Home > 전체기사
“문제를 해결하고자 하는 진심이 길을 알려줍니다”
  |  입력 : 2017-01-18 17:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비바리퍼블리카의 신용석 CISO 인터뷰
사랑받는 보안, 불편하지 않게 하는 보안으로 자발적 참여 이끌어야


[보안뉴스 문가용 기자] 신용석 CISO가 선택하는 조직은 매번 젊어진다. 국가 기관에서 MS로, MS에서 넥슨으로 가더니 이번엔 아직 3년도 안 된 스타트업인 비바리퍼블리카다. 정보보안이란 것이 산업과 업체의 속성을 반영할 수밖에 없는데, 아무리 보안 전문가라 하더라도 이러한 행보는 지나치게 과감한 것 아닐까? “업체의 성격에 따라 달라져야 하는 게 보안의 속성 중 하나지만, 변하지 않는 부분도 있어서 괜찮다”고 그는 답한다.


“기관과 소프트웨어 업체, 그리고 게임 개발업체와 핀테크 업체는 많이 다른 게 사실입니다. 무엇보다 산업마다 반드시 지켜야 하는 법과 정책, 표준이 달라지죠. 그런데 정보보안의 본질 자체는 생각만큼 크게 다르지 않아요. 물론 보안의 본질이라는 것에 대해 담당자마다 생각이 다를 수는 있겠지만요.”

이 정보보안의 본질에 대해 신용석 CISO는 ‘진심으로 문제를 해결하고자 하는 의지’라고 답한다. 산업마다 다른 표준과 정책이 정립되어 있는 것도 ‘문제를 진짜로 해결하고자 함’이고 다양한 기술들이 개발되고 다양한 해킹 조직들을 추적하는 것도 ‘문제를 진짜로 해결’하고자 하는 마음에서 비롯되어야 한다는 게 그의 생각이다. 그러니 단순히 법 조항을 외우고 회사가 그걸 지키는지 안 지키는지 전전긍긍한 건 보안 담당자로서는 실격이다.

1. 법과 표준 지키는 건 Minimum
“CISO의 역할을 정해주는 법령은 가지각색입니다. 그중 자기에게 적용되는 걸 파악하고 지켜내는 건 중요한 일입니다. 하지만 그 와중에 ‘여기까지만 하면 안전해’라는 잘못된 생각이 은연중에 자리 잡을 수 있고, 더 나아가 ‘이 법을 지켰으니 설사 사고가 일어나도 우리는 책임 면제’라고 여기기도 합니다. 벌 받지 않을 만큼만 보안 조치를 취하고 그 다음은 조직 전체에 모험을 시키는 건데, 이런 사람들이 인식하고 있는 문제는 ‘벌금’ 정도라고 볼 수 있겠죠. 법은 그저 최소한의 안전 수칙일뿐입니다. ‘보안’이라는 진짜 문제를 해결하기 위해 기본적으로 해야 하는 제일 밑바닥의 해결 과제일 뿐이라는 것입니다.”

그러면서 신용석 CISO는 “청소하기 위해 걸레를 빠는 것”에 ‘진짜 문제 해결’을 비유한다. “걸레를 빤다고 저절로 방이 깨끗해지지는 않잖아요. 진짜 보안을 위해서는 법을 지키는 것 외에 더 많은 것들을 해야 합니다. 빤 걸레를 가지고 실제로 청소를 해야 하는 것처럼 말이죠. 예를 들면 복잡한 법이나 표준을 일반 직원들에게 교육하는 것이 있습니다. 나만 법을 안다고 컴플라이언스를 이뤄낼 수 없습니다. 회사가 다 같이 지켜야 하죠.”

실제로 그는 비바리퍼블리카에 와서 법과 정책을 정리하는 작업부터 진행했다고 한다. “정보보호와 관련되어 있는 법이나 지침, 필수 실천 사항 등이 얼마나 많은지 아세요? 저와 저희 CTO가 속한 정보보안위원회에서 이걸 정리하는 작업을 했는데요, 워드 문서 10 포인트 글자로 90페이지가 넘게 나왔습니다. 법이나 보안을 전문으로 하지 않는 이상 누가 이걸 다 알 수 있겠습니까? 아니, 알려고 노력이나 할까요?”

2. 80:15:5 교육
그렇지만 핀테크 회사로서 이러한 내용의 교육은 ‘필수’다. 나라에서 정해준 부분이다. 책임은 CISO에게 넘겨진다. “그래서 이 다량의 법령 및 정책사항들을 줄여나갔어요.” 90페이지짜리 내용을 요약하고 정리했다는 것만이 아니다. 아무리 잘 가르쳐도 100% 실천될 수는 없을 거라는 전제를 깔았다. “일반 직원들이 일일이 배우지 않아도 안전할 수 있게끔 기술적 환경을 먼저 조성하기로 한 거죠. 그게 CISO로서 제가 책임져야 하는 교육의 범위라고 결정했습니다.”

그렇게 결정하고 보니 비바리퍼블리카의 정보보안 중 80%는 자기 책임이 되어버렸다. 신용석 CISO가 혼자서 어떻게든 개선할 수 있는 부분이 이만큼이었다는 것이다. 나머지 20%는 다른 사람들의 협조가 반드시 필요했다. “15%는 마케팅 등 보안과 관련이 없는 다른 부서와의 협조를 통해 맡아나가기로 했습니다. 아무리 CISO나 보안 부서가 일을 잘 한다고 해도 혼자서는 어쩔 수 없는 부분이 분명히 있기 마련인데, 그 부분을 업무 상 협조로 해결하기로 한 것입니다.”

그러고 나서 남는 5%만을 추려서 10가지로 정리했다. 이 10가지를 모든 직원이 반드시 지켜야 할 것이라고 이름 붙여 교육을 진행했다. “여기서 중요한 건 ‘자, 이거 10개 정도는 다 외우겠지?’가 아닙니다. ‘이 5%에서 만큼은 아무리 보안 전문가라도 여러분들의 참여가 없으면 어쩔 수 없다. 당신의 행동이 보안에 큰 의미가 있다’라는 주인의식을 심어주는 겁니다.”

3. 보안은 사랑받아야 해
보다 구체적인 설명이 이어졌다. “피싱 메일이 위험하다, 이런 저런 피해 사례가 있다, 또한 법적으로도 이 정도는 개인이 책임을 개인이 져야 한다, 그러니 수상한 이메일 절대 클릭하지 말고, 첨부파일은 더더욱 열지 말라,고 교육할 수도 있습니다. 하지만 제가 비바리퍼블리카에 와서 한 건 1) CISO로서 최대한 피싱 메일이란 거 자체가 회사 네트워크를 타고 직원의 메일함에 들어가지 않도록 먼저 조치를 취하고 나서 2) 개인 메일은 사무실에서 절대 사용하지 말라고 정책적으로 못 박는 대신 ‘개인 메일 사용은 개인 핸드폰으로만’이라고 하는 겁니다.”

아무 것도 하지 말라고 하는 보안은 ‘안전’의 측면으로만 봤을 때는 최고의 방법이긴 하지만 사용자 입장에서는 큰 불편을 초래한다. “보안이 불편하기 시작하면 무슨 일이 일어날까요? 사업상 필요한 사람을 만나 인사할 때 업무용 이메일 적혀 있는 명함을 건네주면서 그 위에 자기 개인 이메일을 볼펜으로 적어줍니다. 회사 메일 불편하니까 이리로 연락하시라고. 은둔의 IT(Shadow IT) 문제가 다 거기서 시작하는 겁니다. 안전을 위해 불편을 감수하라고 하는 것 자체가 이미 리스크입니다. 또, 보안이 불편하다고 생각하고 사람들이 귀찮게 여기기 시작하면 위에서 말한 부서 간 협조를 통한 15%의 보안을 할 수 없게 됩니다. 보안은 사랑받아야 합니다.”

4. 투명인간의 미덕
또 하나 중요한 건 ‘이름도 없이 빛도 없이’ 자기 할 일을 해야 한다는 것이다. 방어라는 것 자체가 원래 눈에 띄지 않는 것이기도 하거니와, 보안 담당자라면 자기 이름과 흔적도 최대한 감춰야 한다는 게 신 CISO의 생각이다. “혹시 내가 밖에서 한 말이 어떤 해커나 공격자를 자극시킬지 모르는 거고, 나도 모르게 시스템의 취약점을 누설할 수 있거든요. 눈에 보이지 않는 곳에서 자기 할 일을 해나가야 하는 게 이 일입니다.”

그러면서 그는 다른 CISO의 예를 들기도 했다. “개인적으로 친분이 있는 CISO님은 굉장히 큰 조직의 보안을 담당하고 계신데, 그 조직 내에 설치된 모든 애플리케이션과 시스템을 하나하나 조사하셨어요. 수천~수만의 애플리케이션을 전수조사 해가며 화이트리스팅을 하신 겁니다. 꽤나 긴 기간 동안 쉬지 않고 말이죠. 처음엔 그 양이 너무 많아서 엄두가 나지 않았지만, 계속 진행했더니 어느 순간부터 조직의 네트워크 상태가 가시권에 들어왔다고 하시더군요. 그 때부터 진짜 보안을 할 수 있게 되었다고 하셨는데, 같은 보안 책임자로서 큰 감동을 받았습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상