강성주 미래부 국장 “정부와 민간 등 다같이 손잡고 협력해야”

금융권 CISO들, 기업경영에 보안이 핵심 축으로 부상  

[보안뉴스 김경애] 최근 금융권 동향을 살펴보면 보안에 있어서는 각 금융권이 알아서 하도록 자율규제에 맡기고 있는 흐름이다. 일반 기업도 마찬가지다. 개인정보보호법, 정보통신망법, 신용정보보호법, 전자금융거래법 등을 통해 컴플라이언스 준수를 요구하고, 이를 따르지 않을 경우 책임을 묻는 방식을 취하고 있다. 이는 각종 보안사고에 대한 책임이 더욱 막중해졌다는 것을 의미하며, 기업 경영에 있어 가장 큰 리스크로 작용할 수 있음을 뜻한다.

때문에 보안은 단순히 정보보호라는 개념을 넘어 기업 경영에 핵심 축으로 자리매김해야 한다는 목소리가 높다. 이에 본지는 26일 그랜드 하얏트 호텔에서 개최된 EY한영 ‘Cyber세상, 보안으로 경영하라’ 세미나에서 사이버위협에 있어 보안이 얼마나 중요한지 보안전문가 8인의 생각을 들어봤다.

강성주 미래창조과학부 국장- 미래부에서는 사이버위협 대응 수준을 강화하기 위해 정보보호관리체계인증(ISMS) 의무화, 보안 전담인력 배치, CISO와 CIO의 분리 지정, 기업 연속성 확보 조치, 외부 전문가 모의 해킹, 최신 기술 도입 및 시뮬레이션 훈련, 물리적 보안 강화, 정보보호 준비도 평가 등을 통해 정보보호 투자를 유도하고 있다. 또한, 기업들의 정보호호 수준 향상을 위해 직·간접적으로 노력하고 있다. 이는 그만큼 사이버보안 위협이 각종 분야에 걸쳐 다양하게 발생하고 있기 때문이다. 따라서 정부, 민간이 함께 손잡고 안전한 세상을 위해 좀더 적극적으로 신경써야 한다.  

Paul O’Rourke EY한영 AP 사이버시큐리티 리더- 최근 EY에서 설문조사한 결과 기업의 70%이 상이 회사에 사이버보안 위협이 증가하고 있다고 응답했다. 현재 공격은 예측하기 어렵고, 끈질기며, 많은 리소스와 펀딩을 대규모로 갖고 있다. 따라서 중요한 정보자산에 대해 파악하고, 비즈니스 서비스와 연계될 수 있도록 보안업무를 수행해야 한다. 새롭게 나온 기술은 선제적으로 적용하고, 전반적인 운영리스크 관리가 필요하다. 또한, 사이버리스크와 기존의 전통적인 기술 리스크 2가지를 바라보는 관점이 필요하며, 위협 및 복잡성 증가에 따른 기업의 유연한 대응이 요구된다.

김종현 KB국민은행 CISO- 보안위협의 통로 80%가 이메일이다. 특히 금융권의 경우 스피어피싱, 제로데이 취약점 등과 같은 내부직원을 대상으로 한 APT 공격이 상당수다. 따라서 보안마인드가 중요하다. 보안마인드는 결국 보안기술+경영마인드다.

이석우 다음카카오 대표- 다음카카오 대표이지만 CISO를 겸직하고 있다. 이전부터 프라이버시와 개인정보보호에 대한 관심도 높다. 하지만 아무리 보안관련 법규를 잘 준수하고, ISMS, ISO27001 등 보안관련 인증을 취득한다고 해도 기업에서 보안사고가 한번 발생하면 타격이 크다. 사용자가 불안해하고 불신이 쌓이면 아무 소용이 없다는 얘기다. 결국 시야를 넓혀 프라이버시 측면에서 바라봐야 한다.

NH농협생명 배문하 CISO- 보안이슈 중심에는 늘 NH농협이 있었다. 때문에 보안에 대한 체질개선에 나섰다. 정보보호를 위해 GRC 체계 수립, 컴플라이언스 관리, 정보보호 프로세스 시스템화, 정보보호 위협·분석 탐지 등의 모니터링 강화, 정보보호 포털 시스템 구축 등을 통해 GRC에 초점을 맞춰 보안을 강화하고 있다. 이는 기업 경영에 있어 GRC가 뒷받침되어야 하기 때문이다. 

최동근 롯데카드 CISO- 정보보호를 사자성어에 비유하자면 ‘우문현답(愚問賢答:어리석은 질문을 받고 현명하게 답함)이다.’ 우는 ‘어리석을 우’로 보안하는 사람들은 비즈니스 감각을 보유하고 의사소통을 해야 함을 의미한다. 특히 CIO와 CISO가 역할이 분리되면서 대립관계가 형성되곤 하는데, 서로 협력하고 화합해야 한다. 문은 ‘물을 문’자로 정보보안이 투자? 라고 묻는다면 정보보호 투자는 인프라다라고 말할 수 있다. 인프라는 투자하고 되돌려 받기를 기대하지 않는다. 또한, 정보보호 활성화는 편리성과 효율성에 있어 반비례로 생각하는데 불편하다는 시각부터 바꿔야 한다. 현은 CISO는 현장을 많이 돌아다녀야 한다는 의미다. 현장에서 소리를 듣고, 현장에 근무하는 직원에 대한 관리가 제대로 이뤄져야 한다. 택배기사에게 정보보호 교육을 한번 했다고 해서 보안인식이 생기겠는가? 고객의 접점에 있는 현장 직원들을 대상으로 지속적인 교육과 관리 등을 통해 보안을 문화로 만들어야 한다. 보안 문화만 만들어도 보안문제의 60%를 해결할 수 있다. 마지막으로 답은 CEO가 직접 나서 답을 찾아야 한다는 것이다. 이는 어렵고 거창하게 생각하는 것이 아니라 ‘우리 회사 수탁사는 보안을 어떻게 하고 있지?’라는 식의 의문을 갖고 챙기면 실무진에서 적극적으로 나설 수밖에 없다. 보안사고가 발생하면 결국 CEO의 책임으로 돌아가기 때문에 보안에 관심을 갖고 직접 챙겨야 한다.

한국씨티은행 김도수 CISO- 개인정보보호와 관련해서 수탁사에게 업무를 맡겨놓더라도 보안사고가 발생하면 모든 책임은 위탁사에게 있다. 이는 수탁사 관리를 제대로 하지 않았기 때문이다. 그래서 보안사고가 발생하지 않으려면 수탁사 관리가 중요하다. 하지만 수탁사 관리가 쉽지는 않다. 이 때문에 수탁사에 대해 점진적인 보안 향상을 목표로 장기적인 안목으로 접근해야 한다. 평상시에도 문제없이 잘 운영하고 있는지 의문을 갖고 점검해야 하며, 서드파티(third party)와의 관계를 긴밀히 구축해야 한다. 또한, 수탁사를 확장된 직원의 개념으로 인식하고 관리해야 한다. 이를테면 적절한 조직과 인력 배치가 이루어져야 하고, 정보보안 수준을 지속적으로 평가해야 한다. 따라서 협력업체와 위험평가를 같이 한다는 개념으로 문제를 해결해야 한다.  

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>