Home > 전체기사
은행·스타트업·소셜커머스 CISO들의 보안강화 분투기 3인 3색
  |  입력 : 2017-09-07 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기업보안의 중심은 시스템 아닌 직원...통제가 아닌 보안 생활화에 초점
CISO가 바라는 보안인재상, 보안엔 고지식하면서도 직원간 소통과 변화에 민감해야


[보안뉴스 원병철 기자] 지난 8월 30일 남양유업은 자사 홈페이지가 해킹되어 고객정보가 유출됐다고 공지를 통해 밝혔다. 이는 인천지방경찰청 사이버수사대가 검거했던 3,300만 건의 개인정보 유출사건 수사 중에 밝혀졌다. 해당 사건으로 개인정보 유출사실이 밝혀진 기업만 벌써 6곳지만, 경찰이 사실을 확인하기 전까지는 몰랐던 것으로 알려졌다.

사실 이번 사건은 빙산의 일각이다. 그간 수많은 기업들이 해킹, 내부직원 유출, 담당자 실수 등 여러 이유로 고객의 개인정보가 유출되는 등 사이버 공격 피해를 입었다. 이런 상황에서 기업에서 가장 고되면서도 곤혹을 치루는 직책이 바로 CISO(정보보호최고책임자) 자리다. CISO를 중심으로 지속적으로 보안 강화에 나서고 있지만, 많은 기업에서 보안 투자 미흡, 임직원의 비협조 등으로 어려움을 겪고 있기 때문이다.

▲ 발표와 토론에 참석한 (좌측부터) 안영엽 KB국민은행 CISO, 신용석 비바 리퍼블리카 CISO,
장석은 티몬 CISO, 권 준 보안뉴스 국장[사진=보안뉴스]


5~6일 열린 제11회 국제 사이버 시큐리티 콘퍼런스 ‘ISEC 2017’에서는 이렇듯 보안에 고군분투해왔던 기업 중 대표적인 3개 기업의 CISO들이 함께 모였다. 각각의 기업에서 보안을 강화했던 이야기를 통해 노하우를 나눈 것은 물론 참관객들로부터 직접 질문을 받아 궁금증을 해결하는 시간을 가졌다.

KB국민은행, 카드3사 개인정보 유출 이후 개인정보보호 통합관리 시스템 개발
안영엽 KB국민은행 CISO는 2014년 카드 3사의 개인정보 유출사건 이후의 변화에 대해 소개했다. KB국민은행은 해당 사건 이후 개인정보에 대한 관리기준을 강화했다. 특히, 개인정보보호 통합관리 시스템을 만들어 운영하면서 고객 개인정보를 보호하는 데 최우선하고 있다.

“KB국민은행은 매월 셋째 주 수요일에 정보보호 점검을 실시합니다. 스코어링 시스템을 도입해서 각 지점의 정보보호 수준을 확인할 수 있도록 했고, 시나리오 기반의 모니터링 시스템을 만들어 계속 적용하고 있습니다.”

특히, 안 CISO는 내부 직원들의 개인정보 오남용 사례를 확인하는데 주력했다. “예전에 한 직원은 결혼을 앞둔 동료에게 축의금을 얼마나 해야 할지 몰라 다른 직원들이 축의금을 얼마나 줬는지 확인하기 위해 다른 직원의 통장을 몰래 확인한 적이 있어 처벌한 적이 있습니다. 은행직원들은 대출과 관련해 고객들의 개인정보를 확인할 수 있기 때문에 이런 부분을 강화하는 데 초점을 맞추고 있습니다.”

안 CISO는 “기업의 정보보호를 오랫동안 하다 보니, 기술이나 장비도 중요하지만 무엇보다 직원이 보안정책을 준수하지 않으면 사상누각에 불과하다는 생각을 하게 됐다”면서, “직원들이 보안정책을 준수하지 않으면 꼭 사고가 일어난다”고 설명했다.

“그래서 직원들의 보안의식 강화를 위해 많은 노력을 하고 있습니다. 직원의 눈높이에 맞는 보안교육을 마련하고, 직원들이 자발적으로 참여할 수 있는 UCC 경연대회를 진행하고 있죠. 그리고 포상도 자주해서 직원들의 참여를 이끌어내고 있습니다.”

비바 리퍼블리카, 보안인증 취득하면서 보안능력도 업그레이드
두 번째 강연자로 나선 신용석 비바 리퍼블리카 CISO는 간편송금 서비스인 토스로 회사가 성장하면서 보안팀을 강화하는 데 주력했다고 소개했다. “비바 리퍼블리카의 전체 인원이 92명인데, 보안팀은 저를 포함해 4명입니다. 전체인원을 생각하면 많은 편이라 할 수 있습니다.”

그럼에도 금융업이기 때문에 보안팀이 해야 할 과제는 많았다. 신 CISO와 보안팀은 선택과 집중 전략을 바탕으로 각종 보안인증을 획득하는데 신경을 썼다고 설명했다. 사실 회사의 규모상 보안인증이 의무가 아님에도 보안인증 취득에 초점을 맞춘 것. 더욱이 컨설팅을 받지 않고 모든 걸 보안팀이 자체적으로 해결했다고 한다. “이렇듯 보안인증을 취득하는 과정이 기업의 보안강화에 매우 큰 도움이 될 것이라고 판단했기 때문입니다.”

또한, 비바 리퍼블리카는 1년에 10회 정보보호위원회를 개최한다. 주요 임원을 중심으로 개최되는 이 위원회는 기업의 보안정책을 심의하는데, 회의내용을 전 직원에게 공개하고 있다. “보안은 비즈니스와 연관이 많습니다. 특히, 보안 때문에 사업이 늦춰지지 않도록 속도를 내는데 중점을 두었습니다. 보안정책 역시 중요한 조항들만 따로 추려서 전 직원들에게 공지하고, 특정 분야에서만 필요한 것들은 각 부서에게만 전달하고 있습니다.”

티몬, 소 잃어도 외양간은 고쳐야 한다
마지막 주자로 나선 장석은 티몬 CISO는 먼저 아픈 기억을 소개했다. 2013년 해킹으로 130만 명의 고객 개인정보를 유출당한 사건을 서두로 꺼낸 것. 해당 사건 이후 티몬에 합류한 장 CISO는 사내 모든 시스템을 정비하고, 관련 보안인증을 획득하는 데 주력했다. “꼼꼼한 보안진단 작업을 거친 후 직원들이 함께할 수 있는 보안정책을 만들었습니다. 무엇보다 직원들이 좀 힘들지언정 보안을 강화할 수 있는 여러 시스템을 도입하는 데 주력했습니다.”

대표적인 사례가 바로 개인통관고유번호 제도였다. 개인통관고유번호는 주민등록번호를 수집하지 않고 해외에서 발송된 물건을 받을 수 있는 제도로, 최근에는 해외직구족이 많아 잘 알려졌지만 당시만 해도 사용은 물론 아는 사람도 거의 없는 상황이었다. 이 때문에 다른 직원들은 이 제도를 사용하는 것에 대한 불만이 많았다고 한다.

“직원들은 불편해 했지만, 보안강화를 위해 어쩔 수 없는 선택이었습니다. 이때 직원들의 이해를 구하는 것이 시급하다고 생각해 각 부서 직원들과 식사 약속을 잡거나 회식을 열어 보안의 필요성을 설명했습니다. 그 이후부터 직원들이 서서히 보안정책을 이해해주고 지원해주기 시작했죠.”

장 CISO는 시스템이 모든 것을 해줄 수 있는 것은 아니라는 걸 깨닫고 보안 캠페인을 진행했다고 설명했다. 동영상을 만들어 사내에 설치된 TV에서 볼 수 있도록 하거나 회사와 관련된 서류를 책상위에 올려놓지 않도록 하는 등의 다양한 캠페인을 벌여 직원들의 자발적인 참여를 유도한 것이다. 무엇보다 직원들이 보안을 의식하지 않고 자연스럽게 지킬 수 있는 데 초점을 맞췄다고 장 CISO는 설명했다.

CISO가 원하는 보안인재상은?
이어 보안뉴스 권 준 편집국장의 사회로 참관객들과의 SNS 질의응답이 진행됐다. 직원의 오남용 의심 거래를 탐지한 후 소명 심사와 인사조치를 단행한 경험이 있느냐는 질문에 안영엽 KB국민은행 CISO는 “신상필벌은 확실해야 한다”면서, “오남용에 대한 경중은 있겠지만, 개인신용정보 등 주요정보는 엄격하게 관리하고 있다. 특히, 지점에서 업무를 수행하다보면 대출을 취급할 때 개인정보를 확인하는 경우가 있는데, 지점에서 성과를 높이기 위해서 이 개인정보를 무분별하게 조회하는 일이 있을 경우 철저하게 조사해 조치하고 있다”고 덧붙였다.

신용석 비바 리퍼블리카 CISO는 기업 규모에 비해 보안직원들이 많은 것에 대해 질문을 받았다. 어떻게 CEO를 설득해 보안인력을 강화할 수 있었냐는 것. 이에 신 CISO는 무엇보다 CEO의 보안인식이 높아야 한다고 설명했다. “사실 직원 충원이 필요한 것은 모든 부서가 마찬가지겠죠. 이 때문에 우리는 먼저 사람이 필요하다고 요구하기 보단 누가 보더라도 사람이 더 필요하겠다고 인정할 만큼 보안업무의 범위와 목표를 정했습니다. 그 결과를 수치화함으로써 충원의 필요성을 어필할 수 있었다고 봅니다”

장석은 티몬 CISO는 보안인증 취득에 대한 질문에 대해 “보안인증 취득은 물론 취득 후 관리를 체계적으로 할 수 있도록 전담팀을 꾸리고 집중할 수 있도록 했다”고 설명했다.

이후 권 준 보안뉴스 편집국장은 세 명의 CISO들에게 공통질문을 했다. 보안담당자로서 직원을 뽑을 때 가장 중요하게 생각하는 것이 무엇이냐고. 이에 안 CISO는 “최근 IT 기술이 발전하면서 금융권 역시 첨단기술을 받아들이고 있는데, 이에 대한 이해와 보안과의 접목을 시도할 수 있는 인력이 필요하다”고 설명했다.

“또 하나는 정보보호를 하는 사람은 원칙주의자여야 한다는 점입니다. 빠르게 환경은 변화하는 데 보안을 신경쓰다 보면 걸림돌이라고 생각하는 사람들이 있기 마련입니다. 이러한 상황에서 보안에만 집중할 수 있는 사람이 필요합니다.”

장 CISO은 조금 다른 관점에서 커뮤케이션 능력의 중요성을 언급했다. “이번에 보안조직을 강화하면서 제가 너무 고지식해서 밑에 있는 사람들이 힘들었다는 이야기를 들었습니다. 저도 어느 정도는 공감했고요. 문제는 보안은 협업이 중요하기 때문에 상대방과 소통할 수 있는 커뮤니케이션 능력을 갖췄으면 좋겠습니다.”

마지막으로 신 CISO는 도전정신과 주인의식을 강조했다. “우리는 회사의 규모가 작기 때문에 멀티프레이어로의 능력을 중시합니다. 관련 업무에 대해서는 창의적이고 도전정신을 갖춘 사람이면 좋겠습니다. 무엇보다 보안을 하는 사람으로서 회사에 대한 주인의식을 갖췄으면 하는 바람도 있습니다.”
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)