금융, 공공기관뿐만 아니라 기업의 IT의존도가 크게 확대되고 있고, IT전략은 더욱 중요해지고 있습니다. 아울러 보안위협도 동시에 고조되면서 CISO의 역할 또한 새롭게 조명되고 있습니다.
이에 <디지털데일리>는 올해부터 ‘CIO/CISO’전문코너를 운영해 주요 기업 CIO및 CISO 인터뷰 및 레퍼런스 탐방 등 다양한 방식을 통해 보다 생생한 IT 현장의 목소리를 전달합니다. 그 일환으로 [CxO 파워인터뷰] 꼭지를 신설했습니다. 첫 인터뷰는 한국SC은행 최고정보보안책임자(CISO) 김홍선 부행장입니다. <편집자>

- 정보보안 거버넌스·내부통제 구축, 프로세스 정착에 주력
- 보안위협 리스크 관리 역점, 비즈니스 최적화된 보안시스템 구축 목표

[디지털데일리 이유지기자] ‘최고정보보안책임자(CISO)’ 전성시대다. 침해사고 대응과 법규정(컴플라이언스) 준수 등 보안관리 중요성이 커지면서 이제는 최고정보책임자(CIO)가 보안까지 책임질 수 없는 환경이 됐다.

농협 전산망 마비, 3.20 사이버테러 등 잇단 대형 보안사고를 겪으면서 금융당국은 금융 CISO 제도를 도입, 강화했다. 지난 2012년 CISO 제도를 신설한 데 이어 이듬해 금융사 CIO와 CISO 겸직을 금지해 별도의 조직을 만들고 독자적으로 업무를 수행할 수 있도록 했다.

국회는 정보통신망이용 촉진 및 정보보호 등에 관한 법률도 개정해, 일정기준 이상의 정보통신서비스제공자 등이 임원급 CISO를 지정하도록 규정했다. 해당 기업은 CISO를 지정해 이를 미래창조과학부에 신고해야 한다. 이로 인해 정부에 신고된 CISO는 4000명을 훌쩍 넘어섰다.

보안 분야에서 오랜 경험을 쌓은 전문가들이 몇 년 새 CISO와 정보보호담당자를 맡기 위해 금융·통신사·인터넷·게임업계로 잇달아 자리를 옮겼다.

김홍선 한국스탠다드차타드(SC)은행 CISO도 그 가운데 한 명이다. SC은행은 2014년 7월, 김홍선 CISO를 부행장으로 영입하는 ‘파격인사’로 관련업계에서 주목을 끌었다.

재작년 초 CISO직을 신설한 SC은행은 김 부행장을 영입하면서 CISO직을 승격시켜 위상을 강화했다. CISO가 행장에게 직접 보고하는 체계를 운영하고 있다.

김 부행장은 시큐어소프트를 창업한 국내 보안벤처 1세대로, SC은행에 합류하기 직전에는 국내 대표 보안업체인 안랩을 이끌었다. 이제는 IT벤처사업가, 보안업체 경영자가 아닌 금융 정보보안 경영자로 변신했다.

◆‘CISO=비즈니스 파트너’로 인식하고, 책임과 권한 부여해야=김 부행장에게 가장 먼저 CISO의 역할을 무엇이라고 생각하는지 물었다. 그는 “CISO는 조직 내 정보보안 컨트롤타워”라며 “권한을 위임받아 조직을 대표해 사이버·물리·관리적 보안을 책임진다”고 답했다.

김 부행장은 작년에 출간한 저서 <어떻게 미래를 지킬 것인가>에서 CISO는 경영자(CEO)로서 안목을 가져야 하며 조직 구석구석에 스며들어야 한다는 점을 강조했다. 특히 경영자로서 CISO의 중요한 역할로 ▲CISO는 IT와 밀접하게 연관돼 있다 ▲보안위협을 비즈니스 리스크로 분석해야 한다 ▲법과 규정 준수(컴플라이언스) 여부를 주시해야 한다고 손꼽았다.

정보보안은 IT와 사람 그리고 프로세스에 관한 문제로, 조직이 돌아가는 원리와 사람을 움직이는 경영마인드를 가져야 제대로 구축할 수 있다는 게 김 부행장의 지론이다.

김 부행장은 “CISO와 보안조직이 담당하는 영역은 보안과 프라이버시 리스크에서 이상거래탐지 등까지 점점 확대되고 있다”면서 “보안은 ‘운영리스크’의 일부로 볼 수 있지만 IT운영이나 개발 분야와는 분리해 나름의 체계를 가져가는 것이 맞다”고 강조했다.

CISO 제도가 시행되고 확산되고 있지만 아직까지도 정보보안을 IT의 일부 업무로 보고 IT조직 안에 보안팀을 두거나 임원급 CISO를 선임하지 않는 기업이 많이 있다. CISO의 역할과 권한을 제대로 부여하지 않아 외부에서 영입하는 CISO는 보안사고가 발생할 경우 책임만 지는 ‘총알받이’에 지나지 않는다는 비판적 시각도 나왔다.

김 부행장은 CISO 제도가 정착되기 위해서는 우선 조직에서 CISO에 대한 인식을 올바로 정립해야 하고, CISO 스스로 자리를 잡을 수 있도록 시간을 주고 지원해 줘야 한다고 지적했다.

“초창기에는 조직에서 CISO를 지정한 뒤 책임만 떠안기는 경우가 많았다. 선임된 CISO 중에서는 IT나 보안을 전혀 모르는 경우도 있다. CISO가 제대로 역할을 하려면 조직에서 CISO를 비즈니스 파트너로 인식해야 한다. 그리고 전문성을 인정해 책임을 부여했으면 권한도 줘야한다. 시간을 주고 역할과 책임을 명확히 규정하고 자리를 잡을 수 있도록 지원할 필요가 있다.”

◆SC은행 정보보안위원회 신설·안착, 자율 보안 거버넌스 체계 확립=SC은행에서 1년 6개월을 지낸 김 부행장은 부임 후 가장 큰 성과로 ‘정보보안위원회 신설과 안착’을 꼽았다.

CISO인 김 부행장 주관으로 매월 정기적으로 열리는 SC은행의 정보보안위원회는 CIO부터 인사·재무·규제·리스크 책임자들과 디지털뱅킹 관련 업무를 담당하는 사업부서 총괄 등이 참여한다.

김 부행장은 “정보보안위원회에서는 상위레벨의 보안·통제 정책과 가이드라인을 정하며, 이를 비즈니스 프로세스에 반영한다. 다양한 비즈니스 부서에서 나타나는 보안 요구사항을 논의하고, 부정적인 영향을 미치지 않도록 의견도 수렴한다. 보안관제 등 위협 모니터링 상황과 특정 보안이슈도 공유·보고하는 등 책임을 가진 구성원들과 함께 실질적인 위원회를 만들어가고 있다”고 설명했다.

이같은 정보보안위원회의 운영은 최근 금융권에서 강조되고 있는 자체적인 ‘금융 보안 거버넌스’ 사례로 볼 수 있다. 금융 보안규제는 금융사 자율과 책임을 강화하는 체계로 전환되고 있어, 금융사들마다 보안 거버넌스 활동이 점차 강화될 것으로 예상되는 상황이다.

◆보안위협 리스크 분석·관리체계 구축, 프로세스 정착 ‘역점’=SC은행은 현재 모든 보안이슈를 리스크 관점으로 정량화해 실시간, 체계적으로 살펴볼 수 있도록 하는 작업을 추진하고 있다.

거버넌스, 리스크, 컴플라이언스(GRC)를 구현할 수 있는 초기단계로, 작년에 내부 보안 리스크 관리를 위한 프레임워크와 프로세스를 개발·구축했다. 이를 올해 본격 운영하면서 안정화하면서 계속 확장해 나갈 방침이다.

김 부행장은 “작년까지는 보안성 향상과 내부통제를 강화하기 위해 추진한 여러 프로젝트가 마무리 됐다”면서 “이제는 프로세스로 정착시키는 것이 중요하다. 올해에는 리스크 차원에서 보안이슈를 들여다볼 수 있는 체계를 안착시켜나가는데 가장 주력할 것이다. 앞으로 비즈니스에 최적화된 보안시스템을 갖추는 것을 목표로 하고 있다”고 밝혔다.

현재 김 부행장은 핀테크, 디지털화(Digitization)라는 금융산업의 파괴적 변화에도 주목하고 있다. 그는 “‘디지타이제이션’이라는 큰 변화가 일고 있다. SC은행도 본사 차원에서 은행 전체를 디지털 기반의 플랫폼으로 바꿔 데이터 분석과 모든 운영을 자동화할 수 있는 대대적인 프로젝트를 추진하고 있다”며 “금융 플랫폼이 완전히 디지털화된 플랫폼으로 바뀔 때 보안의 입지는 지금과는 크게 다른 위치에 자리잡을 것이란 확신이 있다. 보안이 보다 주도적이고 선도적인 역할을 해야 한다”고 전망했다.

◆보안업계 변화 주문, ‘기술’과 ‘IT’ 좁은 시야에서 탈피하라=김 부행장은 보안업계를 위한 조언도 쏟아냈다. 급변하는 IT·보안·비즈니스 환경에서 보안전문기업이 빠르게 변화해야 한다고 주문했다. 보안담당자들도 예외는 아니다.

김 부행장이 변화해야 한다고 지목한 것은 크게 세가지다. ▲특정 취약점이나 위협 등 기술적 측면에 매몰되지 말고 사람과 행위 등 전체 맥락을 살펴볼 것 ▲비즈니스 리스크 차원에서 접근할 것 ▲IT보안만의 좁은 시야에서 탈피해야 한다는 점이다.

“보안업계서는 여전히 특정 취약점, 악성코드에 매달리는 경향이 있다. 이제는 특정 기술 포인트가 아니라 사람, 행위를 기반으로 전체 맥락을 봐야 한다. 공격자는 내부자일 수도 외부 해커일 수도 있고, 내부업무 운영 환경을 다 알고 들어온다. 금융 보안을 위해서는 금융업무를 알아야 한다.”

“기술보안 측면뿐만 아니라 비즈니스 리스크 차원에서 접근해야 한다. 경영자는 비즈니스 리스크를 보기 때문에 이에 맞춰 설명할 수 있어야 한다. IT 트렌드가 변화하면서 이제는 업계도 하드웨어와 소프트웨어 간 경계가 사라지고 있다. 모든 것이 서비스 기반 클라우드화되고 있으며 융합되고 있다.”

“디지털화(Digitization)가 가속화되면서 비IT 요소까지 결합되는 상황에서 정보보호도 사이버범죄, 금융범죄, 테러와 연계되고 있다. 보안은 정보보호와 프라이버시, 국가 안보, 국민 안전이 모두 연결돼 돌아가는 사회적문제인데 여전히 IT에만, 산업에만 머물러 있다.”

김 부행장은 “고객은 특정 포인트 솔루션을 원하는 것이 아니다”고 지적하며 “보안업체들이 축적한 경험과 데이터를 원한다. 셀 수 없이 많은 악성코드와 취약점 그 자체보다 그로부터 맥락을 파악해 실질적인 인텔리전스를 얻을 수 있길 바란다. 이를 위해서는 국내기업의 글로벌 협력이 필요하다”고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr