인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 완벽한 보안, 성공한 보안이란 없다. 다만, 더 나은 보안환경을 만들고자 총력을 기울일 뿐이다. 당연하게도 보안부서 노력만으로 충분치 않다. 경영진과 모든 임직원, 파트너사까지 보안인식을 함께 해야만 가능한 일이다.

이는 미래를 여는 일과도 맞닿아 있다. 앞서, 이창복 롯데카드 최고정보보호책임자(CISO)는 인공지능 전환(AX) 시대에 맞는 보안환경을 조성하기 위해 ‘AI 데이터레이크’ 기반 AI 보안시스템 등을 구축할 계획이라고 밝혔다. <지난 기사 참조 [보안리더스] AX시대 준비하는 롯데카드, 내년 ‘AI 데이터레이크’ 만든다> 롯데카드는 AX 시대를 준비하고 있고, 기술 환경은 더욱 복잡해지고 있다. 이러한 가운데 모든 구성원이 보안의 중요성을 인식할 수 있어야만, 리스크를 줄이고 안전한 미래를 담보할 수 있다.

이와 관련 이창복 롯데카드 CISO는 <디지털데일리>와 보안리더스 인터뷰를 통해 올해 주요 보안활동에 대해 “보안은 정보보호실과 일부 임직원만이 수행하는 업무가 아닌, 회사 모든 구성원이 각자의 책임과 역할이 있다는 것을 인식시키고 보안 활동에 참여할 수 있도록 정책과 프로세스 개선에 중점을 두었다”고 말했다.

◆매달 CEO‧임원 만나는 CISO, 경영진 보안인식 높이는 롯데카드 문화

매달 한 차례, 롯데카드 최고경영자(CEO)와 경영진은 중요한 약속을 지킨다. ‘운영리스크 회의’에 전 임원이 참여하는 것이다. 이 회의엔 이창복 CISO도 참석해, 최신 보안정책과 위협 요소‧취약점 등을 경영진에 공유하고 관심도를 높이고 있다.

이 CISO는 평균적으로 두 달에 한 번씩은 운영리스크 회의에서 주제 발표를 직접 하고 있다. CEO뿐 아니라 전체 임원에게 취약점이 왜 발생했는지, 어떤 리스크가 있는지, 그래서 롯데카드는 어떤 변화를 해야 하는지에 대해 전달하고 있다. 이 자리를 통해 경영진은 보안 위협과 실천방안 등을 깨닫고, 안전한 보안 환경을 구축해야 한다는 공감대를 나눈다.

많은 기업 내 보안 담당자들이 어려움을 토로하는 부분 중 하나가 유관부서와의 협업이다. 하지만, 모든 부서 임원들이 회사에 직면한 보안 위협을 인지하는 것만으로도, 전사적으로 보안 중요성을 설득하는 힘은 커지게 된다.

올해 이 CISO가 운영리스크 회의에서 발표했던 주제 중 하나는 ‘인앱(In-APP) 보안’이었다. 제휴 상품 활성화와 편의성을 개선하며 인앱이 증가하자, 이에 따른 취약점을 점검해 개선안을 발표했다. 이 CISO는 취약점 점검 후 발생할 수 있는 위험을 경영진에 알렸고, 외부 제휴사와 안전한 연동을 위한 계획을 수립하겠다고 밝혔다.

롯데카드뿐 아니라, 앱 내 동작하는 인앱 형태 외부 제휴사 서비스까지 안전해야만 이용자가 안심할 수 있기 때문이다. 또, 해당 제휴사 서비스를 인앱 형태로 이용하는 모든 금융사가 안전해질 수 있다고 판단했다.

또한, 이 CISO는 운영리스크 회의 때 유관부서 임원들에게 ‘여러분이 조금만 도와주면 이 리스크를 줄일 수 있다’는 메시지를 함께 던진다고 한다. CEO가 지원하고 보안부서만 잘한다고 끝나는 것이 아니라, 현업에서도 해야 할 일이 있다는 것을 알리기 위해서다. 실행 계획에서 유관부서가 무엇을 함께 했으면 좋을지에 대해서도 전하는 이유다.

이 CISO는 “(조좌진 대표가) 컴플라이언스가 금융사에 얼마나 중요한지 인지하게 하고 이를 계속 관리할 수 있는 자리를 마련해줬기에, 이 자리를 빌어 보안‧컴플라이언스 리스크 중요도를 전 임원에게 공유하고 설득하는 역할을 하고 있다”며 “전체 임원 대상으로 회사 전체에 대한 리스크와 정책 중요도 등을 알리는 자리를 매달 마련하는 것은 어떤 금융사도 해내기 쉽지 않다. (CEO의 의지에) 나 또한 놀랐던 부분”이라고 강조했다.

◆임직원 위한 보안 심플리피케이션…외부 협력사도 보안진단

롯데카드는 임직원의 자발적 보안활동 참여를 제고하기 위한 ‘로카 시큐어워즈(LOCA SECU AWARDS)’를 통해 우수사례를 적극 발굴하고 있는데, 이 또한 운영리스크 회의 과정에서 탄생했다.

이와 함께 이 CISO는 임직원 대상 ‘보안 심플리피케이션(Simplification)’을 적용했다. 보안 정책을 적용받고 이행해야 하는 임직원이 보안을 쉽게 이해할 수 있도록, 현업관점 언어로 표현하고 시스템‧자동화해 실행력을 높이는 것을 말한다. 임직원이 자신들의 역할 안에서 보안의 의미를 쉽게 이해하고 실천할 수 있어야만, 기업 보안이 강화될 수 있기 때문이다.

이 CISO는 “심플리피케이션이라고 하면 임직원이 겪는 보안정책 불편함을 줄이기 위해 효율적인 간소화를 추구하는 것으로 이해하는데, 이것과는 분명 다르다”고 했다.

일례로, 롯데카드는 보안 심플리피케이션 일환으로 개인정보전송 시스템과 계약정보를 연동했다. 어떤 정보를 왜 외부에 제공하는지 한 눈에 확인하고 관리할 수 있게 된 것이다. 기존엔 메일을 통제하는 방식으로 사전에 필터링하고 승인받아야 했는데, 이제는 이 시스템을 통해 절차도 간소화됐을 뿐 아니라 가시성도 높아졌다는 설명이다. 또, 이전에는 일일이 수작업으로 확인했던 복잡한 보안섬 심의 체크리스트를 자동으로 필수 체크 항목과 매핑하는 시스템으로 전환하기도 했다.

이처럼 롯데카드가 추구하는 심플리피케이션은 임직원이 복잡한 절차에 매달리지 않아도, 자신의 업무에서 보안을 실천할 수 있게끔 환경을 제공하는 것이다. 이 CISO는 “정확한 목정성을 갖고 쉬운 언어로 전달했을 때, 실제로 보안 통제 활동도 잘 된다”며 “만 2년간 진행했는데, 보안과 업무 효율을 모두 높아지고 있으며 커뮤니케이션도 수월해졌다. 실제 보안부서에 질의는 줄었지만, 보안 정책 이행률과 정밀도는 높아졌다”고 부연했다.

이뿐 아니라 이 CISO는 공급망보안을 강화하고 있다. 경영진과 임직원, 외부 파트너사 보안까지 개선돼야만 보안체계가 갖춰졌다 말할 수 있다고 본 것이다. 롯데카드는 신규 계약업체에 대해서는 보안 컨설팅을 제공하고, 특화된 상세 보안이행 매뉴얼을 배포하고 있다. 미흡 상황에 대해선 실질적 개선 이행을 지원한다. 또, 매년 우수협력사를 20~30% 정도 선발해 수탁회사에는 재계약 및 추가 계약 때 평가 가점을 부한다. 수탁사 보안담당자에게는 기프트카드 포상도 제공하고 있다.

이 CISO는 “외부에 노출된 제휴사 프로그램에 대해선 반드시 모의해킹하고 취약점을 진단한다”며 “실제로 일부 취약점을 찾아내 조치한 바 있다. 롯데카드뿐 아니라 해당 제휴사 프로그램을 쓰는 기업들 모두가 안전해지는 길”이라고 언급했다.

아울러, 이 CISO는 “보안의 기본은 사람과 프로세스”라며 “보안 정책을 운영하는 사람과 프로세스, 보안 정책을 적용 받는 사람과 프로세스가 얼마나 합리적이고 유기적이냐에 따라 회사 보안이 더욱 단단해지면서도 임직원 모두 함께하는 보안이 될 수 있다”고 전했다.

◆이창복 롯데카드 CISO 주요 약력

▲2022년~현재 한국정보보호최고책임자협의회 부회장

▲2022년~현재 금융보안원 금융보안포럼 운영위원

▲2024년 제13회 정보보호의날 과기정보부 장관상

▲2022년~현재 롯데카드 정보보호실장(CISO/CPO)

▲2014~2022년 현대카드/캐피탈 정보보호팀장

▲2011~2013년 현대카드/캐피탈 정보보호담당

▲2003~2010년 현대카드 IT감사 및 정보보호담당