이만재 한화생명 정보보안최고책임자(CISO)

<이미지를 클릭하시면 크게 보실 수 있습니다>

“100% 사고를 막는 '보안'은 없습니다. 결국 어떤 취약점에서든 사고는 발생할 수밖에 없습니다. 사고 발생 시 피해를 줄이고 신속히 대응하는 것이 사전 예방만큼 중요합니다.”

이만재 한화생명 최고정보보호책임자(CISO)는 보안 위협을 완벽하게 막는 것은 불가능하기 때문에 사고를 제대로 관리해야한다며 이처럼 말했다.

개인정보유출 등 해킹사고는 매해 끊임없이 발생한다. 홈플러스(2014년, 900만명), 뽐뿌(2015년 195만건), 인터파크(2016년, 1030만건), 하나투어(2017년 42만명), 여기어때(2017년 99만명)에 이어 올해 스카이에듀, 가비아까지 끊이지 않는다. 하지만 사후대응에 따라 미치는 파장은 천차만별이다. 개인정보유출로 기업 경쟁력저하를 가져 오기도하며 반면 사고 후 철저한 관리로 신뢰를 회복한 기업도 있다. 해커 공격을 모두 막는 것은 어렵지만 이후 대응은 온전히 기업이 해야한다.

이 CISO는 “사전예방에 전력을 쏟는 한편으로 언제든 사고가 발생할 수 있다고 가정하고 팀별 훈련이 돼야한다”면서 “이 과정이 체계화되고 훈련이 돼야 실제 사고가 발생했을 때 올바르게 대응한다”고 말했다.

사고예방은 직원 생각 변화에서 시작한다. 보험사 특성상 사람이 개인정보를 다룬다. 민감한 개인정보가 축적 돼 데이터 보호에 어떤 산업보다 중요하다.

이 CISO는 “PC, 프린터 등 사전 통제를 기술적으로 하는 것은 당연하지만 중요한 것은 보안에 대한 '마인드'”라면서 “입사 때부터 교육을 진행하며 조직마다 정보보호 실무자를 배치해 정기교육을 시키고 메일 등 다양한 형태로 정보를 제공한다”고 말했다.

무엇보다 임원, 경영자 등 생각이 중요하다. 이 CISO는 “이메일, 악성코드 모의훈련을 반복하면 효과가 있지만 시간이 흐를수록 한계가 있다”면서 “회장, 최고경영자(CEO)등이 보안에 관심을 갖고 지시하고 이를 각 부서에 전파되도록 해야 한다”고 조언했다.

이어 “기업 CEO 역량과 관심이 보안의 질을 결정한다”면서 “절대 적인 양은 보안팀이 할 수 있지만 양질로 만드는 것은 CEO의 생각과 행동”이라고 덧붙였다.

보안 인식 변화도 체감한다. 과거와 달리 보안과 편리성이 대립관계가 아니라 보완관계로 발전했다. 기술 발전이 보안과 편의성 모두를 잡는데 일조했다.

이 CISO는 “보안 때문에 업무에 어려움을 겪는 불편함은 없다. 물 밑에서 오리가 발을 빠르게 움직이듯 보안은 보이지 않는 곳에서 문제를 막고 해결한다”면서 “보안은 상충관계가 아닌 보완 또는 협의 관계로 바라봐야한다”고 말했다.

정영일기자 jung01@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]