인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 손영규 SK텔레콤 최고정보보호책임자(CISO)는 국내 최대 통신사 SK텔레콤에서 기획‧개발 단계부터 보안을 고려하는 ‘시큐리티 바이 디자인(Security by Design)’을 적용한 인물이다.

현재는 글로벌 인공지능(AI) 기업을 지향하는 SK텔레콤 비전에 맞춰, 전사 관점의 종합적‧계층적 보안 전략을 구현하고 있다. <지난 기사 참조 [보안리더스] AI에 진심인 SKT…1위 통신사 보안전략을 말하다> 동시에, SK텔레콤 ‘제로트러스트(Zero Trust)’ 전략도 함께 수립 중이다.

◆SKT만의 ‘제로트러스트’ 보안체계…“현재 내부 검증 중”

손영규 SK텔레콤 CISO는 <디지털데일리>와의 보안리더스 인터뷰를 통해 “SK텔레콤만의 제로트러스트 보안체계를 구축하려는 전략을 수행하고 있다”며 “현재는 사내 유관 부서들과 (파일럿 전) 비저빌리티 검증 단계를 거치고 있다”고 밝혔다.

제로트러스트는 보안업계 뜨거운 화두다. 누구도 믿지 않는 불신 기반의 보안 개념을 바탕으로, 전세계 주요국에서 제로트러스트 보안 모델 도입을 추진하고 있다. 이에 과학기술정보통신부에서도 지난해 ‘제로트러스트 가이드라인 1.0’을 내놓는 등, 정부에서도 관심을 기울이고는 분야다.

SK텔레콤이 제로트러스트를 고려하는 이유 중 하나는 AI다. SK텔레콤은 글로벌 AI 컴퍼니로의 전환을 선언했고, 다양한 AI 서비스들과 관련 전략을 내놓고 있다. 이에 따라 보안체계 변화도 수반될 수밖에 없다.

이 과정에서 지금의 거대언어모델(LLM)에서 대형멀티모달모델(LMM)로 발전할 전망이며, 외부의 수많은 애플리케이션 프로그래밍 인터페이스(API)를 쓰면서 개발자들의 외부 협업도 늘어날 수밖에 없다.

손 CISO는 “기존에는 오픈소스를 사용하는 정도였다. 하지만 이제는 챗GPT와 같은 LLM 서비들의 API부터 수많은 외부 서비스형소프트웨어(SaaS)를 활용할 수 있는데, 통제 환경에서만 적용할 수는 없다 보니 어떻게 해야 할지 고민하기 시작했다”고 말했다.

이어 “그런 서비스들은 외부에서 연결되고, 이를 개발하는 사람들도 다양한 장소에 위치해 있다. 이들에게 계정을 부여했다고, 항상 신뢰하는 권한을 부여하기도 어렵다”며 “그렇다고 보안체계를 하나하나 모두 통제해서 갈 수는 없다. 어떤 권한과 서비스까지 접근을 허용해야 하는지에 대한 정책들을 고민하는 중, 제로트러스트에 관심을 갖게 됐다”고 설명했다.

제로트러스트 보안모델은 시스템별로 문지기를 세워 외부뿐 아니라 내부 보안체계까지 강화한다. 서버, 컴퓨팅 서비스, 데이터 등을 각각 분리‧보호해, 한 곳이 공격을 받아도 다른 곳들의 안전을 지킬 수 있도록 한다. 사용자‧기기 등 모든 접속 요구에 대해서도 아이디‧비밀번호 외 다양한 인증정보를 활용해 인증을 강화한다.

SK텔레콤은 다양한 외부 협업이 이뤄지는 AI 시대에서 보안수준을 높이기 위한 방법 중 하나로 제로트러스트를 보고 있는 것이다.

손 CISO는 “어느 사용자가 어느 디바이스에 접속했을 때 승인해줄 것인지, 접근 통제 부분에서 고민하면서 단계별로 진행하기로 했다”며 “퍼블릭 클라우드에 적용하기는 어렵지 않으나, 온프레미스 환경에서의 고민도 있어서 유관부서들과 협업 중”이라고 덧붙였다.

◆“제로트러스트 보안모델 적용, 단기 과제 아냐”

손 CISO는 제로트러스트 검증을 SK텔레콤 중장기 관점의 보안관리체계 수립 여정의 일부로 보고 있다.

손 CISO는 “대공사가 될 수 있어, 롱텀(long-term, 장기)으로 접근하고 있다. 1~2년 안에 완료할 수 있는 과제는 분명 아니다”며 “현재는 SK텔레콤만의 제로트러스트 전략과 수행 방안을 만들고 싶다는 목표로, 전략을 수립하는 단계로 봐 달라”고 말했다.

정부에서 초기 가이드라인이 나오기는 했으나, 내부에서 근본적 접근부터 하겠다는 복안이다. 단순히 솔루션 도입이 아니라 사내 검증을 거치면서 실제 SK텔레콤에 무엇이 필요한지 들여다본 후, 이에 맞춰 제로트러스트 보안 모델을 수립하는 식이다. 현재는 솔루션 선정보다 아키텍처에 대한 고민을 우선으로 하고 있다는 설명이다.

손 CISO는 “2년 전부터 콘셉트를 스터디하면서, 인증 체계 및 접근 통제뿐 아니라 데이터를 어떻게 분류해 관리할 지에 대한 원칙이 중요하다고 느꼈다”며 “한국 개인정보보호법이나 망법 규제가 강하기 때문에, 법 제도 내에서 안전한 활용이 가능하도록 데이터 부분에 대해 고민하고 있다”고 전했다.

또 “법에 따라 개인정보 취급자는 데이터베이스(DB) 접근 통제를 해야 하고, 개인정보 처리 때 망분리 환경을 구현해야 한다”며 “다만, 이는 제로트러스트 구현 때 제약 요소로 작용할 수 있어 살펴보고 있다”고 부연했다.

정부도 현재 초기 가이드라인을 세우는 단계인 만큼, 부처 간 조율을 거쳐 국내 상황에 맞는 제로트러스트 제도를 수립해야 할 필요성이 지적되는 대목이다.

◆손영규 CISO, SKT ‘시큐리티 바이 디자인’ 주역

이처럼 AI와 제로트러스트 시대에 대응해 보안전략을 수립하고 있는 손 CISO는 SK텔레콤 ‘시큐리티 바이 디자인’ 원칙을 정립한 인물이기도 하다.

손 CISO는 2001년 SK텔레콤에 입사해 2014년까지 IT 개발 및 프로젝트 매니지먼트 업무를 맡았고, 2015년 IT보안팀장을 맡게 됐다. 이때 개발과 보안이 윈윈(Win-Win)할 수 있는 모델을 고려했다.

손 CISO는 “당시만 해도 경계형 보안이 유행할 때라, IT 개발 쪽에서 보안 부서에 뭔가를 열어달라고 요청하면 ‘안 된다’고 대립하는 일들이 있었다”며 “제가 보안에 관심이 있던 터라, 당시 본부장이 저에게 보안팀장을 맡아 개발과 보안이 양립하는 역할을 하라고 제안했다”고 회상했다.

이어 “당시 SK텔레콤이 신규서비스들을 많이 출시하기 시작할 때였는데, 구성원들이 본인 담당 업무와 관련한 보안만 생각하고 있었다”며 “예를 들어, 방화벽 담당자는 이것만 열어주겠다는 생각을 하다 보니 하나하나 통과하는게 어려울 수밖에 없었다”고 전했다.

이때부터 개발‧기획 단계부터 보안을 고려하는 시큐리티 바이 디자인 콘셉트로 IT보안팀장 역할을 해 나가기 시작했다는 설명이다. 이후 손 CISO는 2019년부터 SK텔레콤 CISO로 활동하게 되면서, 시큐리티 바이 디자인을 전사에 본격적으로 도입하게 된다.

손 CISO는 “플랫폼 업계 등에 데브섹옵스(DevSecOps) 개념 도입이 빠르게 진행되면서, 기존 통제방식으로는 갈 수 없겠다고 봤다”며 “가장 중요한 건 개발자들이 보안 의식을 지니고 출발을 해야 하기에, 장기간 보안 관련 교육을 실시했다. 현재는 마무리 단계인데, 소스코드 관리 툴킷 안에 보안 관련 부분들을 탑재하기도 했다”고 말했다.

마지막으로 손 CISO는 기업 내 보안을 ‘공기’처럼 인식해야 한다고 강조했다. 보안은 단 한 번으로 완료되는 프로세스가 아니기에, 지속적이고 연속적으로 관심을 기울여야 하는 분야다. 이는 보안 부서만의 역할이 아닌 전 구성원에게 요구되는 사항이기도 하다.

손 CISO는 “공기가 없으면 사람이 살 수 없듯이 보안인식함량이 전 구성원에게 잘 전파되고 체질화되는 것이 중요하다”며 “보안이 구성원의 업무 생산성을 저해시키는 활동이 아니라, 안전한 서비스 기획‧개발‧운영하기 위한 하나의 프레임워크가 돼야 한다”고 주문했다.

한편, 손 CISO는 SK텔레콤에서 최고개인정보보호책임자(CPO)도 겸직 중이다. 지난해부터는 전기통신금융사기 관련 보이스피싱 관련 대응 조직을 신설해 고객을 보호하는 역할 또한 맡고 있다.

◆SK텔레콤 CISO 손영규 부사장 주요 약력

▲2019년 6월~현재 : SK텔레콤 정보보호담당(CISO&CPO)

▲2017년 1월 SK텔레콤 IT서비스 개발팀장

▲2014년 12월 SK텔레콤 IT보안팀장

▲2001년 6월 SK텔레콤 정보기술원