| 문영식 LG텔레콤 정보보안팀 차장 “보안은 반짝 이벤트로 접근해선 안돼” | 2007.07.31 | |||
“보안은 반짝 이벤트로 접근해선 안돼”
그래서 보안담당자들은 더 머리가 아프다. 문 차장은 “기존에는 보안이 하나의 단위에서 끝났다. 하지만 지금은 통합과 융합의 시대이기 때문에 모든 것에 연결고리가 있다. 그 연결 고리별로 보안사항을 고려하는 부분이 힘들다”며 “하지만 이러한 부분에 대책을 세우는 것이 보안담당자의 업무다”라고 설명했다. LG텔레콤 문영식 차장이 말하는 보안에 대해 들어보자. LG텔레콤에는 언제부터 근무했나. 1995년 1월 당시 LG정보통신에 입사해 시스템 운영쪽 업무를 담당했다. 그때만 해도 보안에 큰 관심은 없었다. 1997년 LG텔레콤이 만들어지면서 텔레콤쪽으로 넘어왔고 거기서도 시스템 운영업무를 계속 맡아왔다. 2001년 텔레콤이 기반시설 보호법 대상기업으로 지정되면서부터 정보보안팀이 신설됐다. 당시 정보보안팀에 지원하면서부터 보안업무를 맡게 됐다. 처음 보안팀은 3명으로 시작했다. 처음 해본 보안업무는 어렵지 않았나. 초기에는 보안분야에서 하이테크니션이 되어보겠다는 욕심이 있어 해킹관련 공부도 하고 IT시설 보안에 중점적으로 공부를 했다. 업무도 보안장비 운영과 솔루션 운영에 초점이 맞춰져 있었다. 1·25 인터넷 대란을 맞으면서 장비보안의 중요성 보다 회사의 중요자산을 잘 관리하고 보호하는 것, 즉 매니지먼트가 중요하다는 것을 깨달았다. 보안의 효율적 운용과 관리가 얼마나 중요한 것인지, 또 전체적으로 보안 프레임워크를 구성하는 것에 대한 중요성을 인식하기 시작했다. 그래서 보안 프로세스를 설계하기 시작했다. 사내 모든 위험들이 비즈니스에 미치는 영향을 분석하고 카테고리별로 대응책을 마련하면서 보안 체계를 잡아 나갔다.
2005년 보안관제센터가 신설됐다. 이를 통해 회사 전체적으로 통합 모니터링과 대응이 가능해졌다. 처음에는 중요 부분에만 관제를 실시해오다 이제는 회사 전체를 아우르면서 포괄적으로 적용하고 있다. 또 최근에는 사내 개인정보와 고객정보를 어떻게 보호할 것인가, 그리고 회사내 정보를 어떻게 보호할 것인가에 초점을 맞춰 보안체계를 잡아가고 있다. 요즘 정보보안팀의 주요 업무와 구성은 어떻게 돼 있나. 정보보안과 관련된 전반적인 기획업무를 담당하고 있다. 정보통신부와 관련된 기반보호법, 정통망법, 개인정보보호법 등과 관련된 제도 정비 업무를 담당하고 있다. 법규와 관련된 정통부와 협의 등 대외적인 업무도 상당부분 차지하고 있다. 또 통신 ISAC을 통해 메이저 6개사와 네트워크와 시큐리티 등과 관련된 포럼에도 참여하고 있다. 팀 구성은 정직원 5명이 업무를 담당하고 있고 LG CNS에 아웃소싱을 맡겨 관제센터를 운영하고 있는데 이곳 인력이 6명 가량 된다. 또 네트워크 시스템을 담당하는 인력까지 합하면 모두 40여 명이 사내 보안과 관계돼 있다. 보안관련 공부는 어떻게 해왔나. 예전에는 보안 기술에 치중해 공부해왔지만 2003년부터 매니지먼트에 초점을 맞춰 공부해왔다. 유비쿼터스 사회로 변화해가면서 보안과 관련돼 공부해야할 부분도 급속하게 늘어나고 있는 실정이다. 엄청나게 쏟아지는 보안관련 정보들을 수집하고 수집된 정보를 효과적으로 보안업무에 적용하는 것이 중요하다고 생각한다. 배운 것을 실무에 적용하려고 노력하고 있다. 또 공부는 실전을 통해 배우는 것이 가장 효과적이라고 생각한다. 사내 보안성 향상을 위해 실행하는 것이 있다면. 정보보호 업체와 협력해 매년 모의해킹과 정보보호 안전진단을 실시하고 있다. 또 한국정보보호진흥원의 ISMS에 준하는 보안관련 120개 항목을 바탕으로 수준진단 평가를 실시하고 있으며 타사와 비교해 LG텔레콤의 취약점은 무엇인지 지속적으로 체크해 나가고 있다. 또 ISMS 인증과 같은 경우는 특정 분야를 정해 KISA에서 인증을 하고 있지만 LG텔레콤은 범위를 정하지 않고 전사를 아우르는 보안수준 진단을 하고 있다. 부분적인 ISMS 인증은 별 의미가 없다고 생각한다. 보안은 한 부분만 뚫려도 전체가 뚫린 것과 같기 때문에 전사적인 보안상황이 중요한 것이다.
개인정보보호 관리는 어떻게 이루어지고 있나. 매년 개인정보수준 진단평가를 실시하고 있다. 현재 LG텔레콤 회원은 740만 명이다. 기술적 부분은 정보보안팀에서 담당하고 있으며, 대외적 민원처리나 영업점 관리는 고객보호팀에서 관리하고 있다. 특히 개인정보보호는 이벤트적으로 접근하지 않고 있다. 개인정보의 생성부터 시작해 정보의 수집, 동의, 활용, 폐기까지 전체 사이클을 아울러 보호를 해야 한다. 각 사이클별로 회사에서 별도의 보안 프로세스를 가지고 있는 것이 중요하다. 또 하나의 프로젝트가 만들어지면 사전검토부터 시작한다. 충분한 대비책이 있는지 검토하고, 있다면 프로젝트를 진행하면서 중간 중간 보안 이벤트들을 관리해주는 것이 중요하다. 개인정보보호도 이런 맥락에서 이루어져야 한다. 보안 정책 마련은 어떻게 이루어지나. 보안 관련 정책 마련은 정보보안팀의 주요 업무다. 정보보안팀은 사내 보안정책을 만들고 지침과 절차를 만든다. 특히 LG텔레콤은 정책과 지침, 절차 등을 매년 개정한다. 시대에 뒤떨어진 보안 정책은 회사의 비즈니스를 방해하는 것이기 때문에 매년 정책을 개정해 상황에 맞는 보안 정책을 실시하고 있는 것이 특징이다. 1999년에 그룹사 전체의 보안정책을 수립했고 2002년부터 매년 개정해 오고 있다. 보안업무의 어려운 점은? 아직까지 보안은 ‘보험’이라는 인식이 자리잡고 있는 것 같다. 풍선을 예로 들어보면, 풍선이 회사라고 치면 풍선이 커지면서 터질 위험도 커지게 된다. 바로 회사가 커지고 이익이 커질수록 이를 보호해야할 부분은 더욱 커진다는 것이다. 하지만 초기에는 경영진과 커뮤니케이션이 어려웠는데 1·25 대란을 겪으면서 인식 전환이 많이 이루어졌다. 또 개인정보 보호가 사회적 이슈로 떠오르면서 경영진도 보안의 중요성에 대해 인식을 하고 있다. 즉 보안은 인식이 있어야 프로세스도 만들어지고 투자도 이루어지는 법이다. 지금은 해가 갈수록 보안업무에 대한 인식이 바뀌고 있어 예전과 많이 달라졌다. 그리고 보안업무는 날이 갈수록 복잡해진다. 사회가 통합과 융합의 시대로 흘러가면서 기존에는 하나의 단위로 이루어졌던 보안이 지금은 디지털 컨버전스에 대비해 이루어지고 있다. 그래서 각 분야별로 대비해야할 부분들이 너무 많다. 보안 솔루션에 대한 견해가 있다면. 국내 솔루션 중 일부분은 세계적 수준에 이른 것도 있지만 대부분이 글로벌 수준에 비해 떨어진다. 성능과 안정성 면에서 수준차이가 있다고 생각한다. 외산은 QA와 QC부분이 잘돼 있다. 그래서 대규모 프로젝트에 들어가는 방화벽, 웹방화벽, UTM, NAC 등은 외산이 주를 이루고 있다. 국내 업체들도 QA와 QC 부분에 좀더 신경을 써야 한다. 정부정책을 통해 국내 보안 소프트웨어를 보호하는 정책은 옳지 않다고 생각한다. 글로벌 시장으로 나가기 위해서는 보호보다는 강하게 키우는 것이 필요하다. 특히 외산은 제품을 만들기 전 사전 시장조사를 철저히 한다. 즉 고객의 요구사항에 대해 철저히 조사한 후 제품을 만들지만, 국내 업체들은 시장변화에 따라가기 바쁘다는 생각이 든다. 또한 제품 개발시 파워유저들에 대한 의견을 적극 수렴하지 않으려는 경향이 있다. 유저들의 문제제기는 곧 그 제품의 문제점이다. 이를 받아들이고 수정을 하는 것이 유저를 고려한 제품이다. 그것이 그 제품의 경쟁력이 된다는 사실을 모르고 있는 것 같다. 유저의 관심이 무엇인지, 그 회사에 필요한 제품은 어떤 제품인지를 정확히 알고 그에 맞는 제품을 제안하는 것이 필요하다. 사내 보안에서 가장 중요한 것이 있다면. 사내 보안문화의 정착이다. 보안부서와 경영진, 직원들간의 커뮤니케이션이 가장 중요하다고 생각한다. 이를 위해서는 보안부서의 끊임없는 설득과 교육을 통해 보안문화를 만들어 갈 수 있다고 생각한다. [월간 정보보호21c 통권 제84호 길민권 기자(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||||
 |
