Home > 전체기사 > 인터뷰

[2021 정보보호 유공자 인터뷰-4] 과기정통부 장관상, 윤혜정 인터파크 CISO/CPO

  |  입력 : 2021-08-24 18:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보보호 신기술 선도적 도입과 실무 경험 공유 통한 업계 정보보호 수준 제고 등 업적 인정받아
윤혜정 CISO “개개인이 모두 보안에 대한 인식과 사이버 공격에 대한 경각심 가져야”


[보안뉴스 원병철 기자] 제10회 정보보호의 날 기념식에서는 한 해 동안 정보보호 발전을 위해 노력해온 유공자 31명에게 정부 포상을 수여했다. 인터파크의 CISO와 CPO를 역임하고 있는 윤혜정 이사는 정보보호 신기술의 선도적 도입과 실무 경험 공유를 통해 업계의 정보보호 수준 제고와 보안 인재 육성에 기여한 점을 인정받아 과학기술정보통신부 장관상을 수상했다.

▲정보보호의 날 유공자 표창을 받은 윤혜정 인터파크 CISO·CPO[사진=인터파크]


인터파크는 쇼핑, 도서, 티켓, 투어와 같이 다양한 서비스 도메인을 보유하고 있으며, 각각의 비즈니스가 특색 있게 운영되고 있다. 따라서 정보보호 조직은 각 서비스 도메인에 대한 이해는 물론, 동일한 정보보호 항목이라도 서비스 특성에 따라 정보보호 정책이나 기술을 고려해야 한다. 이 때문에 인터파크는 정보보호 전문 조직 육성, 투자 예산 확보, 현업 조직과의 지속적인 소통과 협업, 인식제고 활동 등을 통해 많은 노력을 기울여 왔다. 윤혜정 이사는 인터파크의 CISO 및 CPO로 정보보호 업무를 총괄하고 있다.

온라인 마켓의 특성상 보안의 어려움이 많은 것으로 알고 있습니다. 그간 어떤 노력을 기울여 오셨는지 궁금합니다
먼저, 영광스럽게도 제가 수상을 하긴 했지만 이 상은 저 혼자만의 노력의 결과가 아니라고 생각합니다. 제가 수상의 영예를 안을 수 있었던 건 오랜 기간 끈기 있게 안전한 서비스 환경을 만들기 위해 함께 고군분투했던 많은 분들이 함께 만든 결과라고 생각합니다.

기업에서 정보보호를 담당하려면, 사업의 추진방향을 이해하고, 기술적으로나 컴플라이언스 측면에서 리스크가 없는지 지속적으로 확인하고 리스크가 최소화되도록 수렴해가는 과정이 필요합니다. 물론 사업은 타임 투 마켓이기 때문에 처리 타이밍도 중요합니다. 사업이 본래 취지에 맞게 진행되고 거기에 안전성도 도모하는 과정은 결코 쉬운 과정이 아닙니다.

오랜 기간 이 쉽지 않은 과정을 함께해준 동료들이 있었기 때문에 가능했다고 생각하고요, 이 수상의 기쁨을 그분들과 함께 나누고 싶습니다. 아울러 상호 보안 이슈 해결을 위해 동병상련의 마음으로 늘 함께 하시는 업계 CISO에게도 감사 말씀드립니다.

인터파크에서 현재 어떤 업무를 맡고 계신가요?
저는 정보보호 관련 전반적인 업무를 총괄하고 있습니다. 관리적, 기술적, 물리적 관점에서 보안에 대해 검토하고 강화하는 활동들을 하고 있습니다. 새로운 서비스 런칭시 컴플라이언스 측면에서나 기술적 측면에서 검토하고, 정보보호 시스템 운영 및 기술적 보안 고도화를 추진하고 있으며, 보안 인식 제고를 위한 다양한 활동 및 보안 감사 활동을 펼치고 있습니다.

오랜 기간 정보보호 업무를 해 오면서 가장 중요하다고 생각하는 것은 무엇이며, 이에 대한 대책은 어떻게 세우셨는지 궁금합니다
정보보호 업무에서 제가 생각하는 가장 중요한 점은 크게 세 가지입니다. 첫째, 정보보호 조직은 사업과 보조를 잘 맞춰가야 한다고 생각합니다. 사업을 이해하고 사업과 유기적인 보안이 될 수 있도록 해야 하고, 그 과정에서 보안 리스크 최소화에 대해 논의하는 과정 또한 필수입니다. 둘째, 기술적 변화에 늘 깨어 있는 적극적이고 능동적인 자세가 필요합니다. 최신 기술은 사업에도 반영이 되고, 외부 해커들의 공격에도 활용이 될 수 있으며, 또한 보안시스템 고도화에도 적용될 수 있습니다. 따라서 최신 기술 트렌드에 대한 이해와 도입에 대한 적절한 판단이 중요합니다. 마지막으로, 정보보호를 잘하기 위해서는 대외적인 변화를 잘 감지하고 대응해야 합니다. 이에 컴플라이언스 측면에서의 변화, 법률 재개정 사항, 관련 기관과의 유기적인 관계가 필요합니다. 주요 정보에 대한 신속한 파악과 체계적인 내부 전파로 많은 보안 리스크를 줄일 수 있기 때문에 중요한 업무라고 할 수 있습니다.

코로나19로 인한 비대면 업무 증가나 디지털 전환 등 변화하는 환경에서 보안전문가가 준비해야 할 것은 무엇이라고 생각하시나요
비대면 업무 증가나 디지털 전환이 가속화됨에 따라, 정보보안의 역할이 많이 커지고 있는 것 같습니다. 그 과정에서 보안 리스크가 생길 수 있고, 또 조직에서도 전문적인 역할을 많이 기대하고 있습니다. 이 때문에 보안전문가들은 변화의 흐름을 잘 읽고, 조직에서 필요로 하는 기술들에 대해 전문성을 확보하는 것이 중요한 것 같습니다.

예를 들면, 클라우드와 빅데이터, AI 등 서비스에 적용되는 최신 기술들, 그리고 코로나로 인한 업무환경의 변화, 즉 원격근무의 일상화에 대한 보안성 검토와 보안기술의 적용은 필수입니다. 국내 대표적인 인증인 ISMS에도 이러한 관련 항목 업데이트 되었듯이, 정보보호 분야에서의 변화도 필연적이어서 과거 기술이나 지식을 고수하지 말고 변화 습득을 위한 능동적인 대처가 무엇보다도 중요하다고 생각합니다.

최근 기업을 대상으로 한 사이버 공격도 많지만, 일반인을 노린 공격도 늘고 있습니다. 정보보호 전문가로서 조언을 해주신다면
최근 주변에서도 개인적으로 랜섬웨어나 피싱으로 인한 피해 사례를 듣게 됩니다. 해당 공격이 만연하고, 대책에 대한 사회적인 논의도 많이 되고 있으나, 상황이 쉽게 호전되고 있지는 않습니다.

첨단 보안 시스템이 아무리 잘 갖춰져도 완벽한 보안은 없기에, 국민 하나하나가, 조직 구성원 하나하나가 경각심을 갖는 것이 중요합니다. 이를 위해서는 무엇보다도 개인들에 대한 보안 인식 제고 활동이 필요하다고 생각합니다. 정부 부처나 기관에서도 근원적인 해결을 위해 많은 노력을 기울이고 있지만, 국가 차원에서의 지속적이고 실효성 있는 연구와 적용이 중요하다고 생각합니다. 기업에서도 보안에 대한 예방적 차원의 선제적 투자가 되어야 하고, 서비스를 이용하는 일반 국민들이 쉽게 이해하고 동참할 수 있는 정보보호 캠페인을 함께 기획하고 적용하는 것이 필요하다고 생각합니다. 결론적으로, 정부와 사회, 기업이 문제를 함께 해결해 가기 위한 열린 논의가 지속적으로 필요하다고 생각합니다.

앞으로의 계획에 대해 말씀해 주신다면
보안 분야에서 더 많은 역량 있는 분들과 소통하면서 많이 배우고 싶고. 할 수 있는 한, 제가 기여할 수 있는 역할을 하고 싶습니다. 또한, 같은 길을 걷는 후배들과도 많은 소통의 시간을 갖고 싶습니다.

오랫동안 기업에서 정보보안 업무를 해오면서 대내외적으로 많은 경험을 했다고 생각합니다. 기업에서의 보안은 끝없는 창과 방패 싸움의 현장을 지키는 일이고, 기업의 보안 수준은 정보보안 조직의 업무 열정과 임직원들의 적극적인 참여를 통해 업그레이드 될 수 있습니다. 최근 급격한 기술 발전과 서비스 환경 변화로 기업에서 보안을 담당하는 일이 쉽지 않은 것이 사실인데요, 이번 장관 표창 수상은 저에게 너무나 영광스러운 상이고, 또한, 적극적으로 함께해주신 임직원들이 함께 이뤄낸 결과라고 생각합니다. 앞으로도 안전하고 편리한 서비스 환경을 위해 지속적으로 노력할 것은 물론, 인터파크뿐만 아니라 대한민국의 안전한 서비스 생태계를 위해 기여할 수 있도록 노력하겠습니다.  
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)