| [인터뷰] 산업은행 양우정 CISO “큰 그림보고 대응해야” | 2015.02.05 | ||
“거버넌스·컴플라이언스·리스크관리 염두에 두고 CEO의지 파악” 조직·프로세스·시스템 등이 조화된 효과적 보안체제가 중요해 [보안뉴스 김경애] 총자산 2조원 이상, 종업원 수 300명 이상의 대형 금융회사나 전자금융업자는 정보보호최고책임자(CISO)의 겸직이 제한된다. 이는 전자금융업무 및 정보기술부문 보안의 독립성과 책임성을 확보하기 위해 신설된 전자금융거래법 제21조의2제3항에 따른 것으로, 오는 2015년 4월 16일부터 본격 시행된다.
Q. CISO를 맡게 된 소감 및 주요 업무에 대해 설명해 주시겠습니까? 작년에는 CIO와 CISO를 겸직했어요. 2014년 개정된 전자금융거래법의 CISO 겸직금지 규정 준수를 위해 올해부터 산업은행은 CISO 관련 업무를 분리하고, 부서 조직을 신설했습니다. 불과 4~5년 전만 하더라도 보안업무라고 하면 허드렛일을 하고, 보안에 대한 중요성을 인식하지 못했어요. 하지만 전자금융이 발전하고 각종 보안사고가 발생하면서 국민들도 보안의 중요성을 인식하기 시작했죠. 앞으로 사물인터넷 등으로 인해 보안은 영역과 역할이 확대되면서 더욱 중요해지고 있어요. 그런 측면에서 한편으론 CISO를 맡게 돼 책임감과 부담감도 있지만 의미가 있다고 봅니다. 특히 올해부터는 정보보호 원년으로 선포하고, CISO를 중심으로 인력, 프로세스, 시스템 등 다양한 측면에서 종합적인 대응체제를 갖추도록 노력할 예정입니다. 또한 사람과 프로세스의 조화를 위해 노력할 것입니다. Q. 보안조직은 어떻게 구성되어 있나요? 보안조직은 2015년 1월 1일부터 CISO 직속의 독립부서로 정보보호부가 있으며, 기획, 전자금융보호, IT통제 3개 팀으로 구성되어 있습니다. 기획팀은 보안관련 기획업무와, 자체 보안성 심의와 보안성을 검토하고 있어요. IT통제팀은 보안정책을 수립하고 취약점 분석, 모의해킹, 재해복구시스템 운영을 주요 업무로 맡고 있습니다. 또한 전자금융보안팀은 온라인결제와 인터넷뱅킹 등 전자금융거래 안전성 확보를 위한 정보보호 업무를 수행하고 있으며, 보안관제실을 따로 운영하고 있습니다. 보안인력은 내부 14명 외주 22명으로 총 36명입니다. Q. 정보보호에서 가장 중요하다고 생각하는 것은 무엇인가요? 거버넌스와 컴플라이언스, 리스크관리를 가장 중요한 것으로 염두에 두고 있어요. 특히 CEO가 비즈니스에 있어 어떤 의지를 갖고 있는지 파악하고, 비즈니스가 자리 잡을 수 있도록 3가지 관점에서 큰 그림을 봐야 합니다. 그리고 이에 맞는 보안실천이 이뤄지도록 하는 것이 중요합니다. 또한 조직, 프로세스, 시스템 등 모든 부분이 종합적으로 잘 어우러져 효과적인 보안체제를 갖추는 것도 중요합니다. 특히 보안프로세스가 업무프로세스에 적절히 반영되어야 하는데 이 과정에서 효율성과 편이성을 두고 마찰이 발생하곤 해요. 견제와 협력의 관계를 적절하게 잘 유지하는 것이 관건이죠. 때문에 단위조직으로 보면 기존 CIO 조직과의 협업을 통해 효과적인 보안 대응체제를 만들어 나가야 해요.
Q. 홈페이지 위·변조, 개인정보 유출 등 웹서버 보안에 대한 중요성이 대두되고 있습니다. 현재 웹사이트에 대한 보안은 어떻게 진행하고 있나요? 안 그래도 웹 보안에 대해서는 중요하게 생각하고 있습니다. 때문에 웹셸, 악성 URL을 실시간으로 탐지하고, 웹서버를 보호하는 웹모니터링 시스템과 웹방화벽 시스템을 구축·운영하고 있어요. Q. 산업은행만의 특화된 보안문화나 캠페인에 대해 소개 부탁드립니다. 매월 셋째 주 수요일은 ‘사이버보안진단의 날’로 지정해 개인정보를 보유하고 있지는 않은지, 불법SW를 설치하진 않았는지 등 위험요소인 주요 항목에 대해 PC점검을 실시하고 있어요. 이후 진단결과는 PC화면에 띄워 부적격 내용과 보안인식 개선 내용을 안내하고 있어요. 또한 ‘클린오피스데이’를 실시해 불필요한 문서를 정기점검하고 폐기해 기밀사항 유출을 사전에 예방하고, 업무집중도 향상을 꾀하고 있어요. 또 보안의식 제고 및 문화 정착을 위해 전 직원을 대상으로 보안관련 이포스터(e-Poster) 콘텐츠를 공모·제작해요. 콘텐츠는 업무시스템 초기화면이나 엘리베이터 모니터 등에 연중으로 게시하고 있습니다.
Q. 위·수탁사 관리는 어떻게 이뤄지고 있는지요? 주로 개발 또는 운영관련 용역사업으로 사업자가 선정되면, 신원조회, 출입증관리, 정보기기 반출·입, 계정통제, 월별 보안교육, 보안서약서 징구, 하드디스크 완전삭제 등 선정 시점부터 계약종료 시까지 종합적인 보안체제를 적용해 관리하고 있어요. 하지만 내부정보 유출방지를 위해 좀더 꼼꼼히 되짚어야 합니다. Q. 보안 예산 투자는 작년에 비해 늘었나요? 작년까지는 정보보호 부문에 평균 7%~8정도 투자를 유지하고 있었어요. 그러나 올해는 FDS시스템 구축 등을 위해 100억원 정도를 투자해 17% 이상 증가했어요. 작년대비 8% 정도 늘었죠. Q. 보유하고 있는 보안관련 인증은 어떤게 있나요? 지난 2009년 국제표준 정보보호관리체계 ISO27001을 취득했습니다. 글로벌 금융시대의 경쟁력 확보를 위해 대비하고 있으며, 향후 업그레이드를 통해 인증자격을 지속적으로 유지해 나갈 예정입니다.
Q. CISO로서 정부 또는 업계에 바라는 점이 있다면 무엇인가요? 정보보호 업무는 사용편의성, 업무처리 신속성, 시스템 성능의 저하를 야기하는 특성을 지니고 있어요. 그러다보니 업무프로세스 진행과정에서 정보보호 업무와 일반업무의 충돌이 발생해 직원들의 사기가 떨어지는 경우가 많습니다. 때문에 사기진작 차원에서 원활한 업무 협력을 위한 노력을 기울여야 합니다.
물론, 금융위원회 이행 지침을 통해 기관에서 CEO에게 보안업무 담당자 사기진작의 책무를 요구하고 있어요. 하지만 권고수준일 뿐, 관련 대책들이 수립되어 있지 않아요. 따라서 매년 계획수립 시 대책수립 및 이행내용을 보고하고, 이를 명확하게 규정할 필요가 있습니다. Q. CISO로서 올해 계획과 앞으로 조직을 어떻게 이끌 계획인가요? 지난해 마스터플랜 컨설팅을 수행했는데요. 전체 정보보호 현상파악을 통해 문제점을 도출했습니다. 우선 데이터센터 망분리 작업은 끝났고, 현재 이상거래탐지시스템(FDS) 구축과 영업점 망분리 사업을 진행 중입니다. 이를 바탕으로 앞으로 3년에 걸쳐 도출된 과제에 대해 2017년까지 단계적으로 미진한 부분을 채우고 고도화시킬 예정입니다.
[김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
