금융IT와 보안을 배우려는 후학들을 위해 강단에 서는 것이 꿈

우리나라의 증권업무 전산화를 위해 설립된 회사, 코스콤은 국내 증권 IT의 기틀을 마련하고 현재의 전자거래 시스템의 발전을 주도해온 기업이다. 지난 1982년 이 회사에 입사한 후 지금까지 28년간 증권 IT 발전의 길목에는 항상 정재동 상임 감사가 있었다. 그는 코스콤에서 전자인증사업부장, 신사업개발본부장, 경영지원본부장, 시스템사업본부장, 경영지원본부장 등을 두루 거쳐 현재는 상임 감사로 대내ㆍ외적인 감사업무에 여념이 없다. 한마디로 표현하자면 ‘우리나라 증권 IT 역사의 산 증인’이라고 할 수 있는 정재동 상임 감사를 만났다. 

코스콤에 입사하게 된 동기와 주요 업무는.

대학에서 수학을 전공하고 지난 1982년 11월 입사를 했다. 코스콤에 입사하게 된 이유는 1970년대 말에 증권관련 사고가 많았고 컴퓨터와 관련된 회사라는 점에서 매력을 느껴 입사했고 지금까지 근무하고 있다. 입사후 신입사원을 거쳐 전자인증사업부, 신사업개발본부, 경영지원본부, 시스템사업본부, 경영지원본부 등에서 주로 IT관련 부서에서부터 경영지원 등의 업무를 맡아왔다. 현재는 코스콤 상임 감사로서 사내ㆍ외 IT감사 업무를 총괄하고 있다. 특히 보안 분야의 디지털포렌식 기술을 도입해 IT감사 업무에 활용할 계획을 추진하고 있다. 이는 향후 포렌식의 도입과 활용이 확대될 것으로 판단하고 사내ㆍ외적으로 발생하는 자본시장의 IT사고에 대해 포렌식기법을 적용해 정확하게 추적ㆍ조사하고 문제를 해결하기 위한 것이다. 또한 수석 감리원 자격도 가지고 있어 감리기법을 감사업무에 많이 적용하고 있다.

감사업무와 일반 업무에도 전사 차원의 포렌식을 도입하게 된 이유와 목적은.

보안과 관련해서 포렌식을 업무에 도입한 것은 2004년부터였다. 그 이유는 자본시장의 전자거래 상황에서는 크고 작은 사고가 자주 발생해 정확한 원인 규명과 책임소재를 규명하기 위한 것이었다. 하지만 지금은 보안뿐만 아니라 일반 업무와 관련된 사고에서도 이를 도입해 문제를 정확히 해결하고자 하는 것이 목적이다. 또한 현재 포렌식은 주로 형사소송에서 많이 도입하고 활용해 왔는데 최근 자본시장의 사고와 관련해서 민사소송이 많이 발생하고 있어 민사소송에서도 이러한 포렌식기법을 많이 도입하고 있는 추세다. 특히 크고 작은 소송 등에서 대외적으로는 회사를 보호하고 내부적으로는 잘잘못을 가리고 문제점을 정확히 추적ㆍ보완하기 위한 것이 포렌식 도입의 목적이라고 할 수 있다. 

지금까지 우리나라 금융 IT발전과 전자금융거래 발전을 위해 한 길만을 걸어왔는데.

코스콤에 입사해서 현재까지 증권 IT와 관련된 일을 하게 된 것은 나에게는 굉장한 행운이었다. 지난 30여년 동안 우리나라 자본시장과 IT분야가 눈부신 성장과 발전을 이뤄왔다. 특히 IT의 지원이 없었다면 이러한 성장ㆍ발전은 불가능했을 것이다. 이러한 자본시장의 발전에 조금이나마 기여를 하게 됐고 그 중심에 내가 서 있었다는 것에 대해 커다란 자부심을 갖고 있다. 이러한 것들이 나에게는 순조로운 직장생활을 할 수 있도록 하는 원동력이 됐고 이로 인해 개인적 발전도 도모할 수 있게 됐다고 생각한다. 특히 전 세계에서 IT가 우리나라만큼 빠르고 편리하게 발전한 나라가 없다. 이로 인해 세계의 자본이 빨리 들어와서 나라 경제에 큰 도움이 되기도 했지만 자본이 빠져나갈 때도 그만큼 빠르게 많이 빠져나갈 수 있어 우리나라 경제가 휘청거리기도 한다는 것은 아이러니하다. 이러한 자본시장의 IT 인프라를 코스콤에서 지원하지 않았다면 이렇게 크게 성장하지 못했을 것이라고 생각한다.

우리나라 금융IT의 초창기와 현재를 비교한다면

예전 한국증권거래소의 전산업무를 위해 만들어진 회사인 코스콤의 옛 명칭은 ‘한국증권전산’이었다. 당시만 해도 한국증권거래소의 전산 업무 지원을 위해 만들어진 회사가 바로 코스콤의 전신인 것이다. 시대가 발전·변화하면서 모든 업무가 IT를 기반으로 이루어지게 되었고 현재는 IT가 업무의 지원 분야에서 핵심 분야, 경쟁력의 요체가 되었다. 그 중심에는 코스콤이 있었다. 예전에는 사무보조수단으로서의 전산업무가 있었는데 현재는 전산업무가 업무의 지원과 보조수단이 아니라 비즈니스의 창조수단으로 바뀌었다. 예들 들면 스마트폰이 등장하면서 새로운 비즈니스를 창조했듯 IT가 새로운 비즈니스를 창조할 만큼 발전했다고 본다. 금융분야에서도 우리는 새로운 비즈니스를 창조했고 눈부신 발전을 이루었다.

우리나라 공인전자인증제도를 실행할 수 있도록 지난 2000년 공인인증기관의 설립 발의와 구축, 운용을 성공적으로 수행하고 안전한 금융거래 체제 확립과 시장 활성화에 노력해왔는데.

인터넷프로토콜 기반에 관심을 갖기 시작한 것이 90년대 초반이었고 이는 사용이 편리했지만 그만큼 안전성이 떨어지게 되어있었다. 이에 인터넷프로토콜을 안전하게 사용할 수 있는 방법에 대해 90년대 중반에 관심을 갖기 시작했다. 그래서 지난 2000년 PKI공인증제도를 발의했고 금융보안 이슈가 본격적으로 발생하기 시작한 2000년도 초반부터 본격적인 보안의 대안으로 사용하도록 기반을 마련했다. 최근 공인인증서에 관한 문제는 전자상거래에 필요한 인프라의 하나로 도입한 것이 공인인증인데 이는 기술특성상 보안기술도 포함시켰을 뿐이다. 이를 단순하게 보안기술로만 본다면 대안은 여러 가지가 있다.

따라서 보안만을 생각한다면 다른 보안 기술을 선택해서 사용할 수 있다고 본다. 스마트폰 보안 이슈는 서버와 클라이언트의 문제이다. 공인인증서는 상대방과 동등한 위치로 생각하는 기반 인프라로 이해하면 된다. 그렇지 않으면 대안 기술을 사용하면 되는 것이다. 즉 보조수단으로서 다른 기술을 사용할 수 있다.

우리나라 전자금융거래 시스템을 해외 다른 선진국에 비해 안정성이나 편의성면에서 평가한다면.

우리나라의 시스템은 가장 안전하고 편리하게 사용할 수 있다고 생각한다. 특히 공인인증을 통한 전자서명 구현으로 가장 안전한 금융인프라를 만들었다고 본다. 지금까지의 기술로는 공개키기반구조를 이용한 전자서명 기술이 가장 안전한 기술이기 때문이다. 우리나라의 경우 외국의 증권사가 관계기관의 허가만 받으면 그날로 바로 업무를 개시할 수 있을 정도로 모든 인프라가 완벽하게 준비되어 있다. 바로 이러한 부분이 우리의 기술력을 말해준다. 사업자의 입장에서 보면 세계 어디에서나 리얼타임으로 전자거래 시스템을 사용할 수 있고 이러한 발전의 핵심에는 항상 코스콤이 있었다.

최근 사이버 금융거래 등에서 보안 사고가 종종 발생하고 있는데 이에 대한 생각은.

공인인증이 담당하는 분야에서는 기술적 사고가 없었다. 다만 예견된 부분을 소홀히 해서 문제가 발생한 것이라고 본다. 예를 들어 전자서명용 개인키를 별도의 장치에만 보관하여 사용한다면 보안사고는 일어나질 않을 것이라고 판단한다. 즉 우리는 너무나 강력한 보안 제도와 기술이 마련되어 있다. 또한 대부분 이를 적용하고 있다. 그런데도 불구하고 사고가 발생하는 이유는 각각의 규정이나 기술을 잘 지키지 않고 남의 것을 훔쳐서 발생한다는 것이다. 이러한 문제의 해결에는 충분한 교육과 계도가 중요하다. 즉 인감도장이나 마찬가지인 공인인증서를 공용 PC에 저장하는 등 소홀히 관리하고 또 이를 몰래 빼내는 보안 사고가 발생하는 것이다. DDoS 공격 같은 사업방해 행위도 늘 감시해야 하고 이를 피할 수 있는 기술력을 갖고 있어야 한다. 즉 미리 대응하면 충분히 피할 수 있다. 이는 보안기술이 아니어도 충분히 막을 수 있는 것이다.

정보보호를 한마디로 무엇이라고 단정할 수 있는가.

정보보호는 IT 인프라에서 필수 기술, 필수 인프라라고 생각한다. 예를 들어 스마트폰으로 무언가 중요한 서비스를 제공한다면 보안 조치부터 한 후에 서비스를 개시하는 것이 순서라고 본다. 사용자가 편리해지면 그 만큼 보안이 필요하다. 즉 보안은 지금도 필수이지만 앞으로 다가올 더 편리할 세상에서는 더욱 더 핵심적인 업무가 될 것이라고 본다. IT 서비스를 편리하게 제공 받을 수록 정보보호 업무는 더욱 더 필요하다. 또한 앞으로 모든 자산은 디지털 자산이고 이것이 가장 중요한 것이기 때문에 이러한 디지털 자산을 보호할 수 있는 것은 정보보호뿐이라고 생각한다.

우리나라 정보보호 수준과 관련 산업의 성장에 대한 평가를 한다면.

우리나라의 정보보호 관련 기술을 대단히 높은 수준에 올라와 있다고 본다. 다만 너무 많은 업체가 있어 집중력이 없고 치열한 경쟁에 의해 영세해지는 악순환이 계속되고 있다. 또 관련 정책이나 제도는 지나칠 만큼 잘 되어 있으나 이러한 것들이 잘 실행되려면 이를 실행하려는 사업자들이 지속적으로 유지되고 발전해야 한다. 하지만 영세한 정보보호 업체들은 순간적인 기술 성장은 가능하지만 이를 지속적으로 유지하기에는 역부족이다. 이에 정보보호 산업을 지속적이고 필수적인 산업으로 보호하고 유지하려는 적극적인 정책이 필요하다.

하루의 일과와 주요 업무를 간단히 소개한다면.

회사 업무의 전반적인 점검으로 하루 일과를 시작하고 일상 감사를 수행한다. 즉 사장이 결제하는 모든 품의는 상임감사가 일상 감사를 하고 있다. 그리고 사고 발생시 특별감사를 수행하는데 이 때 디지털포렌식 기법을 이용해 정확한 원인규명과 문제해결을 한다. 그리고 정기 감사 업무가 있는데 이 때 타사와 다르게 코스콤은 시스템 개발 및 운용에 관한 부분도 감사를 실시하고 회계 및 정책 감사도 정기 감사에 포함된다.

기업의 CSO는 어떤 역할을 해야 한다고 생각하는가.

기업의 CSO라고 하면 정보보호뿐만 아니라 물리적 보안도 관심을 갖고 있어야 한다. 또한 직원들에게 보안은 필수 업무라는 것을 홍보하고 교육해야 하며 반드시 보안이 먼저 검토될 수 있도록 업무 처리에 대한 규정을 만들어야 한다. CSO는 넓은 의미의 보안을 염두에 두고 물리적 보안과 IT분야의 보안을 모두 포용해야 한다.

앞으로의 계획이 있다면.

지금까지의 경험을 갖고 여러 가지 일을 하고 싶은데 우선은 남은 임기 동안 무사히 업무를 수행하고 보안사고 등 다른 사고가 발생하지 않도록 지속적인 노력을 할 것이다. 직장인으로서 나름대로 성과가 있는 삶이었기 때문에 감사하는 마음으로 직장생활에 관한 꿈과 실천에 대한 책을 써서 후배들 또는 젊은이들에게 알려 주고 싶다. 또 지금까지 금융 IT의 업무경험이 28년, 학교에서 학생들을 가르친 경험이 10년이기 때문에 앞으로 보안과 금융IT에 관심이 있고 이를 배우려는 후학 양성을 위해 일하고 싶다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>