[디지털데일리 최민지기자] 산업별 최고정보보호책임자(CISO) 4인이 각 기업의 보안정책을 공유하고, 정책‧제도적 개선을 위해 쓴소리를 아끼지 않았다.

과학기술정보통신부와 행정안전부, 국가정보원은 한국정보보호산업협회(KISIA), 한국인터넷진흥원(KISA) 등은 10일 서울스위스그랜드호텔에서 ‘제13회 정보보호의 날 기념식 및 국제 정보보호 컨퍼런스’를 열고, CISO 콘서트를 진행했다.

정보보호의 날 행사에서 처음 선보인 CISO 콘서트에는 ▲반형철 현대백화점면세점 CISO ▲제주항공 이혁중 CISO ▲롯데카드 이창복 CISO ▲LG유플러스 홍관희 CISO가 참여했다. 이날 CISO들은 회사 사업 전략과 부합하는 보안 정책 수립 중요성을 강조하는 한편 과징금 제재 완화, 규제당국 점검 효율화, CISO 위상 강화 등을 제도적 변화 요구사항으로 꼽았다.

다음은 CISO 4인의 일문일답.

Q. 최근 사이버위협이 다양화되고 있는데, 어떤 전략을 강구하고 있나?

▲(롯데카드 이창복 CISO) AI 보안이 필요하다고 본다. 요즘에는 데이터가 폭발적으로 증가하고, AI 보안 위협이 증가하고 있다. AI를 활용한 가시성이 확보되지 않으면, 보안 대응이 어렵다. 이에 중장기적 전략을 검토하고 있다. 사람이 하는 보안, AI가 하는 보안의 협업이 주요 축이 될 것이다. 올해부터 시작해 내년부터 AI 보안을 준비한다. 그렇지 않으면, 내부에서 보안 업무 효율화도 이뤄질 수 없다.

▲(제주항공 이혁중 CISO) 내부 직원에 의한 개인정보 및 기업정보 유출은 기술적으로 막는 데 한계가 있다. 아무리 기술로 막아도 어떻게든 우회로를 만든다. 모니터링 체계로 간다. 한 명이라도 잡으면, 본보기를 보여주는 방식이다. 이를 통해 직원 인식을 바꾼다. 외부 공격 대응 경우, 찾을 수 있는 걸 전부 찾아 의미있는 것을 골라내는 AI 머신러닝을 검토 중이다. 내년쯤 실제 진행할 수 있다.

Q. 항공 쪽 보안 위협은 무엇이 있을까?

▲(제주항공 이혁중 CISO) 항공기 운항 측면에서는 GPS 위치 신호 교란, 통신채널 교란, 기내 고객용 오락시스템을 통한 위협, 잘못된 기상정보 등이 있다. 예를 들어, 기상정보를 잘못 알려줘 운항을 방해하는 행위다. 공항‧항공사와의 연결 측면에서는 항공사 시스템 오류로 잘못된 정보, 조종사와 관제탑과의 잘못된 소통, 활주로 조명시스템 손실 등이 있다. 악의적으로 통신한다면 위험한 시나리오가 발생할 수 있다. 도심항공기(UAM)에서도 GPS 신호 변조 가능성이 있다.

Q. AI 관련해 고려 중인 보안 정책 수립 현황이 있다면?

▲(반형철 현대백화점면세점 CISO) 현대백화점면세점은 광고 프로모션 영역 내 카피라이터, 보도자료 초안, 리뷰 큐레이션, 콘텐츠 자동제작, 이미지 합성‧생성, 언어 번역‧편집 영역에서 AI를 활용하고 있다. 다만, AI는 불명확한 정보 제공, 중요정보‧개인정보 유출, 법령 위반‧권리 침해 등 리스크가 있다. AI와 밀접한 보안활동을 식별해 알려지지 않은 AI 악용 외부 공격에 대비하고, 개인정보 유‧노출 등 보안사고가 발생하지 않도록 사전 정보보호 예방활동을 수행해 보안성을 높여가고 있다. 특히, ‘보안을 위한 AI 설계’ 자체 구축을 진행하고 있다. AI를 활용해 질문과 답변 형태로 빠르게 보안 현황을 확인하는 방식이다.

Q. 협력사 보안 강화를 위해 어떤 활동을 하고 있는가?

▲(롯데카드 이창복 CISO) 보안 위험은 약한 고리에서 일어난다. 금융 경우 수탁사 수만 100개 이상이다. 여러 중요 정보가 수탁사에 있을 수 있기에, 수탁사의 정보보안 강도가 우리 회사 보안 강도다. 이에 계약 검토 시점에 정보보안을 검토한다. 별도 정보보호약정서가 있다. 그래야만 정보보호 항목을 명확하게 선정하고, 문서화할 수 있다. 계약 종료 때 개인(신용) 정보 파기 여부를 점검해야 한다. 원하는 보안수준까지 끌어올리는 업무도 필요하다. 기준 점수 미달 때 계약 해지 검토 및 권고를 하기도 한다. 실제 해지한 사례도 있다. 보안 우수 수탁사에게는 1000만원 상당 기프트카드 포상을 하고 있다.

Q. 보안을 강화하기 위해 어떤 점이 중요하다고 생각하는가?

▲(LG유플러스 홍관희 CISO) 한국인터넷진흥원에 따르면 지난해 침해사고 신고 현황은 1535건이다. 이중 기본을 지키지 않아서 발생하는 사고들이 많이 있었다. 사고가 나면, 초동대응이 안 되는 경우들이 있다. 단순히 이벤트 탐지‧모니터링 대응만 생각하지 말고, 평상시 정보를 잘 가지고 있고 시스템화해야 이슈 발생 때 빠르고 정확하게 대응할 수 있다. 평상기 기본기를 탄탄히 해야 한다. 서비스 현황과 구조, 업무 프로세스를 잘 파악해야 한다. 파악된 자산을 잘 정리하고, 장비 운영을 체계화해야 한다. 기초가 없으면, 모래성만 쌓는 것이다. 기초 공사를 단단히 해야 보안을 강화할 수 있다.

Q. 각 분야에서 정보보호계획 수립 때 중요하게 생각하는 요소는?

▲(롯데카드 이창복 CISO) 회사 전략 방향에 일치되는 보안 전략 계획이 가장 중요하다. 새로운 사업이 진행될 때마다, 전략적 방향을 뒷받침하기 위해 보안절차와 정책을 수립해야 한다. 롯데카드는 전 임원이 참여하는 회의가 월 6번 있다. 대표도 월단위로 리스크를 파악할 수 있다. CISO도 참여해 이에 발맞춰 간다.

▲(LG유플러스 홍관희 CISO) 회사 사업 전략과 부합하는 보안정책 수립이 중요하다. 또, 컴플라이언스 준수를 어떻게 가져갈 것인지, 새로운 위협을 대응하는 계획이 필요하다. 보안은 리스크 관리인데, 이를 매년 완화하고 없애고 새로운 리스크를 어떻게 발굴할 것인지 고려해야 한다.

Q. CISO로서 생각했을 때, 정책적 제도적으로 개선돼야 할 부분이 있느냐?

▲(현대백화점면세점 반형철 CISO) 과징금에 대한 예외적 조항을 강화했으면 한다. 실제 보안 사고를 보면, 보안조직이 잘못한 것보다 (다른 조직에서) 이를 예외적으로 이어가다 발생하는 경우가 많다. 관련해 여러 보안 인증을 받으려고 해도 “그것이 꼭 필요하느냐”라는 질문을 많이 받을 것이다. 예산을 수립하고, 보안 솔루션 고도화 등 다양한 보안 활동을 할 수 있는 리소스를 확보하려면 필요하다. 과징금에 대한 완화가 정책적으로 개선됐으면 한다.

▲(LG유플러스 홍관희 CISO) 통신사 특성상 ISMS-P부터, 기반시설, 위치정보, 본인인증 등 받아야 할 인증이나 규제점검이 많다. 사실상 매달 있다. 보안부서에서 어려운 점은 유관부서에 협조를 요청해야 하는 부분이 있다. 사업부서에 이런 것들을 설명하고 같이 준비해야 하는 부분이다. (규제당국) 점검에 대한 효율화가 필요하다. 또한, CISO 권한이나 위상이 제도적으로 뒷받침돼야 한다. 금융권에서는 법적으로 최근 많이 변화해서, CISO와 CPO가 주기적으로 CEO와 보게 돼 있다. 정보통신망법에선 (CEO와 주기적으로 미팅하는) CISO 부분이 없다.

Q. CISO로 어려운 점이 있는가?

▲(현대백화점면세점 반형철 CISO) 회사 사업에 연계된 보안정책 수립이 어렵다. 회사 사업과 시너지를 낼 수 있는 정책을 탐구하는 것이 어렵다. 하지만 항상 회사 미션이나 그룹 전략 방향에 관심을 두고, 보안이 어떤 점을 뒷받침하고 직간접적으로 효과를 낼 수 있을지 고민했다. 작년 회사에서 글로벌 진출 사업 계획이 대두됐고, 보안적으로 고민한 결과 CBPR 국제인증을 획득했다. 관련 회원국 진출했을 때, 개인정보 법령 검토 비용을 줄일 수 있다. 국제인증 획득했기에, 회원국에 보안인식을 심어주며 마케팅 효과를 얻을 수 있을 것이라고 판단했다.