세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
넥슨 정찬규 CISO “직원에게 친절한 보안 만들어야”
  |  입력 : 2018-02-26 08:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[CISO 인터뷰] 넥슨 정찬규 글로벌보안본부 본부장
“CISO는 기업의 다른 영역도 알아야 전체적인 보안할 수 있어”


[보안뉴스 원병철 기자] 지난해부터 CISO와 개인정보보호 담당자들을 괴롭히고 있는 GDPR 시행이 불과 2개월여를 앞둔 가운데, 해외 특히 유럽에 진출한 기업들은 당장의 위기에 고민이 깊어지고 있다. 반면, 그동안 준비를 잘 해온 기업들은 GDPR 집행위의 실제 반응을 기다리며 마무리 작업에 박차를 가하고 있다.

▲넥슨 정찬규 글로벌보안본부 본부장[사진=보안뉴스]

글로벌 게임기업 넥슨 역시 그간의 노력으로 모든 준비를 마쳤다. 유럽에서 서비스를 하고 있기 때문에 GDPR을 피해갈 수 없었던 넥슨은 정찬규 글로벌보안본부장의 지휘 아래 국내는 물론 해외 자회사 및 파트너사의 개인정보보호와 정보보안을 한층 강화했다. 특히, GDPR에만 초점을 맞춘 것이 아니라, 각 나라별 개인정보보호법 등을 분석·정리한 후, 가이드를 만들어 해외사업부가 대응할 수 있도록 했다.

“현재 넥슨의 해외 법인은 미국, 대만, 태국, 일본 등에 있습니다. 각 나라별로 특징이 있는데, 미국법인은 보안규정을 만들기 위해서 여러 차례 회의와 협의를 거쳐야 하지만 한번 만들면 반드시 준수하려고 하고, 일본은 협의가 적으면서도 보안규정이 만들어지면 잘 지킵니다. 대만과 태국은 보안관련 법령이 우리나라보다 느슨하기 때문에 보안인식이 상대적으로 낮죠. 이 때문에 보안규정의 기본은 우리나라 법에 맞추되 현지 상황에 따라 탄력적으로 적용하고 있습니다.”

정찬규 본부장은 대만을 예로 들었다. 우리나라는 개인정보를 암호화하는 게 당연하지만, 대만은 아직 법이 없어 낯설어 한다는 것. 물론 보안을 위해 대만도 암호화를 하고 있지만, 망분리와 같은 규정은 강요하지 않는다.

“한국 본사는 헤드쿼터로 각 자회사의 보안까지 책임지고 있습니다. 컨트롤타워 역할이죠. 보안이라는 특성상 본사와 자회사간 큰 온도차는 없지만, 국가적 특성이나 거리적 영향으로 약간의 차이는 존재합니다.”

CISO는 기업 전체의 보안을 책임지는 자리...기업 전반 알아야 해
넥슨 정찬규 글로벌보안본부장은 서버와 네트워크 엔지니어 출신이다. 정찬규 본부장은 이를 넥슨의 문화이자 장점이라고 설명했다. “넥슨은 CEO부터 본부장급까지 대부분이 엔지니어 출신입니다. 해당 업무에 대해 잘 아는 사람이니 책임자가 되라는 거죠. 그 분야에 대해 잘 알고, 잘 하는 사람이 리더가 되는 것이 당연하다는 넥슨의 문화입니다. 이러한 문화 덕분에 보안을 적용하는 것이 수월한 편입니다.”

그렇다면 넥슨이 아닌 일반적인 기업문화에서 CISO는 어떤 자세를 취해야 할까? 이에 대해 정찬규 본부장은 ‘사업 전반에 주목하라’고 조언했다. CISO는 기업 전체의 보안을 책임지는 만큼 단순히 보안에만 초점을 맞출 것이 아니라 사업 전반을 모두 알아야 보안을 책임질 수 있다는 얘기다. “상대방의 입장에서 커뮤니케이션을 할 수 있어야 합니다. 그러자면 그들의 업무를 이해할 수 있어야 하죠. 그래야만 최선의 보안을 할 수 있습니다.”

또한, 그는 “많은 사람들이 보안은 불편한 것이라고 하는데, 이는 잘못됐다고 생각합니다. 보안은 통제에서 벗어나야 합니다. 애플이 혁명의 아이콘으로 불리는 것만 봐도 그렇죠. 애플은 백그라운드에서 보안을 하고 프론트에서는 유저의 불편을 줄이는 데 노력합니다. 보안담당자들도 이러한 고민을 해야 합니다. 직원들이 보안을 불편한 것이라고 생각하는 건 결국 보안을 편하게 하기 위해서라고 저는 생각합니다”라고 설명했다.

보안의 ‘기본 다지기’...직원에게 친절한 보안 위해 노력해야
그렇다면 정찬규 본부장은 넥슨에 어떤 방식으로 보안을 구축하고 있을까? 뭔가 특별한 답변을 기대했던 것과 달리 정 본부장에게 들려온 대답은 ‘기본’이라는 말이었다. “매년 업무 계획의 50%는 기본을 다지는 것입니다. 보안은 살아있는 생명체와 같기 때문이죠. 예를 들면, 넥슨에서 가장 중요한 자산은 무엇이고, 그 자산에 누가 접근해서 어떻게 사용하는지, 우리 서비스에 회색영역은 어디인지, 그 영역에 대한 감시와 탐지는 진행하는지, 그 탐지는 현재에도 유효한지 등을 지속적으로 확인해야 합니다. 그게 바로 기본 다지기죠.”

나머지 50%는 최근 이슈인 GDPR 대응이나 클라우드 서비스, 해외 법인 등의 관리 업무와 직원교육 등이 포함된다고 정찬규 본부장은 설명했다. 다행이 직원 대부분이 IT 전문가이기 때문에 기본적인 보안의식은 다른 기업보다 뛰어나서 수월한 측면이 있다고 한다. 예전에 공지하지 않고 이메일에 악성파일을 담아 모의훈련를 했다가 직원들의 신고전화에 업무가 마비된 적이 있을 정도로 직원들의 보안의식과 수준은 상당하다는 얘기다.

“직원과 사용자에게 친절한 보안을 만들려고 노력하고 있다”는 정찬규 본부장은 기본 다지기를 통해 안전하고 명확한 데이터를 생성하는 한편, 추후 AI와 머신러닝 등을 연구해 새로운 보안을 만들어 나가겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 6
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)