인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] “언제나 해커는 저희의 사정을 고려하지 않고 공격을 가합니다. 이로 인해 실제 피해가 발생한다면, 기업은 법령에 따라 과징금 또는 과태료를 물게 되죠.”

현대디에프(구 현대백화점면세점, 이하 현대면세점) 반형철 최고정보보호책임자(CISO)는 <디지털데일리>와의 보안리더스 인터뷰를 통해 기업 상황에 부합하는 보안 정책 설계와 적극적인 행동을 강조하며 이같이 밝혔다.

기업 내 보안 조직 역량을 강화하는 가장 좋은 방법은 많은 예산과 풍부한 인력을 뒷받침하는 것이다. 하지만, 대체적으로 보안 조직은 한정된 자원과 인력으로 공격자 위협을 막아내고 고객정보를 보호해야 한다.

물론 사업이 성장가도를 달리고 수익이 높다면, 보안부서 역시 많은 자원을 지원받을 수 있다. 그렇지 않을 경우 대부분 한정된 재원으로 운영될 수밖에 없다. 성능 좋은 방화벽을 별도로 구축하는 대신, 통합보안시스템(UTM) 장비 내 방화벽 기능을 대신 채택하듯이 말이다.

그렇지만 사이버공격 위협은 곳곳에 도사리고 있고, 오히려 기업 내 지원 부족으로 보안이 허술한 곳일수록 공격자의 좋은 먹잇감이 된다.

◆어려운 업황에도 걸음 멈추지 않는다…보안인증 확대에 정보보호 자율공시까지

특히, 면세업은 고유식별정보인 여권번호를 다루고 중국과 많은 사업적 교류가 많기에 외부 사이버 보안 공격이 많은 편이다. 하지만 지금 면세점 업황은 어려운 상황이다. 코로나19 엔데믹과 해외여행객 증가에도, 고환율‧경기침체와 소비패턴 변화에 따라 실적 부진이 이어지고 있다.

그럼에도 반형철 CISO는 한정된 자원으로 보안을 높이기 위한 다양한 방안을 강구하고 있다. 보안이 기업 비즈니스에 도움이 될 수 있다는 생각에서다. 이와 관련 반 CISO는 국내외 정보보호 표준에서 제시하는 사항들을 준수하고 있고 이를 증명하고자 다수의 정보보호 인증을 획득해 운영하고 있다.

사업의 글로벌 진출을 대비해 APEC 프라이버시 프레임워크를 바탕으로 한 CBPR(Cross Border Privacy Rules)인증, 중국인 개인정보 이전을 위한 중국 개인정보 영향평가, 국내법 준수 및 개인정보보호를 위한 ISMS-P인증, 글로벌 수준의 (개인)정보보호 능력 향상을 위한 ISO27001 및 27701을 획득해 운영하고 있다. 올해에는 웹 사이트 운영과 관련해 현행 법령 준수를 심사하는 e프라이버시 플러스까지 인증을 확대할 예정이다.

또한, 스미싱 자체 모의 훈련 및 정보보호 점검을 실시하고 있다. 현대면세점은 지난해부터 자체적으로 시스템을 구축하기 시작해 올해 선보였다. 외부 스피어피싱 또는 스미싱 공격에 대응해 실제와 유사한 메시지를 내부 임직원에게 보내는 훈련 시스템이다. 이러한 현대면세점 노력에 힘입어, 지난해에는 정보보호대상 우수상을 수상하기도 했다.

올해에는 처음으로 정보보호공시에 자율적으로 참여했다. 현대면세점은 정보보호공시 의무 대상이 아니다. 면세점 업계에서 올해 정보보호공시에 참여한 곳은 현대면세점이 유일하다.

정보보호 담당 인력은 CISO 포함 4명에 불과하지만, IT 투자액 중에서 정보보호 투자액이 차지하는 비중이 14.8%에 달한다. 대부분 기업들이 한 자릿수 투자 비중을 나타내는 것과 비교하면 정보보호부문 투자 비중이 높은 편이다. 현대면세점 정보기술부문 투자액은 약 39억6600만원, 정보보호부문 투자액은 약 5억8800만원이다.

◆속도‧효율성 높이는 전략…“명쾌한 CISO 되고 싶어”

반 CISO는 “주어진 환경 내에서 보안성을 높이기 위해 속도와 효율성을 중요하게 여기는 보안전략을 펼치고 있다”며 “스미싱 모의 훈련 시스템을 비롯해 AI 프로젝트 등을 자체적으로 구축하고, 보안인증도 직접 준비하고 있다”고 설명했다.

또 “최고경영자(CEO) 직접보고를 통해 빠른 의사결정을 이어가고 있으며, 직원들에게 권한을 주면서 실제 업무처리와 현업 네트워킹에 집중하도록 했다”고 말했다.

이처럼 반 CISO는 어려운 상황 속에서도 보안을 강화하기 위한 도전을 게을리하지 않고 있다. 현재는 내년을 목표로 AI를 활용한 보안 프로젝트에 집중하고 있다. <지난 기사 [보안리더스] 현대면세점 반형철 CISO “AI 활용 보안 강화, 내년 최우선 목표” 참고>

반 CISO는 “CISO 만 2년차 새내기라, 의욕이 많다”며 “보안은 사업과 발맞춰, 비즈니스가 가야 할 길을 닦아놓거나 도울 수 있도록 뒷받침해야 한다. 기업 상황에 맞춰 보완할 수 있는 점이 중요하기에, 열심히 공부하고 실제 테스트하면서 열정적으로 일하고 있다”고 부연했다.

그는 기업 상황에 맞춘 보안설계와 운영능력 등 실무적 역량을 키우는 것을 주효하게 여기고 있다. 인력, 예산, 조직 등 지원되는 리소스를 바탕으로 사업에 도움되는 보안을 설계·운영 할 수 있도록, 유연한 사고를 바탕으로 한 적극적인 행동을 강조한 배경이기도 하다.

반 CISO는 “CISO는 상황에 맞게 보안을 디자인하고 운영하는 실무적 능력이 필요하며, 예측하지 못한 리스크를 예방하고 발생한 문제를 안전하게 관리할 수 있도록 폭넓게 사고해야 한다”며 “명쾌하게 답변하고 효율적인 의사결정을 해주는 시원한 CISO가 되고 싶다”는 각오를 전했다.

◆반형철 현대디에프 CISO 주요 약력

▲2022년 ~ 현재 : 현대디에프 정보보호담당(CISO/CPO)

▲2019년 ~ 2022년 : 에프앤유신용정보 개인(신용)정보보호담당자

▲2017년 ~ 2019년 : 티알엔 (개인)정보보호담당자

▲2016년 ~ 2017년 : 한국우편사업진흥원 (개인)정보보호담당자

▲2015년 ~ 2016년 : 미디어윌네트웍스 (개인)정보보호담당자

▲2012년 ~ 2015년 : (재)녹색사업단 (개인)정보보호담당자