한국기업보안협의회, 제77차 Security Round Table 개최... 인증 취득 경험과 글로벌 보안 트렌드 공유

스푼라디오 김태열 CISO, ‘왜 그렇게 인증에 진심이야?-중소기업의 정보보호 인증 전략’ 강연
권준 한국기업보안협의회 사무총장, ‘RSA 컨퍼런스 2024’로 본 글로벌 정보보안 트렌드 공유

[보안뉴스 김영명 기자] 산업보안 분야 전문가들로 구성된 한국기업보안협의회(회장 신현구, 이하 KCSC)는 제77차 Security Round Table을 6월 12일 서울 강남 스푼라디오 사무실에서 개최했다. 이날 세미나에서는 스푼라디오 김태열 CISO가 ‘왜 그렇게 ‘인증’에 진심이야?- 중소기업의 정보보호 인증 전략’을 주제로, KCSC 권준 사무총장(보안뉴스 편집국장)은 ‘RSA 컨퍼런스 2024로 본 글로벌 정보보안 트렌드’를 주제로 발표했다.

▲한국기업보안협의회 제77차 Security Round Table이 스푼라디오 사무실에서 개최됐다[사진=보안뉴스]

주제 발표에 앞서 KCSC 신현구 회장(중부대 교수)은 “오늘 귀한 모임 자리를 제공해 주시고 강연도 해주시는 김태열 CISO님께 감사드리고, 세계 최대 정보보안 콘퍼런스 RSAC 2024에 다녀온 권준 사무총장의 이야기도 듣고자 한다”며 “이 자리에 함께한 보안전문가들에게 도움이 되리라 생각한다”고 말했다.

먼저 스푼라디오 김태열 CISO(개인정보보호위원회 개인정보전문강사)는 ‘왜 그렇게 인증에 진심이야?-중소기업의 정보보호 인증 전략’을 주제로 발표했다. 김태열 CISO가 이끄는 보안팀은 전체 3명이라는 소수인력으로 지난해에만 무려 4개를 포함해 총 5개 인증을 획득했다. 올해는 일본 법인에서 ISO 27001 인증을 준비하고 있다.

김태열 CISO는 “우리 회사의 경우 현재 진행 중인 서비스를 안전하게 유지하기 위해서는 공신력 있는 보안 인증을 획득하는 것이 최고의 선택이라고 판단했다”며 “저희 보안팀은 작지만 빠른 실행력을 강점으로 기존 인증을 유지하는 동시에 추가로 확대하는 것이 중요하다고 봤다”고 말했다.

오디오 라이브 방송 플랫폼 스푼라디오는 모든 업무가 클라우드 기반으로 진행되는 만큼 클라우드 인증을 받았으며, 회사 전체 매출의 60%는 일본에서 발생해 CBPR(Cross-Border Privacy Rules, 국경간 프라이버시 규칙) 인증도 획득했다. 김태열 CISO는 “적은 인력으로 최대 효과를 내려면 ‘PLAN-DO-CHECK-ACT’의 개인정보 라이프사이클도 활용하는 것이 필요했다”고 설명했다. 스푼라디오는 멀티 인증을 생각하며 ISMS-P, CBPR, ISO 27001, ISO 27017, ISO 27018을 획득했으며, 의무공시 대상 기업은 아니지만 자발적으로 정보보호 공시도 진행하고 있다.

김태열 CISO는 “인증 취득 등 보안 강화를 위해 무엇보다 중요한 건 최고경영자의 지지와 후원으로, 우리 회사는 보안팀을 CEO 직속부서로 두고 직접 보고하면서 빠른 의사결정을 이끌어냈다”며 “팀원과의 1:1 커뮤니케이션을 강화하고, 회사의 성장을 위해 필요한 인증 획득에 노력하고 있다”고 말했다. 그는 “보안팀은 ‘말하지 않아도 알 것 같지만, 말하지 않으면 모른다’는 말처럼 내부 유관부서와의 커뮤니케이션도 꾸준히 이어가고 있다”며 강연을 마쳤다.

▲한국기업보안협의회 신현구 회장, 스푼라디오 김태열 CISO, 권준 사무총장(좌부터)[사진=보안뉴스]

이어서 권준 사무총장은 올해 5월 6~9일에 미국 샌프란시스코 모스콘센터에서 개최된 ‘RSA 컨퍼런스 2024(RSAC 2024)’를 다녀온 소감을 발표했다. RSAC 2024는 한국 기업 14개사를 포함해 전 세계 총 644개 기업이 참가했다. ‘The Art of Possible(가능성의 예술)’을 주제로 AI 보안, XDR, 클라우드 보안, SOAR, 인증 및 암호, CTI, OT 보안, 제로 트러스트 등 다양한 분야가 소개됐다.

콘퍼런스와 함께 진행된 전시회에서는 시스코, 구글 클라우드 시큐리티, MS Security, IBM 등 거대 글로벌 기업이 AI에 기반한 보안 솔루션을 소개했다. 우리나라는 안랩, 위즈코리아, 지니언스 등 14개 기업이 참가했다. 특히 안랩은 9년만에 다시 참가하며 미국에 특화된 보안 솔루션을 소개했다.

권준 사무총장은 “올해 테마는 사이버보안 분야 발전을 위해서는 국가와 기업간 연대와 협업이 매우 중요하다는 것”이라며, “특히 두 번째 세션에서는 미국의 권력서열 3위인 토니 블링컨 국무장관이 직접 나와 키노트 세션을 진행해 주목을 받았다”고 말했다.

대기업이 보안기업들을 인수합병하며 시장이 재편되는 것도 글로벌 정보보안 시장의 최근 흐름이다. 권준 사무총장은 “RSAC에서의 메인 기업이 전통적인 보안기업이 아닌 보안기업을 인수하거나 보안사업 부문을 확대한 글로벌 빅테크 기업이나 통신기업으로 바뀌고 있다”며 “미국의 3대 통신사인 AT&T, 브로드컴, 버라이즌이 모두 참가했다”고 말했다. 이어 “우리도 SK텔레콤과 KT, LG유플러스 등 통신사를 비롯한 대기업들이 보안기업들과의 협업을 통해 보안시장으로 들어와야 할 때라고 생각하며 이러한 변화를 계기로 보안시장은 성장속도가 더욱 빨라질 것으로 판단된다”며 “국내 대기업과 정보보안 기업들이 활발하게 연대하고 협력할 필요성을 느꼈다”고 밝혔다.

한편, KCSC는 2005년 11월 9일 창립된 산업보안 분야 전문가 집단으로 국내 대기업 및 중소기업 보안책임자 및 담당자, 그리고 외국계 글로벌 기업 CISO를 비롯해 보안업체, 보안 관련 학과 교수, 관련 협회 담당자 등 60여명이 회원으로 참여하고 있다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)