올해 7월 1일자로 현대해상 내 IT부서인 정보시스템부가 IT자회사인 현대HDS로 아웃소싱되면서 기존 현대해상IT업무를 그대로 수행하는 전략기획부가 신설됐다. 전략기획부의 인프라기획팀내 보안운영직무를 총괄관리하고 있는 이성훈 차장은 “급격하게 변화하는 IT환경의 흐름에 맞춰 보안사고에 대한 형태와 발생되는 채널도 이에 따라 빠르게 변화하고 있지만 변하지 않는 것이 있다면 보안을 하는 목적”이라고 말했다.

현대HDS는 보안시스템 구축 시 보안목적과 사용편의성의 서로 상반된 부문을 최대한 중용할 수 있도록 커스토마이징을 많이 하고 있다. 예를 들어 허가돼 있지 않은 타 메일이나 메신저를 통한 사내중요정보유출차단에 대한 경우, 아예 대상자체의 접근을 못쓰게 하기보다는 정보유출방지라는 보안목적에 부합되도록 메일 발송이나 첨부 파일 보내기 등의, 즉 외부반출행위만 차단하고 메일읽기나 첨부행위가 없는 단순 메신저채팅 등은 허용할 수 있도록 세밀하게 시스템을 구축함으로써 사용편의성 또한 최대한 고려하고 있다.

특히 현대해상 IT업무를 맡고 있는 현대HDS 전략기획부의 이성훈 차장은 사내의 가장 큰 이슈 사항으로 개인정보유출을 꼽았다. 금융회사이다 보니 사내 보호돼야 하는 개인정보 대상이 타 영역권에 비해 많기 때문이다.

이성훈 차장은 “보험회사 성격상 정직원 이외에도 대리점, 플래너(설계사), 사용인 등 사용직군이 매우 다양하고 노트북, PDA, 스마트폰 등 모바일 업무 또한 보편화돼 있어 위협이 많이 증대되고 있다”며 “가장 큰 문제는 보안사고에 대한 형태와 발생되는 채널이 지금 이순간에도 변화하고 있다는 것”이라고 말했다.

이는 IT환경의 변화무쌍한 그것과 맥락을 같이 하기 때문이다. 사람이 나이를 먹어가는 것과 같이 너무나 자연스러운 현상이라는 것. 하지만 변하지 않는 것은 ‘보안을 하는 목적’임을 강조했다.

그는 “보호하고자 하는 대상의 절대량과 서비스의 종류가 다양해진 것일 뿐이지 정보자산의 기밀성 및 무결성 유지, 서비스 가용성보장의 목적은 예전과 달라진 것이 없다”며 “변화하는 IT환경에 대응하면서 보안 본래 목적을 지킬 수 있는 대책을 마련하는 것이 궁극적인 목표”라고 설명했다.

이처럼 그는 광의적인 측면에서, 장기적인 시각으로 보안을 바라보고 있다. 이에 따라 그가 그려 나가고 있는 이상적인 보안관리자는, ‘변화무쌍한 바다를 항해하는 배의 선장’과도 같다고 그는 설명했다.

이 차장은 “소중한 고객을 목적지까지 안전하게 모셔야 된다는 목표(기업의 경영 목표)를 수행하기 위해 배 안의 모든 장비관리와 혹시나 발생할지 모르는 위험(내부위협요소/취약점)에 세심하게 대비함과 동시에 배 밖의 파도와 날씨에 대한 위협(외부환경요인/위협)에도 대처해 나가야 한다”며 “물론 배가 좌초되거나 하면 가장 큰 책임을 지는 것 또한 선장(보안담당자)이기도 하다”고 밝혔다.

보안 위협과 비즈니스 목적 사이의 조율이 관건

1999년 10월, 당시 사회전반적으로 보안에 대한 관심이 나타나기 시작했고 이에 발 맞춰 체계적인 보안전담조직이 있어야 된다는 회사자체 니즈에 맞게 새로 보안담당팀이 생성되면서 서버담당자였던 이성훈 차장이 기술적 보안 담당자로 임명됐다. 오랜 기간, 보안업무를 담당하면서 느끼는 것은 보안과 비즈니스가 간혹 상반된 입장에 놓이곤 한다는 점이다.

이성훈 차장은 “현업과의 충돌 시 보안 위협과 비즈니스 목적 사이의 조율이 매우 중요하다”며 “회사에 있어 비즈니스를 통한 이익창출은 당연한 것이기 때문에 최적의 협의안을 도출하려 노력하지만 기본적인 보안위협조차 대응하지 않으려고 하는 경우가 있어 힘들 때가 있다”고 토로했다. 그러나 이처럼 보안 업무가 힘들 때도 있지만 현대HDS는 타사에 비해 경영진의 보안에 대한 인식 제고 및 투자가 좋기 때문에 그에게는 큰 힘이 된다고 덧붙였다.

끝으로 그는 “인터넷이 대중화되면서 전산을 잘 모르는 사람들도 바이러스, 해킹 같은 보안용어를 한번 정도는 들어봤을 정도로 예전보다는 보안에 대한 관심이 많아졌지만 관련 용어나 내용들이 아직도 매우 전문적이므로 대중들에게는 거리감이 다소 있다”며 “만화나 애니메이션과 같은 알기 쉽고 친숙한 보안관련 홍보물을 제작하고 단발적이지 않고 지속적으로 운영되는 보안교육 사이트가 많아졌으면 한다”는 바람을 드러냈다.

한편, 현대HDS는 향후 PC 등 전산환경 변화에 따른 기 투자된 시스템의 기능 개선 활동에 주력하며 효율적인 보안사고 대응을 위한 통합보안 모니터링 인프라를 구축하고 궁극적인 보안위협 및 취약점제거를 목적으로 한 애플리케이션 개발 보안프로세스를 마련할 예정이다.

<글/사진 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>