안분야에서의 융합은 어떻게 진행될 예정인가? IT가 융합되는 것만큼이나, 보안분야의 융합은 상상 그 이상으로 넓은 시장을 생성할 수 있을 것으로 보고 있다. 단순한 네크워크, 시스템, 어플리케이션, PC 등에 국한된 솔루션이나 컨설팅 서비스에 머무르지 않고, IT가 융합되는 모든 분야에서 보안의 중요성은 날로 강조되고, 그에 따른 대책들을 요구하고 있는 것이다. 그런 점에서 조선·교통·통신·의료·건설·전력 등 전 분야에 걸친 IT융합에서 보안해결책이 제시돼야 할 것이다. 이는 날로 인류에게 혜택을 가져다주는 IT융합의 이면에 항시 도사리고 있는 보안위협을 무시하기엔 너무 위험이 크기 때문이다. -롯데그룹의 정보보호는 어떻게 진행되고 있으며 향후 계획이 있다면? 롯데그룹은 매년 계열사의 CSO들이 모여 정보보호위원회를 개최하고 있으며, 실무위원회 또한 분기별 또는 이슈가 있으면 언제든지 개최해 그룹사의 보안이슈들에 대해 공동으로 대응하고 있다. 최근 개인정보 관련 사고에 대비해 그룹사의 홈페이지 취약점 점검을 매년 실시하고 있으며, 계열사들의 위탁업무로 인한 개인정보 유출가능성에 대해서도 점검하는 등 그룹사의 비지니스를 위한 기업의 리스크 관리 측면에서 보안을 바라보며 대응하고 있다. 이는 보안을 사업의 일부분으로 보지 않고, 계열사들의 성공적인 사업수행을 위한 사업영속성에 대한 리스크관리로 인식함으로써 투자 등 전반적인 보안대책을 마련하고 있는 것이다. -정보보호에 대한 사견과 이를 위한 최적의 방안은 무엇이라고 여기는가? 보안분야에 종사한 횟수가 올해로 23년째인데, 초기에는 사용자 인증정도(계정 및 비밀번호) 보안이 정보시스템에 적용될 수 있도록 설득하러 다닌 적이 있었다. 지금 생각하면 그때에는 인식을 바꾸기 위한 노력을 했었던 것 같다. 그러다가 어느 시점에서 보안은 보험과 같다, 초기 투자가 발생하지만 만약의 보안사고에 대처하기 위한 것이라고 생각하게 됐다. 그런데 보안솔루션 사업자들은 초기 방화벽, 다음엔 IPS, VPN, IDS, ESM 등등 너무나 많은 솔루션들이 차례로 고객에게 투자를 요구하게 됐고, 그때부터는 보험이란게 별로 실감나지가 않았다. 또한 2~3년 전에는 보안투자로 ROI를 너머 실질적인 이익을 본다고 얘기를 했었다. 게임업체들이 보안에 투자하는 만큼 이익이 증대되는 것을 사례로 제시하면서 말이다. 최근엔 리스크관리 측면에서 강조하고 있다. 보안이 취약하면, 문제발생 시 이제는 법적으로 책임을 져야 하는 그런 시대에 살고 있는 것이다. CEO나 보안책임임원이 형사처벌 및 벌금을 물게 되며, 고객들의 법적대응으로 손해배상이 기업의 생존을 위협하는 시대를 지나고 있다는 것이다. 따라서 결론적으로는 기업의 리스크관리 측면에서 정보보호를 바라봐야 한다는 것이다. - 마지막으로 덧붙여 줄 말씀? 보안에 종사하고 있는 업체, 기업, 보안전문가, 보안관련 학계 교수들, 정보보안관련 정부기관 관련자 등 보안과 직접적인 연관이 있는 분들만의 정보공유로만 끝나는 것 같아 아쉬울 때가 많다. 우리나라의 보안산업을 키우자는 입장에서 한발 물러나, 우리나라 정보화 환경을 보안이란 이슈가 지금처럼 적나라하게 드러나지 않는 깨끗한 정보화 환경(Green Security)을 만들었으면 하는 바램이다. 이를 위해 청소년들에게 정보보호 교육을 실질적으로 제공할 수 있어야 하며, 기업들은 보안에 대한 문제에 나몰라 하지 않기를 바라며, 최소한 보안대책을 마련하고서 서비스를 제공하는 문화가 형성돼야 할 것이다. 보안업체들도 많은 R&D 투자에도 불구하고 시장진입이란 문제에서 무상배포, 무료제공이란 과정을 거치는 일이 없도록 보안업체들의 기업문화가 정착돼야 하며, 구매하는 입장에서도 우리나라 보안업체들의 경쟁력이 결과적으로 Green Security를 만드는 첩경임을 함께 공감해 무료·무상구입이 결코 좋은 결과만을 가져다주는 것이 아니라는 인식을 해야 할 것이다. 우수한 보안인력을 확보하고 이들이 고급 인력으로 양성되도록 관·학·연·기업이 함께 공동의 노력을 해야 하며, 지금처럼 인력이탈로 보안인력이 부족한 작금의 현상이 또다시 발생하지 않도록 여러 가지 지원책도 제공돼야 한다고 생각한다. 끝으로 정보보호에 대한 인식을 보안산업 육성, 시장 확충 등의 문제로 국한해 바라보지 말고 Green Security, 기업의 리스크관리 측면으로 바라볼 수 있는 사회전반의 인식전환이 필요한 시점이라고 강조하고 싶다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
