• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[K-ICT 정보보호 대상] 한국남동발전 대상 수상 2015.12.09

[인터뷰] 홍성의 한국남동발전 CISO·전무
“보안강화 위해서는 사내 정보보호 문화 형성과 전 임직원들의 공감이 중요”

[보안뉴스 김태형] ‘제14회 K-ICT 정보보호대상’ 시상식이 9일 서울 여의도 전경련회관에서 열리는 가운데 한국남동발전은 대상인 미래창조과학부 장관상을 수상했다. 한국남동발전은 공공기관 정보보안 평가에서 1위를 차지할 정도로 공공기관에서 정보보호 활동을 모범적으로 하고 있는 기관이다. 한국남동발전의 홍성의 CISO(전무)를 만나 이번 수상 소감과 한국남동발전 사례를 중심으로 정보보호 활동을 통한 보안강화 방안에 대해 들어봤다.

▲ 한국남동발전 홍성의 전무·CISO

Q. 올해 ICT 정보보호 대상에서 대상을 수상한 소감과 수상 배경은?
지난해 공공기관 정보보안 평가에서 1위를 차지해 ‘국가안전보장패’를 수상한 이후, 올해는 민간기업을 포함한 ‘K-ICT 정보보호 대상’을 수상하게 되어 너무 영광스럽고, 감회가 새롭습니다. 이번 상을 수상하기까지 도움을 주신 미래부 관계자 분들과 고생해주신 직원들에게 감사의 말씀을 드리고 싶습니다. 우리 회사는 지난 2011년부터 정보보호 전담부서를 구성했으며, 이를 바탕으로 정보보호 전담인력의 지속적인 육성과 중장기 정보보호 강화 계획을 수립해 매년 보안강화 활동을 추진해 왔습니다. 이러한 노력들이 이어져 오늘의 좋은 결과를 일궈낸 것 같습니다.

Q. 한국남동발전에서 가장 중요한 정보자산은 무엇인가요?
우리 회사는 지난 2001년 전력산업구조개편법에 의거해 한국전력공사로부터 분할된 6개 발전회사 중에 하나로, 국내 총 전력생산의 11%를 담당하고 있습니다. 대표적인 발전소로는 수도권 전력의 25%를 담당하고 있는 영흥화력 발전소가 있습니다. 주력인 화력발전뿐만 아니라, 풍력, 태양광, 연료전지 등 다양한 신재생에너지 생산에서도 국내 전력산업을 주도하고 있는 발전 공기업입니다. 우리 회사에서 사이버 공격으로부터 보호해야할 가장 중요한 정보자산은 전력 생산에 직접적인 영향을 미치는 발전소 제어 시스템입니다. 이 제어 시스템 보호를 위해 외부와는 완벽하게 차단된 폐쇄망으로 엄격하게 관리하고 있으며, 3선 보안 방호체계를 통해 철저하게 출입자 관리를 하고 있습니다.

Q. 발전소 제어 시스템 보안을 위해서 내외부적으로 어떤 노력을 하고 있나요?
정보보안 부서가 생긴 이후, 가장 먼저 한 것이 정보보안 체계를 정립하는 일이었습니다. 정보보안과 관련된 사내 업무절차, 지침 등을 정비하는 등 정보보안 체계를 수립했습니다. 국제 정보보호 경영시스템 인증(ISO-27001), 행자부 개인정보표준 관리체계 인증(PIPL)을 획득해 정보보안 체계를 견고히 하기도 했죠. 이와 더불어 고도화되는 해킹에 체계적으로 대응하고자 우리 회사 자체 사이버안전센터를 개소, 정보보안 전문인력을 배치해 24시간 보안관제 활동을 펼치고 습니다다. 사이버안전센터는 사이버위기관리 컨트롤타워로 침해사고 예방활동, 조사, 분석, 대응 업무에 집중하고 있으며, 이를 통해 악성코드 유포지 등 침해사고 탐지룰을 올해 3월 센터 개소 이후 100건 이상 개발하는 등 국가정보원, 산업통상자원부와 공조체계를 견고히 하고 있습니다.

Q. 정보보호 전담 조직 구성 및 인원과 주요 업무는?
우리 회사에는 정보보안을 전담하는 보안정보전략실을, 발전소 현장에는 제어 시스템 보호를 위해 ICT보안부를 구성했습니다. 본사에는 11명, 사업소에는 6명의 정보보안전문가들이 배치돼 있으며, 정보보호 전담인원은 매년 증원하고 있습니다. 이들의 주요 업무는 주요 정보통신 기반시설에 대한 보안관리와 사이버 침해사고 예방활동, 조사, 분석 업무 등이라고 볼 수 있습니다.

Q. 보안강화를 위해서 현재 추진 중이거나 앞으로 추진할 사항은?
최근 발생하는 보안사고의 대부분이 협력회사를 경유해서 발생하는 사고들입니다. 이를 방지하고자 우리 회사의 보안강화 활동과 더불어 협력 중소기업의 보안수준 동반상승을 도모하기 위해 ‘협력회사 경영자원 보호플랫폼 제공계획’을 수립해 추진하고 있습니다. 또한, 우리 회사의 정보보호 전문인력을 활용해 보안컨설팅과 취약점 점검활동, 보안제품 지원 및 정보보안관리체계 인증수립을 지원하는 중장기 계획을 차근차근 실행 중입니다.


Q. 향후 정보보호 강화를 위해 어떤 계획을 갖고 있나요?
우선 협력회사에 대한 보안등급제 시행과 함께 협력회사와의 안전한 협업망을 구축할 계획이며, 일반보안·시설보안·정보보안을 융합한 ‘융복합 마스터플랜’을 적용하고 빅데이터 기반으로 사이버안전센터 보안관제 기능을 고도화할 계획입니다.

Q. 공공부문의 정보보호 최고책임자로서 공공부문의 정보보호 강화를 위해 가장 중요한 것은 무엇이라고 생각하시나요?
무엇보다 전 임직원들의 참여를 이끌어내는 것이 가장 중요합니다. 한 조직의 정보보안 수준을 정보보안 조직만으로 유지하는 것은 어렵습니다. 회사의 전략 방향을 전 직원이 공유해 회사를 이끌어 나가는 것과 마찬가지죠, 전 직원들의 공감 하에 사내에 정보보호 문화를 형성하고, 정보보안 활동이 업무프로세스에 자연스롭게 융합되어 있을 때 회사의 정보보안 수준이 향상될 수 있다고 생각합니다. 이를 위해 임직원들에 대한 지속적인 교육과 훈련이 가장 중요하다고 봅니다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>