처음으로 ‘통합검색’을 기반으로 한 검색결과를 제공하며 트렌드 세터(Trend Setter)로 자리매김한 NHN의 이진규 개인정보보호팀 팀장은 “보안이 수행해야 하는 업무의 영역을 법률적 요구사항의 준수(compliance)의 하위영역으로 본다거나, 지나치게 기술적으로 치우쳐서 보안시스템을 갖춰 놓는 것만으로 만족하는 것이 아니라 이용자의 관점에서 ‘이용자의 정보가 완전하고 무결하게 보호되고 있다’는 느낌을 서비스에 자연스럽게 녹여서 이용자의 신뢰를 획득할 수 있도록 서비스 기획, 개발, 제공 등 전 과정에 전문적 의견을 적극적으로 개진해야 한다”고 말했다.

’03~’05년간 미국 카네기멜론 대학의 하인즈 스쿨(대학원)에서 ‘공공정책학’을 전공하던 당시 제프리 헌커(Jeffrey Hunker) 교수와 Security Investment, Return on Security Investment 분야의 모델링 프로젝트를 진행하면서 ‘보안투자’분야를 부전공으로 학습한 것이 오늘날 보안 전문가로의 길을 걷게 됐다는 이진규 NHN 개인정보보호팀 팀장.

그가 몸담고 있는 NHN의 보안관리 조직체계는 인프라, 기술적 보안, 관리적 보안을 담당하고 있는 부서들이 상호 유기적인 업무협력을 통해 시너지효과를 발현하는 구조로 구성돼 있다.

이 팀장은 “NHN은 일반적인 온라인 기업에서 수행하는 보안업무뿐만 아니라 서비스 제공을 위해 사전에 검토돼야 할 이용자의 개인정보 보호를 위한 개인정보 영향평가, 이용자의 보안의식을 제고하기 위한 교육/학습 페이지 구성 및 제공, ISO27001 및 ISMS 등의 정보보호 인증수행 등 다양한 보안업무의 스펙트럼을 가지고 있다”고 말했다.

특히 그는 “NHN의 보안 수준은 단순히 법률적 요구사항을 충족하는 것 이상을 요구한다”며 “서비스에 자연스럽게 ‘보안’을 녹여냄으로써 이용자들이 불편 없이 우리 서비스의 보안수준에 대한 신뢰감을 형성해야 하는 것”이라 강조했다. 이는 새로운 서비스가 출시될 때 다시금 이용자들에게 선택 받을 수 있는 중요한 요소로 보안의 ROI(Return on Invest ment)를 구현하는 단계에 와 있다고 판단된다는 것.

이러한 보안수준을 기반으로 NHN은 네이버의 개인화 서비스(메일, N드라이브, 계좌조회, 가계부, 주소록, 캘린더 등)에서의 이용자의 개인정보 보호를 위한 정책 수준의 향상, 이용자와의 유기적 커뮤니케이션 지원, 기술적 지원 등에 주력하고 있다.

보안 인식제고가 최우선 과제

이 팀장은 “아무리 보안에 많은 투자를 한다고 하더라도 많은 경우 사회 공학적 기법에 의해 발생하는 사고를 예방하는 것은 불가능에 가까우며 최근의 사고들 역시 이를 반증하는 것이라고 생각한다”며 “업무에 대한 관심과 더불어 전사의 보안인식을 일정 수준 이상으로 높이기 위한 노력, 특히 교육에 대한 관심이 필요하다”고 강조했다.

이를 위해 NHN의 보안조직은 이용자들의 정보보호를 위해 개선할 수 있는 영역이 존재하는지에 대해 꾸준히 고민하고 이를 창의적으로 해결할 수 있도록 노력하고 있다.

아울러 이용자의 안전한 PC환경을 지원하기 위해 ‘PC보안 업그레이드 캠페인(네이버 백신 제공, 익스플로러 업그레이드 등)’과 같은 인식제고 노력을 지속적으로 추진하고 있으며 모바일 디바이스 환경에서 제기되는 다양한 보안 이슈 즉, 모바일 디바이스에서 구현되는 애플리케이션의 보안성 확보, 수집되는 개인정보 및 위치정보의 안전한 이용, 보관 등을 선제적으로 해소해 안심하고 서비스를 이용할 수 있도록 할 예정이다.

보안전문가, 포괄적인 지식 습득해야

특히 보안 전문가라면 이과/문과 영역의 지식을 포괄적으로 습득해야 한다는 것이 이 팀장의 의견. 개인정보보호는 크게 분류하면 ‘관리적, 정책적’ 보안 영역에 속하지만 실제로 해당 업무를 수행하기 위해서는 인프라, 네트워크, 데이터베이스와 같이 기술적 영역에 대한 지식도 기본적으로 습득해야 하며 업무를 수행하는 과정에서 기술적인 영역인 IT보안을 담당하는 업무관계자와도 커뮤니케이션을 원활하게 할 수 있어야 하기 때문이라는 것이다.

이와 관련, 이 팀장은 “NHN은 보안분야에서 뿐만 아니라 다양한 서비스 부서와 협업하고 ‘앞서가는 동료’들과 업무를 수행하며 늘 긴장을 늦추지 않고 ‘학습하면서’ 근무를 할 수 있는 환경이 갖춰져 있다는 점이 매력”이라고 밝혔다.

서비스가 출시되기 전 ‘개인정보영향평가’와 같은 검수과정을 모두 거치도록 해 이용자들이 네이버나 한게임에서 출시되는 서비스를 이용할 때 정보보호 침해에 대한 우려 없이 신뢰를 기반으로 서비스를 이용하는 것을 확인할 때 보람을 느낀다는 이 팀장에게서 ‘보안전문가’로서의 자부심이 묻어났다.

<글 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>