최고경영자(CEO)가 결국 옷을 벗을 수밖에 없었던 카드 3사 개인정보유출사고는 해킹이라기보다는 외부협력업체 직원을 제대로 관리하지 못해 일어난 내부통제실패가 원인이었다.
IT조직 바깥에서 벌어지는 이러한 사건들은 사물인터넷(IoT), 클라우드, 빅데이터, 모바일기기를 말하는 일명 'ICBM'이 주목받기 시작하면서 언제 어떤 식으로 벌어질지 장담하기 어려운 실정이다.
금융사 입장에서 본 정보보호 리스크 관리의 답은 IT조직 바깥에서 찾아야 한다는 것이 롯데카드 최동근 정보보호최고책임자(CISO)의 말이다.
5일 지디넷코리아가 서울 삼성동 코엑스 그랜드볼룸에서 개최한 시큐리티 넥스트 컨퍼런스(SNC)에서 발표자로 나선 최 CISO는 "CIO나 CISO가 IT는 잘 통제할 수 있으나 그 외적인 부분에 대해서는 다루기가 어렵다"며 "실제로 여러 보안사고는 사람에 대한 통제에서 허점이 노출된 경우가 대부분"이라고 밝혔다.
해결책이 뭘까? 오랫동안 IT현장에서 근무했던 그가 찾은 답은 IT조직 바깥에 있었다. 그는 "일반적으로 기업 내 IT조직은 10% 수준에 그치고 있다"며 "결국 전체 조직의 보안을 업그레이드하기 위해서는 마케팅이나 현장에서 고객들과 접점에 있는 사람들과 IT조직 간 커뮤니케이션이 중요해졌다"고 말했다. 이미 최소한의 기본적인 보안수칙을 알고 있는 IT조직 내부보다는 고객들의 정보를 직접 다루는 현업부서 담당자들이 어떻게하면 보안 수준을 업그레이드시킬 수 있을지에 대한 충분한 대화가 필요하다는 것이다.
실제로 IT조직에 비해 상대적으로 정보보호에 대한 배경지식이 부족한 현업부서에서는 주민등록번호와 같은 개인정보를 노트에 적어서 서랍에 넣어놓는 경우도 있다. 이러한 일이 위험할 수 있다는 사실을 알려줘야만 인지하는 경우가 대부분이라는 설명이다.
때문에 최 CISO는 지난달에만 현업부서 직원들 2만5천여명을 대상으로 정보보호 관련 교육을 진행했다. 롯데카드가 현업부서 중 일부 직원들을 개인정보보호 등과 관련된 보안조직에 근무하도록 배치하는 것도 이 때문이다. 이들이 2년~3년 뒤 현업부서에 재배치 되면 누구보다도 보안전도사가 될 수 있다는 것 그의 말이다. 물론 이러한 인식 변화는 현업부서 뿐만 아니라 수많은 외부협력업체들에 대한 관리에서도 중요한 사안이다.
최 CISO는 현업부서와 IT조직 간 원활한 커뮤니케이션을 위해 한 가지 팁을 줬다. 먼저 보안을 보안용어가 아니라 비즈니스적인 용어로 녹여서 풀어낼 수 있어야한다는 것이다. 개인정보유출사고나 해킹을 당할 수 있으니 망분리와 문서중앙화가 필요하다는 메시지보다는 이러한 작업이 CFO 입장에서도 장기적으로 비용을 절감하면서 보안에 대한 리스크 관리까지 할 수 있게 된다는 메시지가 설득력 있다는 설명이다.
관련기사
- 보안관제, 보이는 만큼 알게 된다2016.04.06
- 고가 SW 복제방지책, USB동글 어떻게 쓰이나 보니2016.04.06
- 보안 '인텔리전스', 공격 전-중-후 대응 필수2016.04.06
- "CISO 리스크 관리, 자동화-통합으로 대응해야"2016.04.06
롯데카드의 경우 종이에 기록한 회원신청서를 창고에 5년~10년 간 보관해왔다. 보관된 박스 하나 당 500원~700원 수준의 비용이 든다는 점을 고려하면 고객들이 태블릿에 사인만 하면 LTE망을 통해 고객정보가 데이터로 저장되는 방식을 썼을 때 현업부서를 통한 불필요한 개인정보유출위험을 줄이면서도 비용절감효과도 거둘 수 있게 됐다.
최 CISO는 끝으로 "앞으로는 (정보보호와 관련된) IT 사람들끼리만 모여서 얘기하는 것은 그만하고, 의사들 모임, 전기자동차 학회 등 모임에 나가 이런 곳에서 보안을 얘기해야한다"고 강조했다. 금융사는 물론 보안이 필요한 수많은 분야에서도 결국 현장에서 답을 찾아야 한다는 조언이다.
