인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지 기자] 이진규 최고정보보호책임자(CISO)는 국내 최대 포털 플랫폼 네이버의 정보보안 및 개인정보보호 정책‧업무를 총괄하는 최고책임자로, 네이버 C레벨 경영진 중 한 명이다.

이진규 CISO는 지난 2017년부터 네이버 CISO로 활동하고 있으며, 이에 앞서 2007년부터 17년간 네이버에서 정보보호업무를 수행해 왔다. 현재 CISO뿐 아니라 개인정보보호책임자(CPO)와 데이터보호관리자(DPO) 역할까지 맡으며, 네이버와 이용자를 안전하게 연결해주기 위해 맹활약하고 있다. 특히, 네이버 인공지능(AI) 서비스 관련해서도 기획‧설계 단계부터 참여해 신뢰성‧안전성 확보와 윤리 준수에 힘쓰고 있다. <지난 기사 참조 [보안리더스] 이진규 CISO가 네이버 ‘클로바X’ 시작부터 참여한 이유>

이처럼 네이버 보안 정책‧기술 중심에 있는 이 CISO는 놀랍게도 행정학을 전공한 비공대생 출신이다. 첫 사회생활을 경찰로 시작해 파출소장도 역임해본 이색적인 이력의 주인공이다. 사실, 보안은 그 자체로도 어려운 기술일 뿐 아니라 인공지능(AI)‧클라우드 등 최신기술에 적시 대응해야 하기에 공학 전공 중심 산업으로 꼽힌다. 이 CISO 이야기가 더욱 궁금해지는 배경이다.

◆대학원 때 처음 접한 정보보호, 네이버 CISO가 되기까지

<디지털데일리>와의 보안리더스 인터뷰를 통해 이 CISO는 “대학원에서도 공공행정 분야를 전공했는데, 생각했던 행정학과 달리 통계적인 체계를 배워야 하는 학풍이었다”며 “데이터베이스, 여러 정보보호 관련 기술‧언어들, 통계분석 도구를 기본적으로 배워야 했다. 그러다 보니, 자연스럽게 엔지니어링 관련 정보와 기술을 접하게 되는 기회도 적지 않았다”고 회상했다.

이 CISO는 국립경찰대학교 행정학과 졸업 후 경찰로 8년간 근무했다. 이때 미국 카네기멜론대학(CMU)에서 대학원 과정을 거치며 석사 학위를 취득했는데, 이곳에서 엔지니어링을 접하게 됐다. 동시에, 정보보호에 대해서도 공부하게 된 시기다.

이 CISO는 “직업과 연계된 분야를 부전공으로 공부하고 싶었는데, 치안과 관련 있는 정보보호 분야를 배우면 재밌겠다고 생각해 접근했다”며 “정보보호 관련 정책적 효과를 분석할 수 있는 방법 위주로 배우면서, 정보보호에 대한 투자 방법론을 알게 됐고 이를 부전공으로 선택했다”고 말했다.

당시 이 CISO는 정보보호 투자 때 어떤 독립변수를 선정하고 우선순위를 어떻게 가져가는 것이 합리적인 의사결정인지를 중심으로 들여다봤으나, 점차 정보보호와 관련한 콘텐츠에 매력을 느끼게 됐다. 이후 이 CISO는 2006년 한국코카콜라코리아보틀링에 입사해 물리보안 설계와 보안정책 수립 업무 등을 맡았고, 이듬해인 2007년 네이버에 합류했다.

네이버 입사 후 초기엔 이 CISO도 당연히 어려움을 겪었다. 일례로, 기술 용어들이 가득했던 개발 관련 리더와의 회의에서 단 한 마디도 이해하지 못했던 경험도 있었다. 울먹울먹한 상태로 회의를 마친 후 ‘배워야 할 게 정말 많다’고 깨달았다고 한다.

이 CISO는 “그 다음부터는 처음 들어보는 모든 용어를 공부하고, 자격시험을 준비해서 하나씩 자격증을 취득하면서 빠르게 배웠다”며 “어려움이 있었기에 오히려 빨리 적응했다”고 떠올렸다.

네이버에서 이 CISO는 물리 보안, 개인정보 보호, 정보보호 정책 분야에서 실무 경험을 쌓았고, 통신비밀보호업무까지 더해져서 정보보호 정책 영역에서의 풀 스택을 경험했다. 이는 CISO 역할로 이어졌다. 이 CISO는 정보보호 정책, 인증, 교육, 서비스 어뷰징 예방 및 대응, 개인정보 정책, 보호조치, 통신비밀보호업무 등을 관할한다. 위치정보법에 의한 위치정보관리 책임자 역할도 겸하고 있다. 현재 네이버 정보보호부문 인력은 지난해 공시 정보보호공시 기준 53명으로, 외주 인력을 포함하면 119명이 넘는다.

◆“네이버니까 할 수 있지” 정보보호에서도 보여주겠다

이 CISO는 올해 다양한 사업을 준비하고 있다고 밝혔다. 네이버 전사 시스템이 클라우드로 이동하는 가운데, 컨테이너 영역에서 어떻게 규모 있게 자동화된 방식으로 정보보호활동을 수행할 수 있을지 설계 중이다. 컨테이너 환경에서 개인정보를 자체적으로 보호하는 프레임웍스도 포함됐다는 설명이다.

이와 관련 이 CISO는 “클라우드 환경에서 가장 중요한 컨테이너에 대한 보안 시스템은 네이버가 100% 자체적으로 만들어 운영하는 것을 목표로 단계적 전환하고 있다”며 “정확한 시기를 예측하기 어렵지만, 5년 내 전환 완료를 예상한다”고 전했다.

특히, 이 CISO는 네이버만이 확보할 수 있는 차별화된 인증을 준비 중이다.

이 CISO는 “네이버가 정보보호 인증 영역에 있어서 가장 먼저 수준 높은 인증을 취득했고 그런 인증을 취득했을 때마다 국내 다른 유수의 기업들이 빠르게 따라와서 네이버와 동일하거나 유사한 수준의 정보보호 인증 체계를 갖추는 경향들이 있다”며 “올해는 다른 기업들이 생각하지 못했었던 영역에서 또 한 레벨 정도 높은 수준의 정보보호 인증을 취득하기 위해서 준비하고 있다”고 강조했다.

이어 “네이버만이 할 수 있는 것을 보여주겠다”며 “업계에서 ‘네이버니깐 할 수 있지’라는 말이 회자될 수 있는 일을 계획하고 있다”고 예고했다.

이 외에도 네이버는 ESG(환경, 사회, 지배구조) 관점에서 지난해 공개했던 ‘NShiftkey(N시프트키)’에 이은 추가 활동을 진행할 예정이다. N시프트키는 오픈소스로 외부 기업들도 누구나 무료로 활용할 수 있는 취약점 점검 시스템이다. 또, 파트너사 개인정보보호 수준을 높이기 위한 활동도 계획 중이다.

◆“현장 중심, 데이터 기반 보안정책 고민 필요”

이와 함께 이 CISO는 더 나은 보안 생태계를 위해 ▲현장 중심 데이터 기반 정부 보안 정책 ▲정보보호 활동 관련 인센티브 제도 ▲공공 CISO‧CPO 논의 등을 제안했다. 이 CISO는 복수의 정부부처와 기관 등에 개인정보보호 및 정보보호 관련 자문을 맡은 경험이 있다.

이 CISO는 “해외 법제도를 국내 도입할 때, 한국 현장과는 맞지 않은 경우가 상당히 있다”며 “외국에서 어떤 문제의식이 있는지 이해하고, 한국 데이터와 현장을 점검해 바텀업(Bottom-up) 방식으로 법제를 만든 후 마지막 단계에서 해외 법제와 비교해야 한다”고 제언했다.

이는 유럽연합(EU) 디지털시장법이나 AI법 등을 국내 도입할 때 부딪히는 이유와도 일맥상통한다. 정보보안과 개인정보보호 영역에서도 해외 정책을 채택할 때, 국내 환경부터 먼저 고려해야 한다는 것이다. 해외 법제도 취지와 내용이 좋아도, 각국의 환경과 이용자, 데이터, 시스템엔 맞지 않을 수 있기에 데이터와 현장을 우선적으로 살펴봐야 한다는 주장이다.

또한, 이 CISO는 기업의 정보보호활동과 관련해 ‘인센티브’ 제도가 필요하다고 목소리를 냈다. 현재는 개인정보유출 및 보안사고가 발생하면, ‘처벌’ 중심 정책을 채택한다. 이는 보안산업에서 인재 확보를 어렵게 하는 요인이기도 하다.

이 CISO는 “개인의 고의나 중과실이 아닌 경우, 정보보호 직종에 종사하는 사람들이 법적으로 책임을 직접 지게 되는 일이 없도록 해야 한다”며 “책임을 묻는 것은 쉽지만, 쌓아온 정보보호 이력이나 노하우를 한순간에 잃게 될 수 있다. 역량 있는 인재를 확보하는 것도 어려워지며, 3D 직종으로 전락해 기존 인재마저 이탈할 수 있다”고 지적했다.

이에 “훌륭한 정보보호 활동에 대해 마일리지를 누적하고, 사건이나 사고 발생 때 이를 차감하는 방식으로 처벌이나 불이익을 상쇄하는 방안도 고려해야 한다”며 “공공CISO‧CPO에 대한 논의도 이뤄져야 한다. 개방형 공무원제도를 채택해 민간쪽 경험을 공공으로 이전한다면, 정보보호영역에서 빠른 발전을 이룰 수 있을 것”이라고 의견을 제시했다.

인터뷰를 마치며, 이 CISO는 기업의 정보보호는 이용자 신뢰를 확보해 비즈니스에 도움이 되고, 그 혜택을 다시 이용자에게 돌아가는 선순환 구조를 만들기 위한 것으로 정의했다.

그는 “이용자와 비즈니스를 염두에 두고 정보보호 활동을 수행하지 않으면 결국 조직 이기주의에 빠지게 되고, 회사 비전‧미션과 동떨어져서 (매출을 벌어들이는 곳이 아닌, 비용을 쓰는 곳이라는) ‘코스트 센터(cost center)’로 기능하는 것에 그칠 수밖에 없다”며 “항상 현장에서 이용자가 원하는 것, 안전하게 보호하고 신뢰를 줄 수 있는 방안, 비즈니스 절차와 어떻게 밀접하게 통합될 수 있을지 등을 고민해야 제대로 된 정보보호 해결책을 만들 수 있다”고 전했다.

◆네이버 이진규 CISO 약력

▲민간-정부 협업 메커니즘을 실무에서 의사 결정 레벨까지 풀 스택 경험 보유

▲국내 1위 포털(네이버)에서 정보보안 및 개인정보 보호 업무를 책임자로서 총괄

▲통신비밀보호와 관련한 법집행 기관 경력 및 기업 대응 업무 경험 보유

▲글로벌 사업 확장에서의 정보보안‧개인정보보호 업무를 법제도적,기술적으로 대응

네이버 주식회사 (2007~현재)

▲Chief Privacy Officer, Chief Information Security Officer, Data Protection Officer

▲기업보안, 개인정보보호, 정보보안, 통신비밀보호, 리스크 관리 영역 경험

▲네이버 프라이버시 센터 구축

▲통신비밀보호업무 외부검증 수행, 네이버 포괄영장전담변호사제 도입, 이용내역 서비스화 등

▲개인정보영향평가 시스템 구축 및 운영(nPIMS)

▲네이버 프라이버시 백서 발간

▲통신비밀보호업무 대응 및 외부 검증 수행