보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

제134차 CISO포럼, 자율보안체계 내 정보보호 조직운영 및 해커 공략 유형별 침해사례 공유

입력 : 2024-04-16 11:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한국CISO협의회, 제134차 CISO 포럼 개최...공공기관 및 기업 CISO들 100여명 참석
KB국민은행 이재용 CISO, ‘자율보안체계 전환에 따른 정보보호 조직운영 사례’ 소개
KISA 박용규 침해사고분석단장, ‘해커가 공략하는 기업의 취약환경과 대응 전략’ 공유
대통령실 신용석 사이버안보비서관, “이번 주 SW 공급망보안 가이드라인 발표 예정”


[보안뉴스 김영명 기자] 한국CISO협의회(회장 이기주)가 개최한 제134차 CISO(Chief Information Security Officer, 정보보호최고책임자) 포럼이 4월 16일 더 플라자 호텔 서울 다이아몬드홀에서 열렸다. 정부 및 공공기관과 기업의 CISO 100여명이 참석한 가운데 열린 이번 포럼은 ‘자율보안체계 전환에 따른 정보보호 조직운영 사례 발표’와 ‘해커가 공략하는 기업의 취약환경과 대응 전략’이라는 두 개의 주제발표와 함께 최신 보안 이슈를 공유하고 소통하는 자리로 마련됐다.

▲(왼쪽부터)KB국민은행 이재용 CISO, 한국CISO협의회 이기주 회장, 신용석 사이버안보비서관, KISA 박용규 침해사고분석단장[사진=보안뉴스]


한국CISO협의회 이기주 회장은 개회사에서 “오늘은 협의회 부회장이신 KB국민은행 이재용 CISO께서 은행에서의 보안 운용 사례를 소개하고, KISA 박용규 침해사고분석단장님께서도 해커가 공략하는 기업의 취약환경과 대응전략을 공유해 주실 것”이라며 기대감을 나타냈다.

주제발표에 앞서 대통령실 신용석 사이버안보비서관은 “총선을 앞두고 사이버공격에 대비하기 위해 대통령실, 국정원, 사이버작전사령부 등이 만반의 준비태세를 갖추고, 국가사이버위기관리단과 많은 기업들의 노력 덕분에 큰 이슈 없이 총선을 마무리할 수 있었다”고 말했다. 이어 “정부의 여러 정책 중 망분리 제도 개선과 관련해 CISO협의회 회원분들의 조언을 받았고 앞으로도 협의회와 함께 할 것”이라며 “이번 주에는 SW 공급망보안(SBOM) 가이드라인이 발표될 예정인데, 선진 제도를 적용해 세계에서 앞장서 나가는 대한민국이 되도록 노력하겠다”고 밝혔다.

첫 번째 주제발표로 KB국민은행 이재용 CISO는 ‘자율보안체계 전환에 따른 정보보호 조직운영 사례’를 소개했다. KB국민은행은 금융위원회가 발표한 ‘금융보안 규제 선진화 방안’에 발맞춰 보안 거버넌스·규제·관리·감독 선진화를 반영한 정보보호 관리체계 전환 및 선제 대응을 위해 감사 기준을 기존에 컴플라이언스 중심에서 위협에 대한 자율적인 대응으로 전환했다.

또한 KB국민은행은 위협 중심 애자일 조직운영 사례로 KB 사이버 쉴드, 제로트러스트 아키텍처 구축, 전자금융 사고 예방 신기술 개발·적용, 보안관제 및 악성코드 유입 시 분석·대응, 임직원 보안인식 제고 교육 개선, 개인(신용)정보 유출 대응 모의훈련 등을 진행하고 있다.

이재용 CISO는 “자율보안체계가 적용되면 정보보호 조직운영을 통해 실질적인 정보보호 리스크 전문 보안인력을 양성하고, 금융보안 규제 개선 및 선진화에 대비한 제로트러스트 기반 정보보호 아키텍처 마이그레이션을 진행할 것”이라며 “생성형 AI 및 양자 컴퓨팅 등 신기술 발전에 대응한 신기술 기반 정보보호 리스크 관리 역량을 강화하겠다”고 밝혔다.

두 번째로 한국인터넷진흥원 사이버침해대응본부 박용규 침해사고분석단장이 ‘해커가 공략하는 기업의 취약환경과 대응 전략’이라는 주제로 발표를 이어갔다. NAS의 보안 위협 요인은 취약한 인증 및 비밀번호 사용, 접근 권한 및 파일 공유 설정 오류, 암호화 부재, 미처리된 공개 포트, SW 취약점 및 부족한 보안 업데이트 관리 등이다.

최근 해커들이 주로 공략하는 유형별 사례로는 암호화 알고리즘 키 노출에 따른 온라인 서점 전자책 유출 사고, 접근제어·권한관리·감사로깅 및 모니터링 미흡에 따른 OO전자 내부기밀 유출 및 배포, 내부 자원 표면관리 미흡에 따른 망 장애로 OO통신 유선 인터넷망 디도스 공격, 24시간 온라인에 연결된 백업서버 감염에 의한 바이오 기업의 랜섬웨어 감염 사고 등이 발생했다.

박용규 단장은 “해킹에 대응하기 위해서는 ‘나’를 알고, ‘적’을 아는 게 중요하다”며 “내부 보안 상황을 객관적으로 재진단하고, 복구 과정도 꼼꼼히 살펴야 한다”고 말했다. 이어 “자체 대응과 외부 인텔리전스 네트워크를 활용한 대응역량을 강화해야 한다”며 “특히 개발할 때 사용하는 NAS 등 소스코드 저장소 관리의 강화도 필요하다”고 강조했다.

▲제134차 CISO포럼 현장[사진=한국CISO협의회]


한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)