김종현 KB국민은행 상무 - “임원 둬야 보안에 목숨 건다”

김종현 KB국민은행 상무는 은행권 최초의 전임 CISO다. 지난해부터 독립적인 정보보호 본부를 지휘하고 있다. IBM 이사 출신의 김 상무는 여러 기업의 IT, 보안 문제를 컨설팅했다.

금융권 보안의 특징은 뭔가.

돈과 직결돼 있다는 점이다. 유출된 개인정보가 곧바로 금융거래에 쓰일 수 있다. 전국에 퍼져 있는 영업점을 일괄적으로 관리하는 것도 어렵다.

IT 부서에서 분리되면서 바뀐 점은.

업무는 독립됐지만 정책, 규정, 교육, 직원 역할 정립 등 모든것을 처음부터 다시 만들어야 한다.임원 자리만 주면 되는 게 아니라 독립적으로 운영할 수 있는 조직을 함께 마련해야 한다.

어떤 역할을 하고 있나.

‘보안 전도사’다. 사실 사용자에게 보안은 귀찮은 거다. 보안 부서가 IT 본부에 있을 때는 임원회의에서 보안이 화두로 오르는 일이 많지 않았다. 늘 임원들에게 보안이 왜 중요하고 사업과 어떤 연관이 있는지 알린다.

보안 전공자가 아니라 어려운 점은.

물론 기술적인 면도 중요하지만 CISO는 비즈니스적인 면도 생각 해야 한다. 직원의 전문성을 어떻게 적용하고 활용할지 방향을 제시 하는 것도 중요하다. 보안은 기술적 보안과 관리적 보안으로 나뉘는데 시스템적 방어가 정책, 절차 등 과 함께 굴러가야 한다. 최근 정보 유출 사고는 관리적인 부분을 소홀히 해서 일어난 경우가 많다.

금융권 CEO들의 보안에 대한 인식은 어떤가.

올 초 카드사 CEO들이 물러났을 때 위기의 식이 높아졌다. 그러다 시간이 지나면 다시 느슨해진다. 보안이 기업 경쟁력으로 인식되지 않기 때문이다. 보안에 신경 쓰면 절차가 까다로워지고 투자를 비용이라고 여기기 때 문에 오히려 생산성을 저해하는 요소라고 생각한다. 미국 9.11 사태 때 모건스탠리가 다 음날 시스템을 바로 재개했다. 하지만 사고 가 안 났으면 보안을 잘 하는 회사라는 걸 몰랐을거다. 담당 임원이 있어야 자기 목숨을 걸고 보안에 매달린다.

보안에 얼마나 투자하나.

금융은 다른 산업보다 보안이 중요하다고 인식된 편이다. IT 인력을 은행 전체 인력의 5%, 이 가운데 5%를 정보보호 인력으로 구성하고 IT 전체 예산의 7%를 정보보호 예산으로 편성해야 한다는 금융감독원의 5.5.7 규정이 있다. 가이드라인이 있다고 해도 투자를 해야 하나 말아야 하나 건마다 설득하는 게 결코 쉽지 않다. 투자하면 사고가 안나느냐고 하면 할 말이 없다.

CISO에게 통제권이 주어지지 않는 이유는.

금융권에 이미 통제하고 제재하는 부서가 있기 때문에 조직을 다 바꿔야 한다.

그동안 성과는.

원래 보안 부서 직원들이 사용자들에게 주로 부탁을 했다. 가르치고 통제할 수 있게 부서 직원들의 마인드를 먼저 바꾸려 했다.

신입사원 교육에 보안 부문을 추가하고 보안 헬프데스크를 따로 만들었다. 보안 문의는 담당 직원이 받고 보안 기술자는 시스템에 집중할 수 있게 했다. 또 사내 화이트 해커 제도를 만들어 업무에서 보안 허점을 제안하면 표창을 줬다. 모의 악성 메일을 보내서 열람하는지 안 하는지도 집계한다. 그동안 직원들이 USB에 자료를 너무 많이 담았다. 정보를 담을 때 관리자와 보안 담당자의 다중 승인을 받게 했더니 사용 건수가 70% 줄었다. 컴퓨터에 보관 중인 고객정보도 95% 이상 줄였다. 보안조직이 부서에서 본부가 됐기에 가능한 일이다. 그동안 떠안고 있던 위험을 덜고 직원의 보안의식도 높아졌다.

최중섭 네오위즈게임즈 실장 - “무작정 하라고 하면 더 안 한다”

최중섭 네오위즈게임즈 실장은 보안 전공자 로 한국인터넷진흥원에서 일했다. 최 실장 은 “기업에서 보안이 후순위로 밀려 어려운 점이 있다”고 말했다.

요즘 보안 전문가 몸값이 많이 올랐다던데.

찾는 기업은 많다. (웃음) 한국인터넷진흥원 에서 1990년대 후반 벤처 붐이 일 때 창업한다고 인력이 대거 이동했고, 최근 기업으로 자리를 많이 옮기는 것 같다.

보안 문제가 왜 화두인 것 같나.

대형 사고가 한번 나면 물리적 비용이 어마 어마하다. 예전에는 정보가 유출돼도 크게 신경 쓰지 않았다. 요즘은 이용자들이 굉장히 민감해 하지 않나. 그 정보로 할 수 있는게 점점 많아지고 있다. 회사는 한 네트워크 를 쓰기 때문에 악성코드가 퍼지는건 그야말로 순식간이다. 그런 일은 하루에도 몇 번씩 일어날 수 있다.

어떤 업무를 하고 있나.

CISO의 역할은 기본적으로 비슷하다. 산업 특징에 따라 인터넷 쪽은 개인정보가 중요하고 자동차 같은 제조업 쪽은 산업기밀 누출에 더 신경을 쓸 거다. 기업의 중요한 정보 유출을 막는 게 CISO가 할 일이다. 외부 해커들이 빼 갈 수도 있고 우리 직원들이 잃어버리거나 유출할 수도 있다. 이런 위험요소를 찾아내고 어떻게 방지할지 연구한다. 인터넷은 내정보로 다른 사람이 회원가입을 하는 등의 부정 사용이 많다. 게임은 예전에는 하나 개발하면 5~10년 갔는데 요즘은 회전이 빨라 보안이 더 중요하다.

게임회사들이 CISO를 많이 두나.

2011년 넥슨에서 개인 정보 1300만 건이 유출된 이후로 인터넷 업체들이 보안 인력을 대거 뽑았다. 하지만 돈을 버는 몇몇 게임 회사를 제외하고 보안에 신경 쓰기가 쉽지 않다.

아무리 해도 해커를 100% 막을 수 없다는데.

완벽하게 막을 순 없지만 노력은 해야 한다. 예방도 중요하지만 사고가 난 후에 상황을 콘트롤 할 수 있어야 한다. 보안체계가 뚫려 도 신속하게 문제점을 찾으면 큰 사고는 막을 수 있다. CISO는 항상 100% 막을 수 없다 는 전제 아래 사고가 났을 때 신속하게 근원 지를 찾아내고 CEO, 외부기관과 의사소통 할 수 있는 체계를 구축해야 한다.

보안 체계가 잘 자리 잡으려면 어떻게 해야 하나.

CEO가 관심을 가져야 CISO가 손, 발 펴고 일할 수 있다. ‘보안이 뭐 필요해’ 이러면 주눅 들어서 일을 제대로 못하고 결국 큰 사고가 난다. 보안 관련 사고가 생각보다 많다. ‘우리 회사와 관계 없다’고 생각하겠지만 어떤 위험 요인보다 큰 피해를 줄 수 있다.

기업에서 일해보니 어떤 점이 힘드나.

전문기관은 다 전문가니까 ‘이렇게 해주세요’ 하면 중요성을 알고 즉각 한다. 기업은 우선순위에서 보안이 자꾸 밀린다. 게임업체는 워낙 분위기가 자유로워 하라고 하면 더 안 하는 것 같다. (웃음) 벌보다는 상을 주는 방식으로 보안 정책을 실행할 수 있게 한다. 가령 악성코드를 신고하는 직원이 있으면 그 부서에 피자를 돌리는 식이다. 생각보다 호응이 좋다. 악성코드가 있는 메일이 10%에서 2%로 줄었다.

다른 임원들과 소통은 잘 되나.

처음부터 CEO가 관심을 두고 CISO를 채용한 거라 최고기술책임자(CTO), 최고재무책 임자(CFO) 등 다른 임원들이 잘 협조해주는 편이다. 직원들과 의사소통, 비용 책정이 제일 중요한데 임원들의 도움 없이는 어렵다.

법이나 제도 개선이 CISO가 자리잡는데 도움이 될까.

최소한 관심을 갖게는 만들 것이다. 관심이 없으면 아무리 CISO를 뽑아도 유명무실하다. 형식을 떠나 실제로 제 일을 할 수 있게 하는 것은 회사의 내부 문제다.