삼성카드 성재모 CISO, (ISC)² 주관 ISLA 선임 정보보안 전문가 부문 수상
“선임 정보보안 전문가로 공로 인정받아 영광...리더십 갖고 사회에 공헌할 것”
신규 보안 위협에 따른 금융정보보호 GRC 체계와 시스템 개선 노력 지속

[보안뉴스 김경애 기자] (ISC)²가 주최하는 제12회 연례 아시아~태평양 정보보안 리더십 공로 프로그램(Asia-Pacific Information Security Leadership Achievements Program, 이하 ISLA)의 수상자가 발표됐다. 수상자는 총 17명으로 시상식은 오는 7월 9일 콘래드 홍콩 호텔에서 열릴 예정이다.


이번 수상자는 아시아태평양 지역에 속해 있는 각국의 내노라 하는 정보보안 전문가들이 경합을 벌인 만큼 그 어느 때보다 경쟁이 치열했던 것으로 알려졌다. 특히, 한국인 수상자를 5명이나 배출하는 쾌거를 거둬 이번 시상식이 더욱 주목되고 있다.

수상자 명단에 오른 한국인 수상자는 선임 정보보안 전문가 부문에서 △삼성카드 성재모 CISO △비바 리퍼블리카(토스)의 신용석 CISO, 정보보안 프로젝트 관리 전문가 부문에서 △법무부 홍순돌 정보화담당관, 정보보안 실무자 부문에서 △안랩 차민석 수석연구원 △한국남부발전 한승연 대리가 수상의 영예를 안았다. 이에 본지는 ISLA 수상자들과의 릴레이 인터뷰를 통해 수상소감과 그간의 노력, 그리고 최근 보안이슈 등에 대해 들어봤다.

첫번째 주자는 선임 정보보안 전문가 부문에서 수상한 삼성카드 성재모 CISO다. 25년간 정보통신 및 금융 분야 정보보호 전문가로 활동해온 성재모 CISO는 국내 사이버보안 분야 정책과 기술발전에 기여해 왔다. 2014년 9월부터 삼성카드 정보보호최고책임자(CISO/CPO)를 맡아 왔으며, 삼성카드 금융정보보호 거버넌스 체계 수립 이후 지금껏 보안위협 완화와 금융정보보호 GRC(Governance, Risk, Compliance) 체계 구축·운영에 만전을 기하고 있다.

2001년 10월 을지훈련 유공자(사이버테러 대응)로 정통부장관 표창을 수상했고, 2004년 6월 정보문화의 달엔 정보보호 유공자로 국무총리 표창을, 2007년12월에는 금융 정보보호 유공자로 금융감독위원장 표창을 수상하기도 했다. 또한, 2009년 11월 사이버치안 질서 확립 공로로 경찰청장 표창, 2013년 12월에는 지급결제제도의 발전과 안정성 제고 부문에서 한국은행총재 표창, 2015년 12월 CISO로서의 모범적 실천활동으로 정보보호최고책임자협의회장 특별상을 수상한 바 있는 정보보안 분야 베테랑이라고 할 수 있다. 다음은 성 CISO와의 일문일답.

Q. 제12회 연례 아시아~태평양 정보보안 리더십 공로 프로그램(Asia-Pacific Information Security Leadership Achievements Program) 수상을 진심으로 축하드립니다. ISLA 수상은 아태지역에서 검증된 정보보안 전문가들과의 경합이라 수상의 의미가 더욱 남다를 것 같은데 어떠신가요?
이 상은 (ISC)²에서 2007년부터 아태지역 정보보안 전문가들에게 수여해 온 것으로 알고 있습니다. 국내에도 정보보안에 있어 기여한 공로가 많은 분들이 그간 수상해 왔는데, 올해 선임 정보보안 전문가로서 그 공로를 인정받아 제가 이 상을 받게 되어 매우 영광입니다. 이제부터 정보보안 분야에서 리더십을 갖고, 좀더 사회에 공헌할 수 있도록 하겠습니다.

Q. 어떤 측면을 인정 받아 수상의 영광을 안게 되셨다고 보시는지요?
그동안 금융권에서부터 기업에 이르기까지 다양한 분야에서 정보보호 활동을 한 경험과 최근 삼성카드에서 금융정보보호 거버넌스 체계를 수립하고, 성공적으로 수행되고 있다는 점을 높게 평가해 주신 것 같습니다. 또한, 정보보안 업무 수행 실적의 영향도(Implementation & Impact)와 함께 혁신(Innovation), 리더십(Leadership), 멘토링(Mentoring), 공헌(Dedication) 등 다양한 평가 영역에서의 활동을 인정해 주신 것 같아 기쁩니다.

Q. 삼성카드 CISO로서 정보보안 강화를 위해 어떤 노력을 기울이고 계신가요?
삼성카드의 정보보호최고책임자로서 보안 컴플라이언스 준수와 보안사고 방지를 위해 관리적·기술적·물리적 보호대책을 마련하고, 상시 모니터링 및 점검·진단 업무 등을 수시로 추진하고 있습니다. 이와 함께 정보보호 대상 확대, 지속적이고 고도화된 해킹 시도, 신규 디지털 서비스 확대를 위한 신규 ICT 도입 등을 통한 회사 비즈니스 전반에 걸친 보안활동을 수행하고 있습니다, 이제 정보보호는 정보보호 담당 인력만으로는 한계가 있다는 생각으로 현업 실무담당자들에게 정보보호의 중요성 등을 인식시키고, 회사내 모든 임직원이 함께 하는 정보보호 문화 인식 제고를 위해 노력하고 있습니다.

Q. 최근 관심있게 보고 있는 보안위협은 무엇인가요?
여러 보안위협을 두루 살펴보고 있지만, 특히 3가지 측면을 관심 있게 보고 있습니다. 첫 번째는 정보보호의 대상 확대에 따른 추가 보안위협 증가입니다. 정보보호 대상이 정보처리시스템 등의 IT 정보자산에서 개인(신용)정보 관련 각종 개인정보 수집 서류, 상담 통화 녹취 등으로 증가하고 있으며, 최근에는 영업기밀 정보보호까지 확대되고 있어 추가 위협 분석과 함께 대책 마련에 나서고 있습니다.

두 번째는 기업의 취약 포인트에 대한 보안위협 증가입니다. 최근 해커들은 기업에 대한 직접 해킹이 어려워지자 관련된 제휴업체나 취약한 솔루션 업체에 대한 해킹을 지속적으로 시도하고 있습니다. 이에 제휴업체 현장 보안점검 강화와 외부 개발된 중앙관리 시스템(패치관리, PC관리 등) 등의 취약성 점검을 강화하고 있습니다.

세 번째는 클라우드, AI(챗봇 등), 빅테이터 활용 등에 따른 신규 보안위협 증가입니다. 기존 IT 운영환경의 보안대책을 벗어나는 새로운 ICT 환경에 맞는 보안 솔루션 도입과 지속적인 취약점 분석 등 추가적인 보안대책을 마련·시행하고 있습니다.

Q. 앞으로의 계획과 목표는?
최근 클라우드, 빅데이터, 인공지능 등 ICT 기술 진화에 따라 보안위협도 지능화·고도화되고 있습니다. 신규 비즈니스 도입 등 회사의 디지털화 활동이 안전하게 보장될 수 있도록 금융정보보호 GRC 체계를 지속적으로 개선해 나가려고 합니다. 다양한 정보보호 모니터링 활동을 좀더 인텔리전스한 시스템으로 개선하고, 불필요한 프로세스 관행을 제거해 현행 업무의 효율성을 향상시킬 계획입니다. 이와 함께 정보유출 차단 및 개인(신용)정보 라이프사이클(수집, 저장, 이용/제공/위탁, 파기 등) 관리 등도 더욱 효율적으로 할 수 있도록 시스템을 개선할 예정입니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>