“회사 각 부서에서의 본질적인 보안 홀(hole) 파악할 수 있어야”

[보안뉴스 민세아] 코스콤은 증권 및 파생상품시장과 증권회사를 비롯한 금융업계의 각종 전산 인프라를 효율적으로 구축하고 운용하는 전산전문회사다. 일분일초가 중요한 분야인 만큼 서비스가 중단되지 않게 지속적으로 운영될 수 있도록 하는 매우 중요한 역할을 수행하고 있다.


서비스의 연속성을 위해서 가장 중요한 것이 바로 ‘보안’이다. 더 이상 서비스 운영과 보안은 무관하지 않다. 어느 분야에서나 보안은 필수적인 요소로 자리 잡고 있다. 이에 따라 기업의 정보보호를 책임지는 ‘정보보호최고책임자(CISO)’의 역할은 더욱 중요해지고 있다. 지난번 이준호 네이버 CISO에 이어 이번에는 코스콤의 CISO인 강신 본부장을 만나봤다.

Q. 코스콤 내부의 보안조직은 어떻게 구성되어 있나요?
코스콤 내부에는 공격자 관점에서 보안 점검, 정책·제도 시행 등의 업무를 수행하는 정보보호관리팀, 회사 내 여러 정보보호 관련 인프라들을 운영하고 관제하는 수비자 관점의 정보보호운영팀이 존재합니다.

코스콤은 증권시장에서 IT 인프라 서비스를 제공하는 것을 주 업무로 하다 보니 IT가 서비스를 제공하는 조직의 일부로 치부되는 다른 회사에 비해 IT 부서를 중요 조직으로 인식하고 있습니다. IT 리스크가 다른 기업들보다 더 심각하게 받아들여지는 것입니다.

운영의 실수, 물리적 장애나 프로그램 오류로 벌어지는 전산 장애, 외부의 침해사고 공격이나 내부자에 의한 정보유출 위험성이 다 똑같이 IT 리스크입니다. 침해사고의 성격과 함께 전산장애 사고도 IT 리스크의 하나로 보고 있기 때문에 침해사고 대응만 담당하는 것이 아니고 전산장애까지 담당하고 있습니다.

정보보호조직이라고 한다면 직접적인 미션을 받는 직접 수행조직 이외에 정보보안책임자와 담당자가 각 부서마다 있습니다. 정보보호책임자가 정보보안담당자를 임명하게 되어 있어 현재 정보보안담당자가 50명 정도 존재합니다.

Q. 핀테크 시대라는 말이 있을 정도로 핀테크가 주목받고 있습니다. 그러나 편리함 만큼 보안성도 매우 중요한데, 코스콤에서는 이에 대해 어떻게 대응하고 계신지 궁급합니다.
현재 사장님이 코스콤에 부임하신 후 집중했던 것이 미래 먹거리였습니다. 그래서 핀테크 공모전도 진행했고, 핀테크 지원센터를 운영하고 있으며, 핀테크 펀딩 기금을 조성하는 등의 역할을 수행했습니다. 나름 증권업계 핀테크를 주도하고 있는 상황이고, 핀테크와 관련해 코스콤이 적극 지원하고 있습니다.

핀테크는 사람이 가지고 있는 욕망을 실현시키는 과정이라고 생각합니다. 과거에는 그저 컴퓨터가 데이터를 처리하는 역할만을 수행했다면, 인터넷이 보급된 이후 정보의 공유와 커뮤니케이션이 자유로워지기 시작했습니다. 사용자 단말도 PC에서 태블릿, 스마트폰으로 변화하기 시작했고, 인터넷과 모바일이 만나니 모든 것이 바뀌기 시작했습니다.

우리나라가 핀테크 산업이 늦게 발전하는 이유는 우리나라 금융 서비스 인프라가 워낙 훌륭했기 때문입니다. 모든 금융거래에 인터넷을 이용할 수 있기 때문에 핀테크의 필요성을 쉬이 느끼지 못했기 때문이죠.

모바일을 포함한 새로운 IT 트렌드는 사람과 사람의 연결, 욕구와 서비스의 연결입니다. 지금은 이러한 변화가 자유롭고, 폭발적으로 일어날 수밖에 없는 환경입니다. 그러나 서비스가 바뀌기 위해 가장 중요한 것은 보안입니다. 소비자와 서비스 제공자들을 충분히 보안해야 합니다. 이는 코스콤을 포함한 정보보호 업계사람들이 같이 고민하고 해결해야 하는 부분입니다. 정보보호가 없다면 핀테크도 없기 때문입니다.

Q. 그렇다면 내부 직원들과의 정보공유나 개발·운영부서와의 협업은 어떻게 이뤄지고 있나요?
망분리가 되어 있기 때문에 다른 곳으로의 정보들은 다 막혀져 있고, 중요 시스템에 접속할 수 있는 단말의 수는 제한되어 있습니다. 중요 데이터는 식별되어 가상의 정보로 바뀌어 제공됩니다. 직원들은 모두 시큐어코딩을 해야 하고, 코드가 적절하게 짜여졌는지 일일이 확인합니다.

그러나 직원들은 이런 부분을 불편하다고 생각하지 않습니다. 개발이나 운영부서와의 마찰은 이미 옛날에 끝난 일입니다. IT 서비스 제공이 본업인 회사이기 때문에 내부 장애든, 외부적인 침입이든, 모두 다 우리의 본업을 위협하는 요소입니다. 때문에 개발이나 운영부서가 정보보호 부서와 업무적인 부분에서 갈등이 생기는 일은 거의 없습니다.

기본적인 정보는 코스콤과 관련된 기사, 직원들이 숙지해야 하는 기사들을 모아서 회사 게시판에 올려서 정보들을 공유하고 교환합니다. 보안관련 문제가 있을 때에도 회사 게시판 통해서 공지합니다. 또한, 주기적으로 교육을 진행하고 있습니다. 개인정보보호 교육을 연 2회 진행하고 있고, 기타 보안교육을 수시로 진행하고 있습니다. 그러나 늘 부족하다고 느끼고 있습니다.

Q. 코스콤 내부 보안교육은 어떻게 진행하고 계신가요? 타 기관과 차별화되는 교육이나 캠페인이 있다면?
이전에는 재미있게 교육할 수 있는 외부 강사를 초빙해 보안교육을 진행했지만, 경험 측면에서 부족함을 느껴 지금은 사내 강사를 초청해 교육하고 있습니다. 사내 강사의 좋은 점은 같은 생활문화권에 있기 때문에 소통 측면에서의 장점과 경험에 대한 공유가 더 적극적으로 이뤄질 수 있다느 점입니다. 개인정보보호 교육은 1년에 두 번 진행하고, 그 외 각종 직군별 교육은 수시로 진행됩니다. 교육 대상은 코스콤에 재직하는 협력직원을 포함한 임직원 모두입니다.

또한, 보안업무를 담당하고 있는 직원들에 대한 교육도 매우 중요하게 생각하고 있기 때문에, 위탁교육을 보낸다던가 자격증을 취득할 수 있게 지원하는 등 실무능력을 배양하기 위해 다양한 노력을 하고 있습니다.

Q. 금융권 관련 규제들이 자율규제로 변화하는 추세입니다. 최근 금융권은 ISMS 인증 의무화도 폐지된 상황인데, 이에 대해 코스콤에서는 어떻게 대응하고 계신지요?
코스콤은 금융권에서 일하고 있지만 정확히는 금융기관이 아니기 때문에 ISMS 의무화 제외 대상에 해당하지 않습니다. 이미 대다수 금융기관들이 ISMS 인증을 받은 상태기 때문에 유지만 안 해도 되는 것일 뿐입니다.

사실 자격을 받든 안받든 스스로 판단하고, 결과에서 문제가 생기면 책임지게 하는 측면이 강조되어야 하는데, 이번 ISMS 인증 자율규제 전환은 규제 철폐처럼 보이는 측면이 없지 않아 있습니다. 제대로 된 금융기관이라면 자신들의 보안수준을 높이고, 스스로 평가하고 개선점을 찾기 위해서라도 외부의 심사나 인증 등에 적극 대응해야 할 것으로 봅니다.

코스콤에서도 공신력을 갖기 위해 ISMS, ISO 27001이나 관련 인증을 계속 취득해야 한다고 생각하고 있으며, 가까운 시일 내에 컨설팅을 받을 계획입니다.

Q. 파밍 등 해킹으로 인한 소비자들의 피해가 계속해서 발생하고 있는데, 금융 분야 CISO로서 소비자들에게 당부하고 싶은 것은?
일반적인 이야기겠지만 비밀번호가 노출되지 않게 하고, 비밀번호를 주기적으로 변경해야 합니다. 출처가 불분명한 이메일을 받을 경우 함부로 열어보지 말고, 타인에게 정보를 제공하는 일을 최소화해야 하며, 백신 솔루션을 꼭 사용하는 등의 수칙을 지키는 게 중요하다고 봅니다. 무엇보다 무료로 혜택을 준다고 개인정보를 제공해 달라는 것에 현혹되지 말아야 합니다.

Q. 코스콤 CISO로 근무하기까지 거쳐 온 과정이 궁금합니다.
아무리 정보보호 분야 종사자라 하더라도 다른 부서들에 대한 경험이 꼭 필요하다고 생각합니다. 처음 코스콤에 프로그래머로 입사하면서 직장생활을 시작했고, 지금까지 근무하고 있습니다. 내년이면 근속년수 30년을 채우게 됩니다.

코스콤에서 할 수 있는 일은 다 해본 것 같습니다. 프로그래머로 입사 후 회사 계정 시스템을 운영하다가 공인인증 업무를 맡게 되었고, 서비스 구축 업무도 수행했었습니다. 이후 팀장으로 진급하게 되면서 정보보호 분야를 접하게 됐습니다.

이후 기술적인 분야뿐만 아니라 마케팅, 기획부, 해외사업 부서에서도 근무하는 등 다양한 업무를 자진해서 수행했습니다. 이러한 경험이 지금 CISO 업무를 수행하면서 각각의 조직 입장을 이해할 수 있기 때문에 많은 도움이 되는 것 같습니다. 이를 통해 각 부서에서 발생할 수 있는 본질적인 홀(hole)을 파악할 수 있었다고 봅니다. 아마 회사내 가장 많은 부서에서 일하지 않았나 싶습니다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>