25년째 롯데, 동부, 한화 그룹 등 기업현장에서 보안 업무를 책임져 온 최동근 롯데카드 최고정보보호책임자(CISO)는 보안에 대한 고민이 비보안, 비IT부서로부터 나와야 한다고 강조했다.
12일 서울 역삼동 한국과학기술회관에서 개최된 '제8회 금융정보보호 컨퍼런스'에서 발표를 맡은 최 CISO는 '금융기관의 정보보호 최우선 고려사항'을 주제로 이 같은 의견을 냈다.
올해 초 발생한 카드 3사 개인정보유출 사건은 내부 시스템을 잘 아는 협력업체 직원의 소행이었다. 외부 해킹보다 내부자를 통한 정보유출 사고가 많다는 점은 국내 뿐 아니라 해외도 사정은 마찬가지다. 최 CISO는 현직원, 퇴사한 직원, 프로젝트를 하러 들어온 협력업체, 외주업체 직원들까지 내부자로 본다면 글로벌 환경에서도 평균 90% 정보유출 사고가 내부자를 통해 이뤄졌다고 밝혔다.
내부자를 통한 유출을 막기 위한 방법에 대해 그는 크게 세가지를 강조했다. 핵심은 기업 내 보안책임자, 보안담당자가 아무리 얘기해도 결국 현업에서 움직여 줘야 한다는 것이다.
최 CISO는 자신이 몸 담고 있는 그룹사의 계열사들을 돌아다니며 점검해 본 결과, 각 계열사 보안조직/IT조직에게 임직원들에게 보안지침을 알리도록 맡겨도 현업 담당자들을 만나보면 내용을 제대로 알지 못하는 경우가 대부분이었다고 설명했다.
현업에서는 비즈니스에만 집중하다보니 사고가 난 이후에도 개인정보를 보유하고 있는 경우가 있고, 누구한테 관련 내용을 알려야 할 지 잘 모르는 임직원들도 여럿이다.
기업 내 필요한 IT시스템을 구축할 때도 현업에서는 비즈니스만 강조하고, IT조직은 개발기간이 길어지고 골치 아프니 보안은 나중에 하자고 말하는 경우도 많다. CISO쪽에서 얘기를 하더라도 일단 서비스를 오픈하고 나중에 대화하면서 보안성을 높이자는 답변이 돌아온다.
이러한 문제를 풀기 위한 해결책 중 하나로 그는 현업에서 오랫동안 비즈니스를 해 온 '베테랑 빅마우스'를 사내 정보보호조직에 전배 시키는 것도 하나의 방법이 될 수 있다고 밝혔다. 약 2년~3년 간 이 조직에 있으면 다른 현업 부서에 재배치 됐을 때 자연스레 보안성을 강조하는 환경을 만들 수 있다는 것이다.
이와 함께 최 CISO는 IT조직 담당자들이 커뮤니케이션하는 대상을 10이라고 보면 이중 8, 9 정도는 현업 임직원들과 커뮤니케이션할 필요가 있다고 강조했다. 현재 기업환경에서는 정반대로 IT조직 직원들끼리만 대화가 이뤄지고 있어 현업의 요구와 보안 문제에 대한 절충안이 나오지 않고 있다는 지적이다.
정보보호에 대한 역할과 책임(Role&Responsibility, R&R)을 명확히 하는 것도 중요하다. 보안/IT조직이 아니라 현업 임직원들에게도 개인정보를 제대로 관리하지 못해 사고가 나는 것은 당신 책임이라는 점을 명확히 인지할 수 있도록 알려줘야 한다는 것이다. 열심히 일 해놓고 형사처벌 받는 일이 없도록 정보보호에도 신경을 써달라는 메시지를 전해야 한다는 설명이다.
관련기사
- 국내 보안 시장이 제자리 걸음만 하는 이유2014.09.13
- 클라우드가 PC보다 위험?…오해와 진실2014.09.13
- 법원 “개인정보 유출 KT 10만원씩 배상”2014.09.13
- 페이팔-알리페이는 어떻게 보안성 챙겼나2014.09.13
더불어 CIO, CISO 조직 간에 티격태격해서는 답이 없다고 밝혔다. IT조직 내에서 조차 불협화음이 나면 보안은 속수무책으로 나빠질 수밖에 없다는 것이다.
위탁/수탁업체들, 협력사에 대한 교육도 필수다. 이들 회사 임직원들을 대상으로 한 정보보호 가이드를 제시하는 것이 정보보호 문제를 100으로 놓고 보면 60은 해결하고 간다고 봐야 한다는 것이 최 CISO의 말이다.