제133차 CISO포럼, 2024년 주목할 AI 보안위협과 수탁사 보안 강화사례 공유

한국CISO협의회, 제133차 CISO포럼 개최
IBM 조가원 상무 ‘2024년 최신 위협 인텔리전스 및 생성형 AI 시대의 사이버보안’ 발표
한국CISO협의회 이창복 부회장 ‘계약 Life-Cycle 단계별 수탁사 보안강화 및 능동적 보안 이행 프로그램’ 공유

[보안뉴스 박은주 기자] 한국CISO협의회(회장 이기주)가 개최한 제133차 CISO(Chief Information Security Officer, 정보보호최고책임자)포럼이 19일 서울 더 플라자 호텔 다이아몬드 홀에서 열렸다. 정부기관 및 기업의 CISO 100여명이 참석한 자리에서 2024년 주목해야 할 AI 보안 위협과 수탁사 보안 등 보안 강화 방법을 공유하는 시간을 가졌다.

▲(왼쪽부터)한국CISO협의회 이기주 회장, 국정원 윤오준 3차장, KISA 이상중 원장, 대통령실 신용석 사이버안보비서관[사진=한국CISO협의회]

한국CISO협의회 이기주 회장은 “여러 정부기관 보안총괄 책임자와 기업 CISO 분들이 이른 아침부터 많이 와주셔셔 감사하다”며 “정부기관 관계자께서는 CISO의 고충을 적극 이해해 정책에 반영해 주시고, CISO는 정책을 뒷받침하는 든든한 버팀목이 될 수 있으리라 기대한다”고 전했다.

강연에 앞서 국가정보원 윤오준 3차장이 축사를 건넸다. 윤 차장은 “국정원에서 국가 정책을 이행 및 집행할 때 현장에 계신 여러분의 의견이 중요하다”며 “CISO분들에게 자문하고, 귀를 기울이며 소통하는 자세를 이어가겠다”고 전했다.

한국인터넷진흥원(KISA) 이상중 원장은 “데이터 시대를 살며 새로운 사이버 위협이 쏟아지는 현재 CISO의 역할이 점차 중요해지고 있다”며 “KISA는 정보보호 전문기관으로서 새롭게 발생하는 보안 이슈를 활발히 공유하고 발전적 논의를 이뤄갈 것”이라고 전했다.

끝으로 대통령실 신용석 사이버안보비서관은 “CISO는 우리나라 사이버안보를 지탱하는 기둥”이라고 표현하며 “각 기관과 기업 CISO분들의 도움과 협력이 절실하다”고 표현했다. 또한, 그는 “사이버 위협에 대한 정보만큼 CISO가 현장에서 만들어가는 모범 사례도 중요하다”며 “모범 사례가 민간과 공공에 잘 확산되고, 우리나라 전체의 보안수준이 높아지는데 기여할 것”이라고 전했다.

▲IBM 조가원 상무[사진=한국CISO협의회]

본격적인 강연 세션에서는 IBM 조가원 상무가 ‘2024년 최신 위협 인텔리전스 및 생성형 AI 시대의 사이버보안’을 주제로 강연을 이어갔다. 조 상무는 2024년을 ‘사이버 보안의 르네상스’라고 표현하며 “극적으로 변화하는 보안 위협에 대비해야 할 때”라고 말했다.

조 상무는 “이제 취약점 공략보다 합법적인 계정을 악용하는 사례가 2023년 대비 71% 증가하고, 정보를 탈취하는 인포스틸러가 266% 증가했다”며 “이러한 위협을 지금의 정책으로 탐지할 수 있는지 의문을 가져야 한다”고 말했다. 또한 “AI(인공지능) 기술에 대한 성숙도가 50% 이상일 때, AI를 활용한 엄청난 공격이 이어질 것”이라고 설명했다.

그는 새로운 보안 위협에 대비하는 방법으로 △파편화된 계정 통합 △ 자격증명 수집의 위협 줄이기 △다크웹 노출 확인 △안전한 AI 및 모델 구축 △데브섹옵스(DevSecOps) 구현으로 보안 계획 및 테스트 △사고 영향도 줄이기 등을 제시했다.

▲한국CISO협의회(롯데카드CISO) 이창복 부회장[사진=한국CISO협의회]

이어서 한국CISO협의회 이창복 부회장(롯데카드CISO)이 ‘계약 Life-Cycle 단계별 수탁사 보안강화 및 능동적 보안 이행 프로그램’을 주제로 강연을 진행했다. 이 부회장은 “침해사고 경험을 토대로 계약 라이프사이클에서 보안을 실행해온 결과를 소개한다”며 “수탁사의 보안에 대해 되새기는 자리가 됐으면 좋겠다”고 전했다.

이 부회장은 개인정보 보호법 제26조 7항에서 ‘수탁자가 법을 위반해 손해배상책임이 있는 경우, 수탁자를 위탁자의 소속직원으로 본다’는 법안을 설명하며 “지금까지 놓쳐왔던 수탁사의 보안 관리가 우리 회사의 보안을 결정하게 될 것”이라고 설명했다.

그는 계약 체결단계의 중요성을 강조하며 △계약서 △현장점검 △교육 및 소통 등 다양한 방안을 소개하고 “수탁사 라이프사이클 단계별 보안 수준 관리를 위해 다양한 점검 및 지원 프로그램을 운영해야 한다”고 말했다.

▲제133차 CISO포럼 현장[사진=한국CISO협의회]

한국CISO협의회는 국내 기관 및 기업의 정보보호최고책임자 모임으로, 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립됐다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사 간 협력을 강화하고 있다.
[박은주 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)