[인터뷰] 올해의 CISO상 수상한 코스콤 강 신 CISO
내부보안체계를 최적의 상태로 유지하는데 주력...GRC 등 문화적 내재화

[보안뉴스 김경애] “많은 훌륭한 CISO분들이 있음에도 부족한 제가 ‘올해의 CISO상’을 수상하게 돼 부끄럽기도 하고 영광스럽습니다. 이번 수상은 부족한 자원에도 불구하고 열심히 해주신 직원들 덕분으로, 앞으로 CISO로서 정보보안을 위해 더욱 노력하라는 의미로 생각하겠습니다.”

제14회 K-ICT 정보보호 대상에서 미래창조과학부 장관상인 ‘올해의 CISO상’을 수상한 코스콤 강 신 CISO의 소감이다. 코스콤은 자본시장의 핵심 IT 인프라를 운영하는 IT 서비스기관으로 국가 정보통신기반시설의 보호는 물론 IT 서비스를 이용하는 KRX, 증권선물회사, 고객의 정보자산과 사업을 보호해야 하는 역할이 있다. 이 때문에 IT 서비스 운영과정에서 발생할 수 있는 각종 보안사고를 방지하고, 2차 피해를 입지 않도록 해야 하는 책임을 동시에 안고 있다.

이에 지난 한해 동안 강 신 CISO는 조직의 정보보안을 위해 내부보안체계를 최적의 상태로 유지하고 더욱 강화해 나가는데 주력했다. 우선 최적의 인력으로도 정보보안을 효율적으로 관리할 수 있도록 체계화하고, 이를 시스템화하는데 역점을 뒀다는 것. 회사 전체 임직원이 보안의식을 갖고 정보보호활동을 수행할 수 있도록 내부 임직원과 외주용역 회사들을 대상으로 보안교육과 보안점검 현장활동을 강화했다. 이는 정보보호 활동이 하나의 문화로 정착되도록 하기 위한 노력의 일환이다.

조직과 시스템 운영에 있어서는 정보보호활동과 각종 위기대응활동을 총괄하는 IT리스크관리부를 신설했으며, 회사 전체 IT 인프라를 관리하는 전사 ITAM을 구축했다. 이를 바탕으로 IT 거버넌스 체계로의 기반 구축을 완료했고, 인프라 시스템 운영의 통합체계를 완성했다는 게 강 CISO의 설명이다. 또한, 최소 20여종이 넘는 금융보안 관련 컴플라이언스를 관리하기 위한 체계 분석도 끝마쳤다.

현재 코스콤은 정보보안을 선도할 수 있는 정보보호로드맵을 재정립하고 있다. 일례로 정보기술의 효율적인 운영과 강화 차원에서 빅데이터 기술을 바탕으로 로그 데이터를 분석·활용할 계획이다. 이는 침해사고를 사전에 인지해 예방하기 위한 것으로, 빅데이터 기반의 침해사고탐지 시스템이라고 할 수 있다. 해당 시스템은 정보보호관련 기관과의 정보공유 분석결과를 토대로 빅데이터 기반 침해사고 차단 시스템으로 발전시켜 나갈 예정이다. 이와 함께 빅데이터와 IoT, 핀테크 환경에서의 정보보호 연구도 진행할 방침이다.

현재 금융보안 감독체계가 자율보안 체계로 변화하고 있는 만큼 규제 준수를 기본으로 각종 리스크 관리가 회사의 경영관리 활동과 통합적으로 연계될 수 있는 관리체계를 완성해 나간다는 게 강 신 CISO의 향후 보안업무의 큰 밑그림이다. 이를 위해 GRC(Governance, Risk, Compliance) 체계의 초석을 다지고, 모든 임직원들이 GRC 활동의 중요성에 대해 공감할 수 있는 문화적 내재화 활동을 이어나갈 계획이다.

향후 계획과 관련해서 강 신 CISO는 “언제라도 일어날 수 있는 사이버위협에 대비하기 위한 보안활동을 지속하고, GRC를 위한 컴플라이언스 관리체계를 내년에 완성할 예정”이라며, “코스콤 서비스를 이용하는 금융투자기관들에게 계속 신뢰를 얻고, 금융보안 분야를 앞서 연구하는 선도적 역할에 집중할 것”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>