인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 김정희 쏘카 최고정보보호책임자(CISO)는 보안부서가 일을 잘하고 나아가 기업 보안 수준이 높아지려면, 무엇보다 유관부서와의 협업이 굉장히 중요하다고 믿고 있다. 쏘카에 오게 된 이유도 수차례 인터뷰를 통해 유관부서 협업과 수평적 소통이 가능한 기업문화임을 확인했기 때문이다.

김정희 쏘카 CISO는 <디지털데일리>와의 보안리더스 인터뷰를 통해 “보안 업무는 혼자 할 수 없다. 실행하는 부서가 있어야 하고, 승인하는 부서가 있어야 한다”며 “유관부서에 대한 협업이 굉장히 중요하기에, 어떤 컬처핏(Culture Fit, 조직문화 적합성)인지 몇 번이나 확인했다. 최종 인터뷰 때도 가장 중요하게 생각하는 부분이라고 밝히기도 했다”고 떠올렸다.

김정희 CISO는 쏘카 경영진이 보안을 강화하는 첫 단계로 독립성과 객관성을 확보하는 보안조직 분리를 검토할 때 합류했다. 현재 쏘카 정보보안그룹은 최고경영자(CEO) 산하로 재편됐다. <이전 기사 참조 [보안리더스] 2년만에 확 바뀐 쏘카…김정희 CISO가 밝힌 보안비결은?>

◆ISMS‧ISMS-P 인증심사만 100여곳, “CISO 역할에 도움 커”

김 CISO는 24년간 보안업계에서 활동한 보안전문가다. 그는 2000년 7월부터 한국인터넷진흥원(KISA)에서 근무하며 보안업계에 뛰어들었고, 이후 NHN(현 네이버)‧두산을 거쳐 위메프 CISO 역임 후 지난 2022년부터 쏘카 CISO를 맡고 있다. 또한, 김 CISO는 정보보호 및 개인정보보호 관리체계 인증(ISMS, ISMS-P) 심사원 역할도 수행하고 있다. 김 CISO는 보안담당자와 인증심사원 역할 등을 통해 유관부서와의 협업이 기업의 보안 수준 향상에 얼마나 긍정적 영향을 미쳤는지 깨닫게 됐다.

김 CISO는 “민간기업에서 보안 담당자로 근무해 봤고 CISO 및 최고개인정보보호책임자(CPO) 총괄 업무도 수행했다”며 “특히, ISMS나 ISMS-P 인증심사를 진행하며 굉장히 많은 대상 기업의 보안모델을 경험했다”고 말했다.

이어 “100여개 기업 인증 심사 경험은 CISO‧CPO 업무 수행에 실질적으로 큰 도움이 됐다. 필요한 부분과 나아가야 할 방향성을 빠르게 떠올릴 수 있게 됐다”며 “현장에서 다양한 업체의 담당자들과 보안인력들이 운영하는 모델만 100여개 이상을 봤기 때문”이라고 덧붙였다.

이 같은 경험을 토대로 김 CISO는 보안 프로젝트를 보안 부서만의 일로 취급하지 않고, 모든 조직이 같은 방향으로 갈 수 있게끔 경영진이 관심을 가져야 한다는 결론을 도출했다.

김 CISO는 “보안에 대한 필요성을 인지하지 못할수록, 보안에 문제가 생길 수밖에 없다”며 “경영진 지원이 있어야만 기업 보안은 성장할 수 있다고 인증심사 때마다 자문하고 있다. 다행히 쏘카는 개발‧인프라 부서까지 이를 인식하고 있고, 오히려 필요한 부분을 먼저 제안하는 등 컬처핏이 잘 갖춰져 있다”고 전했다.

쏘카는 수시로 보안 업무계획에 따라 필요한 자원을 확보하기 위한 정보보호위원회를 개최하고 있다. 위원회에는 CEO를 비롯한 대부분 경영진이 포함돼 있다. 보안업무에 대해 경영진과 직접 소통할 수 있는 환경인 셈이다. 유관부서 리더들이 보안업무 방향성에 합치를 이루고, 단계적으로 보안 수준을 높일 수 있는 구조를 조성하고 있다는 설명이다.

김 CISO는 “보안부서가 수행하는 단위별 프로젝트에 대해 경영진 및 내부 임직원이 당위성에 대한 공감대를 이어가는 것이 상시 목표”라며 “동시에, 정보보안그룹이 결성된 후 가급적이면 내부 환경에 맞는 자체 보안기능을 구축하고 있으며, 이는 계속될 예정”이라고 부연했다.

◆“클라우드 환경 고려한 정보보호 공시 개선 필요”

이와 함께 김 CISO는 제도 개선에도 적극적으로 활동하고 있다. 과학기술정보통신부 규제심사위원을 역임했고, 현재는 개인정보보호위원회 가명정보 전문가, 정보보호 공시 연구반 등에서 활동하고 있다.

제도는 현실보다 한발 늦기 마련이다. 이에 김 CISO는 민간의 실제 경험을 많이 축적한 전문가들이 다양한 의견을 제안해 실효성 있는 제도 수립을 도와야 한다고 생각한다. 실제, 김 CISO는 정보보호 공시 연구반에서 클라우드 환경에 맞는 제도 변화 의견을 개진하기도 했다. 법에 따라 기업은 의무 또는 자발적으로 정보보호 투자와 전담 인력 등 정보보호 현황을 공시하고 있다.

관련해 김 CISO는 “기존 공시 제도는 과거 온프레미스 환경에 맞는 구조이기에, 클라우드 환경에서 보안 리소스를 어떻게 사용하면서 투자하고 있는지에 대한 지표값을 추가하기 어렵다”고 지적했다.

기업이 아마존웹서비스(AWS) 또는 마이크로소프트(MS) 클라우드 플랫폼을 사용해 클라우드 환경을 구축했다고 가정하면, AWS와 MS에서 제공하는 보안 기능을 활용해 보안성을 높일 수 있다. 외부 벤더사 보안 솔루션을 구매하지 않고, 자체 구축하는 방식과 맞닿아 있다.

김 CISO는 “클라우드 기능을 이용한 자체 구축 케이스가 정보보호 공시에서 많이 제외되고 있다. 이같은 부분도 함께 산출될 수 있도록, 정성적 기준을 정량화할 수 있는 항목이 필요하다”며 “써드파티 솔루션을 쓰지 않았을 뿐, 보안 리소스를 많이 쓰고 있는 곳들이 많다. 하지만 공시에는 포함되지 않아 보안 투자가 미약하다고 오해할 수 있다”고 말했다.

그는 “올해 안에 해당 내용이 반영돼 내년부터는 AWS 보안 리소스 투자 등도 공시에 기재될 수 있을 것으로 기대하고 있다”고 강조했다.

◆김정희 쏘카 CISO 주요 약력

▲現) ㈜쏘카, 정보보호최고책임자, 개인정보보호최고책임자

▲現) ISMS-P 인증심사원

▲現) 개인정보보호위원회, 가명정보 전문가

▲前) 사이버대연합 정책분과위원

▲前) 과학기술정통부, 규제심사위원

▲2022년 9월~현재 ㈜쏘카 CISO/CPO

▲2018년 4월~2022년 9월 ㈜위메프 CISO/CPO

▲2013년 11월~2018년 4월 ISMS, ISMS-P 인증심사

▲2012년 5월~2013년 10월 ㈜두산 (개인)정보보호 정책 수립

▲2009년 5월~2012년 5월 NHN㈜/현,네이버(주) (개인)정보보호 정책 수립

▲2000년 7월~2007년 3월 한국인터넷진흥원(KISA) 침해사고대응 및 복구에 관한 연구, 인증제도 수립 지원, 주요정보통신기반시설 보호계획 수립 지원, 정보보호 훈련장 운영 등

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -