대한민국이 보안강국으로 나아가기 위한 전문가 제언 ② 이혁중 전 최고정보보호책임자(CISO)
 |
[디지털데일리 최민지기자] "모 기업은 최고정보보호책임자(CISO) 지정 대신 연 1000만원 과태료를 물겠다고 해요. CISO 연봉보다 벌금이 싸니까요. 정보보호관리체계(ISMS) 의무 대상인데도 수억원 보안 투자가 아까워 과태료를 내고 말겠다는 경영진들도 있습니다."
이혁중 전 제주항공 CISO는 <디지털데일리>와 인터뷰를 통해 대한민국에서 벌어지는 보안 실태의 일부분을 꺼냈다. SK텔레콤·KT·SGI서울보증·롯데카드에 이르기까지 대한민국을 발칵 뒤집어 놓은 해킹과 개인정보 유출 사태에도 아직 많은 기업 내 경영진들은 보안 투자에 인색하다.
보안사고가 발생했을 때 기업 이미지 훼손이 걱정되는 만큼, 신고에도 인색하다. 정직하게 신고하고 후폭풍을 맞느니 차라리 들키지 않을 확률에 기대어 내부에서 조용히 처리하겠다는 뜻이다.
아무리 보안을 강화하더라도 공격자가 겨냥한다면 누구든 해킹 피해자가 될 수 있다. 100% 완벽한 보안은 없기 때문이다. 그럼에도 보안을 강화해야만 공격대상이 될 확률이 줄어든다. 기업 보안을 강화해야 하는 이유다.
이에 정부는 기업에서 보안을 총 책임지는 CISO 지정을 의무화하는 한편, CISO 권한 강화를 외쳐왔다. 하지만 CISO도 결국 최고경영자(CEO)의 부하직원일뿐이다. CEO와 최고재무책임자(CFO) 등 주요 경영진이 보안 투자에 인색하면 CISO에겐 어떠한 권한도 생기지 않는다.
이혁중 전 CISO는 "회사에서 CISO를 실제 권한과 책임이 있는 주요 경영진으로 인식하는 체제로 가야 한다"며 " CEO가 사이버보안에 사용되는 예산과 인력을 비용이 아닌 투자로 생각할 수 있도록 환경을 조성해야 한다. 영업을 위한 투자라고 보안을 인식하게 되면 하지 말라고 해도 알아서 투자한다"고 제언했다.
Q. 연이어 해킹사고가 발생하는 가운데, 해킹당한 기업을 향한 비난과 질타가 이어지고 있다. 일각에서는 해킹당한 기업도 범죄자에 당한 '피해자'라는 사실을 언급하기도 한다. 이에 대해 어떻게 생각하는지.
▲사고가 발생하면 고객 입장에선 믿고 맡긴 정보가 유출된 만큼 기업을 탓할 수밖에 없다. 다만, 대응 가능성에 대해선 판단을 해 볼 필요가 있다. 과거 한 통신사 대리점에서 고객정보 유출사고가 발생했을 때 당시 기술·절차로 탐지 가능한지에 대해 "대응할 수 없다"라는 결론으로 무죄 판정된 바 있다.
100% 보안사고에서 안전한다는 건 불가능하다. 보안사고는 언제든지 누구에게나 발생할 수 있다. 사고가 발생했을 때 바로 이를 알아채고 대응책을 낼 수 있는지가 중요하다. 물론, 침해사고가 있었는지조차 오랫동안 모르고 있었다면 이건 문제다.
Q. 해킹당한 기업이라는 사회적 낙인이 찍히게 될까 두려워, 일부 기업은 해킹이나 개인정보 유출 사고를 당하더라도 신고하지 않는다고 한다. 관련해 실제 분위기는 어떠한가?
▲전적으로 동감한다. 사고를 인지해 신고하게 되면, 언론에 노출되고 고객센터에 문의가 쏟아진다. 이후 매출이 떨어지게 된다. 기업 입장에선 정상적 서비스 제공이 불가능해진다. 시간이 지나 무죄를 받더라도 소비자 마음은 쉽게 변하지 않는다.
알려지지 않았지만, A사가 랜섬웨어에 걸려 공장이 멈춘 사례가 있었다. 그런데 한국인터넷진흥원(KISA)에 신고하지 않고 외국계 보안기업에 요청해 사고 분석 후 솔루션을 구매했다. 만약 보안사고를 신고하게 되면 조사단이 와서 시스템을 조사하고 서버를 가져가기도 한다. 이 경우, 기업은 정상적인 서비스와 업무에 어려움을 겪게 된다. 신고한 후 후폭풍을 생각해 주저하기도 한다.
정직하게 알리더라도 잘잘못을 따지기 전 이미 두들겨 맞는다. 일부러 신고를 안 하는 경우가 발생하는 이유다. 공론화되지 않은 이상 내부에서 조용히 처리하거나 과태료를 내면 된다는 곳들도 있다. 솔직하면 바보만 된다는 생각을 하는 듯 하다.
Q. 최고경영자(CEO)와 최고재무책임자(CFO) 등 경영진 보안인식이 높아야 보안이 강화될 수 있다. 그런데 실상은 해킹사고가 발생한 후 정부와 국회가 질타하는 등 사회적 문제로 번져야만 경영진들이 그제서야 보안에 관심을 갖게 되는 경우가 상당수다.
▲통상 보안조직에서 회자되는 이야기가 있다. 동종업계에서 사고가 나야 그나마 보안에 관심 있는 경영진에게 어필할 수 있을 것 같다는 말이다.
대기업이 아닌 중견 중소기업은 더 심하다. 대기업과 IT기업에서 발생한 보안사고를 보고했을 때 "그렇게 투자하는 회사에서도 사고가 나는데 굳이 우리가 투자할 필요가 있을까? 투자해도 사고나는데"라고 받아치는 타 업종 경영진들도 많다. 성과평가지표(KPI)만 봐도 매출과 주가는 있어도 보안은 없으니 중요 지표로 고려되지 않는다.
다만, 보안사고를 겪어본 CEO는 철저하게 확인하고 보안에 관심도가 높은 것도 사실이다.
Q. 정부에서 최근 해킹 후속 조치로 IT 자산과 취약점 등을 점검해 CEO 보고 후 CEO 확인 서명을 제출하라고 공문을 보낸 걸로 알고 있다. 정부에서도 경영진을 향해 보안 관심을 환기시키려고 노력 중인 걸로 보인다. 이러한 정책이 실효성을 거둘 것으로 보는가?
▲정부에서는 CEO에 보안경각심을 울리기 위해 이런 조치를 한 것으로 본다. 다만, 원하는 결과가 얼마나 될지는 미지수다. 의도적이든 아니든 사실과 다른 답변으로 올 가능성이 80%는 되지 않을까 싶다.
기업에서 가장 큰 문제는 (IT) 자산 파악이 안 된다는 점이다. 임직원 PC 경우, 자산 폐기 때 프로세스가 제대로 안 돼 있거나, 규정을 지키지 않는 경우도 있다. 물리적 서버나 장비뿐 아니라 VM·쿠버네티스 등 가상화·컨테이너 환경으로 복잡해지면서 더욱 파악하기 어려워졌다. 이를 다 조사하고 확인하려면 상당한 비용과 인력 투입이 필요하다.
이러다 보니, 사고가 나도 인지하지 못하는 곳이 부지기수고 골든타임을 못 지키게 된다.
Q. CISO로서 사이버보안 예산이나 인력 확보 등과 관련해 가장 큰 어려움은 무엇인가?
▲CISO 역할은 발생할 수 있는 보안사고 위험을 최소화하기 위해, 기술적·관리적 지식을 총동원해 한정된 인력과 비용으로 대응하는 것이 본질이다. 법에서도 CISO 지정과 관련해 보안에 투자되는 예산과 인력에 대한 권한을 부여했다. 대표이사 직속으로 권하는 것도 보안에 막강한 권한을 준다는 거다.
실제 CISO에게 이러한 권한을 부여하는 회사가 있을까? 없다고 본다. 기업 입장에선 보안에 사용하는 돈을 투자가 아닌 비용으로 인지한다. 회사가 어려우면 어려운대로, 잘되면 '설마'라는 마음으로 보안부서를 대한다. CISO가 대표이사 직속이 아닌 최고정보책임자(CIO) 산하 조직에 속한 경우도 많다. CIO는 프로그램이 돌아가게 해야 하고 CISO는 보안상 문제가 있으면 막아야 하는데 상하관계로 배치된 것이다.
일각에서는 최근 벌어진 해킹사고 관련해 ISMS가 왜 필요하냐는 문제제기를 하기도 하던데 사실 이것마저 없었으면 더 엉망이고 더 심각한 상황을 초래했을 거다.
Q. 국내 사이버보안 현 주소는 어떠하다고 생각하나?
▲25년 이상 보안업계에 몸담았는데, 보안에 대한 경영진 인식과 증가하는 보안사고는 변하지 않았다. 대기업과 연계된 중견 중소기업 보안 현황은 20년 전과 다름 없는 상황이다.
사이버보안이 제대로 갖춰지지 않으면 기업과 국가가 무너질 수 있다는 걸 인지해야 하는 시기다.
Q. CISO 위상 강화와 함께 경영진이 보안에 관심을 가질 만한 실질적인 요소가 필요해 보인다. 의견을 낸다면?
▲우선, CEO가 사이버보안에 사용되는 예산과 인력을 비용이 아닌 투자로 생각할 수 있도록 환경을 조성해야 한다. 영업을 위한 투자라고 보안을 인식하게 되면, 하지 말라고 해도 알아서 투자한다.
보안사고와 관련해 과징금과 과태료만 있는데, 보안을 잘하는 회사에겐 강력한 인센티브가 필요하다. 예를 들어, 정부가 기업 시스템 전체를 점검 후 보안성을 인정한 곳에 법인세를 경감시키는 방안도 생각해볼 수 있다. 이렇게 해도 사고는 언제든 날 수 있다. 국가에서 보안을 이 정도로 했기 때문에 피해가 최소화될 수 있었다는 국민 대상 캠페인도 이뤄져야 한다. 반면, 채찍도 필요하다. 영업정지 등 강력한 제재안을 담은 중대재해법 발표 후, 관련 산업계 CEO들이 이 부분에 대해선 철저하게 지킨다. 사이버보안도 그런 면을 참고하면 어떠할까 싶다.
또한, 회사에서 CISO를 실제 권한과 책임이 있는 주요 경영진으로 인식하는 체제로 가야 한다. CISO 자격 요건도 강화돼야 한다. 느슨한 규정은 자격 없는 CISO와 CPO를 양산한다. 실무자가 업무 내용을 다 알아도, 최종 판단은 CISO 몫이라 업무 이해도에서 많은 차이가 날 수 있기 때문이다. CISO와 기업은 법을 넘어 진정한 사업파트너라는 인식이 심어져야 한다. CISO도 회사 업무 프로세스를 전부 파악하고, 기업이 안전하게 사업을 할 수 있도록 만들어가야 한다.
하나 더 의견을 내자면, 상당한 검토가 필요하겠지만 기업은 실적을 전자 공시 시스템을 통해 제출해야 한다. 여기에 IT 보안 관련 사항을 추가하는 방법도 생각해볼 수 있다.
◆ 이혁중 제주항공 전 CISO는?
이혁중 전 CISO는 26여년간 보안업계에 몸담으며, 국내 주요 기업 보안업무를 총괄해 온 대표 보안 전문가다. 그는 항공·도심항공교통(UAM) 사이버보안과 인공지능(AI) 보안을 비롯해 ▲가상사설망 대체 제로트러스트 네트워크 액세스(ZTNA) 적용 ▲M365활용 제로트러스트(ZT) ▲애플리케이션 프로그래밍 인터페이스(API) 보안 ▲내부회계관리제도(ITGC) 대응 ▲역외 이전 관련 해외 개인정보보호법 대응 등에 관심을 기울여 왔다.
그는 포항공대 석사 졸업 후 ▲펜타시큐리티 ▲에스티지시큐리티 ▲SK쉴더스(구 SK인포섹) ▲유넷시스템 등 보안기업에 근무한 바 있다. 이후엔 ▲삼성SDS 그룹 보안 총괄 ▲넥슨코리아 글로벌보안센터 보안실장 ▲엔씨소프트 정보보호실장을 거쳐 최근까지 ▲제주항공 CISO를 맡으며 국내 보안업계에서 입지를 굳혔다. 2020 정보보호의날 기념식에서는 장관 표창을 수상한 바 있다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
