• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

강석모 KTDS 상무, ┖KT그룹, 정보보호 강화는 어떻게?┖ 2010.06.20

[인터뷰] 강석모 KTDS 인프라본부장 겸 상무

“기업, 고객과 사회에 대한 신뢰·상생 위한 정보보호 노력 필요”


[보안뉴스 김정완] 최근 KT는 홈페이지/DB 해킹 및 무차별적 DDoS공격 등의 사전 예방을 위해 그룹 차원에서의 정보보호 강화에 나선다고 밝힌 바 있다. 그리고 KT그룹사에 대한 IT서비스를 제공하는 IT서비스 전문회사인 KTDS가 그러한 KT그룹사 정보보호에 대한 중책을 맡고 현재 개인정보보호, 웹 어플리케이션, 서버, DB 분야의 정보보호 진단 등을 진행하고 있다. 이에 강석모 KTDS 인프라본부장 겸 상무를 만나 KT그룹의 정보보호 활동 등을 들어봤다. 강석모 인프라본부장은 정통 KT출신으로 KTDS 창립멤버로 KT 재직 당시에는 최연소 상무로서 두각을 드러낸 바 있으며, KTDS 경영지원실 상무를 거쳐 현재는 인프라본부 상무로서 활발한 활동을 보여주고 있다.


- 현재까지 KT의 정보보호 활동은 어떻게 이루어져 왔으며, KTDS의 역할은?

KT는 최대의 유무선 고객을 보유하고 있는 만큼, 고객의 소중한 정보를 보호하기 위해 사내 정보보호전문 조직을 중심으로 정보보호 활동을 전개하고 있다.


KTDS는 KT의 영업·경영·무선계 등 IT시스템뿐만 아니라 고객DB를 위탁 관리하는 등 막중한 업무를 담당하고 있는 만큼 정보보호를 위해 그동안 축적된 경험과 노하우를 바탕으로 KT의 정보보호 수준 향상에 최선을 다하고 있다. 특히 KT가 고객으로부터 더욱 신뢰받는 기업이 될 수 있도록 ICT 파트너로서의 역할을 충실히 하고 있다.


- 정보보호 수준진단 시스템인 ‘ISSAMS’에 대한 설명 부탁한다?

‘ISSAMS(Information System Security Audit Management System)’는 정보보호 수준 진단을 과학적으로 측정하기 위한 시스템으로 ISO27001 등 국내외 정보보호 경영체계의 요구사항을 준수해 설계 됐다.


내·외부 위협에 의한 시스템 장애 및 정보 유출을 사전에 대비하기 위한 관리체계로 점수화해 관리하고 있다. 특히 내용의 타당성을 높이기 위해 관련 담당자와 심층 인터뷰를 실시했으며, 결과는 지속적으로 공유해 효율적으로 관리 진행하고 있다.


- 자체 진단 역량 강화를 위한 사전·사후 교육 프로그램은 어떻게 진행되나?

시스템 구축·운영 시 개발자, 운영자가 정보보호에 관련된 고려사항과 수준진단을 이해하는 것은 매우 중요하다고 생각한다. 그런 점에서 정보보호가 효과적으로 수행될 수 있도록 담당자를 대상으로 사전 교육을 실시하고 있으며, 진단 후 주요 취약점 및 조치를 위한 교육을 실시해 역량을 강화하고 있다.


지난 4월 정보보호수준진단 설명회, 서버운영자를 위한 서버보안 교육, AP개발자·운영자를 위한 보안 교육 등을 실시했으며, 100여명이 교육을 완료했다.


- 모의 해킹 강화는 어떻게 이루어고 있으며, 향후 강화방안은?

보안 취약점에 대해 패턴을 중심으로 점검 하는 자동 진단툴과 취약점을 연계해 해커의 공격패턴과 유사하게 취약점을 진단하는 모의 침투 테스트를 동시에 활용하는 것이 종합적이고 입체적인 예방적 정보보호라 할 수 있겠다.


서버 보안, 웹AP에 대한 진단툴, 스크립트 활용, 모의 침투 테스트로 상호보완적이고 효율적인 정보보호 활동을 하고 있다.


특히 통계청에 따르면, 국내 시스템의 해킹사고가 지난해 보다 33%나 증가했다고 하는 만큼 해킹 사고는 언제 어디서 발생할지 모르며 그 피해는 상상할 수 없을 만큼 심각하다. 그런 이유로 KT그룹은 이런 피해가 발생하지 않도록 전문화된 내부 모의 침투 테스트 인력을 통해 지속적으로 취약점을 발견·보완하고 있다.


- 기술적인 보호조치 보다 중요한 것은 무엇이라 여기는가?

첫 단추를 잘 꿰어야 하듯이 기초는 무척 중요하다. 또한 취약점에 대해 해당되는 기술적 조치를 취하는 것도 중요하다.


그러나 무엇보다 중요한 것은 사전에 규칙적으로 점검하고 취약점을 꾸준히 개선해 나가려는 의지와 인식이라 여긴다. 잘못된 정보보호로 인한 피해는 기업의 신뢰와도 관련되어 있는 만큼 종합적이고 효율적인 방법으로 관리적·기술적인 대책을 적용하려는 인식이 반드시 필요하다.


- 기업이 정보보호에 대해 관심과 보호조치를 취해야 하는 이유는?

정보보호에 대한 주의와 성실의 의무라는 것이 있다. 정보보호가 기업의 생존과도 직결될 수 있는 부분도 있지만 기업은 고객과 사회에 대해 신뢰와 상생을 위해 최선을 다해야 하는 것이다.


그런 부분에서 정보보호가 포함되는데, 얼마 전 발생한 도요타 리콜 사태에서 경험했듯이 기업의 고객에 대한 책임 있는 태도는 필수인 것이다.


- 마지막으로 ‘정보보호’에 대한 사견 한 말씀?

‘정보보호는 삶’이라고 말하고 싶다. 현대사회가 IT 없이 살아가기가 어려운 것처럼, 나와 남을 위해서 정보보호도 IT와 같이 없어서는 안 되는 생활의 한 요소라고 생각하고 있는 것이다. 결국 체질화된 정보보호가 필요하며 이를 위해 정보보호 전문가와 임직원이 함께 해야 진정한 정보보호를 이룰 수 있다고 생각된다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>