금융권 보안수준 향상 및 정보보호 경험과 지식 공유를 통한 업계 정보보호 수준제고 기여 공로
정희철 CISO “정보보호 인력간의 활발한 소통 및 정보 공유 절실해... CEO 포함한 임직원 인식제고도 필수”
[보안뉴스 원병철 기자] 사이버 보안 이슈가 늘어나면서 기업의 보안을 책임지는 CISO들의 고민 또한 늘고 있다. 하루가 다르게 정교해지고 심각해지는 사이버위협 속에서 기업 경영을 고려하면서 보안을 챙기는 것이 쉽지 않기 때문이다. 특히, 고객의 돈을 움직이는 금융권에서는 이러한 사이버위협이 다른 곳보다 더 많은 것은 물론 사건사고 발생시 피해도 커서 더욱 많은 노력과 고민이 필요하다. 이 때문에 이번 제10회 정보보호의 날 기념식에서 과학기술정보통신부 장관상을 수상한 정희철 삼성생명 CISO의 사례는 매우 뜻깊다.
▲삼성생명 정희철 CISO[사진=삼성생명]
먼저 정보보호 유공자 표창을 축하드립니다. 금융권 CISO로 재직하신지는 얼마나 되셨나요
안녕하세요. 저는 삼성생명에서 CISO 겸 신용정보관리 보호인으로 근무하고 있는 정희철 상무입니다. 직장생활을 시작한 것은 1991년이었는데, 당시는 인터넷 환경이 아닌 메인프레임 기반의 폐쇄망이었기 때문에 지금보다는 훨씬 보안상 안전한 환경이었습니다. 그러나 이후 1995~96년 IT 환경이 인터넷 기반으로 변화하면서 다양한 보안위협이 대두되기 시작했으며, 외부로부터의 보안 위협을 방어하기 위한 방화벽이 인터넷 관문에 설치되기 시작했습니다. 이때부터 보안 업무를 담당하면서 보안영역에 발을 들이게 되었습니다.
보안 업무를 수행하면서 보다 체계적으로 대응하기 위해 동료들과 영국에서 제정된 BS 7799 정보보호 관리체계를 벤치마킹해 회사 정보보호 정책, 지침, 절차를 제정했고, 이렇게 만들어진 정보보호 관리체계를 관계 회사에 소개하고 보급했습니다.
사실 정보보안 업무를 수행하면서 외부 공격뿐만 아니라 내부자를 통한 정보 유출 등 도처에 산재하는 위협에 대비하고, 다양한 비즈니스 환경 및 빠른 기술 변화에 대응하고 학습하기에는 보안 인력이 턱없이 부족합니다. 이 때문에 이를 효율적으로 극복하기 위해서는 각 기업의 보안전문가 사이에 활발한 소통이 필요하고, 이를 통해 보안 수준을 향상시키기 위한 활동이 수반돼야 합니다. 이를 위해 보안 전문 인력간의 소통 및 정보 공유 작업을 열심히 수행하고자 노력했던 기억이 납니다.
다행이 최근에는 금융 ISAC과 KISA를 통해 정보 공유 및 분석 활동이 활발하게 이뤄지고 있습니다. 또한, 이를 기반으로 신속한 보안 위협 대응이 가능해지고, 업계의 보안 수준 또한 꾸준히 개선되고 있어 보안 담당자로서는 많이 의지하게 되고 이를 정말 다행으로 생각하고 있습니다.
이번 정보보호의 날 유공자 표창을 받을 수 있었던 이유는 무엇이라고 생각하시나요
정보보호 경험과 지식 공유를 통해 금융 업계의 정보보호 수준을 높이고, 금융고객의 정보를 안전하게 관리하는데 기여하는 것을 목표로 보안 업무를 꾸준히 추진하였던 것을 높게 평가해주신 것으로 생각됩니다. 아울러 삼성생명의 정보보호 업무 책임을 맡으면서, 제일 먼저 저희 회사의 보안 업무 수준에 대한 진단 및 이에 따른 중장기 보안 아키텍처를 수립하고 우선순위를 선정해 단계적으로 개선하고자 노력했습니다.
좀 더 구체적으로 자세히 설명을 드리면, 먼저 금융고객 정보의 안전한 관리를 위하여 신기술을 적극적으로 도입해 체계적이고 자동화된 보안 인프라를 구축함으로써 정보보호 수준을 향상시키고자 했습니다. 이를 위해 모든 상황에서 동일한 인증처리 방식이 아닌 리스크 기반의 전사 통합인증 및 접근통제 인프라를 구축해 전사 모든 시스템의 계정 및 권한을 단일화된 시스템으로 통합, ‘계정관리 포탈’을 구축했습니다.
또한, 사용자의 상황(Context) 기반으로 리스크를 수치화(Risk Scoring)함으로써 상황에 맞는 인증체계(Adaptive Authentication)와 사내 시스템에서 3rd Party 클라우드 사업자 콘솔의 통합인증(SSO) 체계 구축과 운영을 수행했습니다.
둘째로, IT 인프라 작업시 변경작업에 기반한 허용 명령어에 한해, 수행 가능한 체계인 ‘PAM(Privilege Access Management)’ 인프라를 구축해 보다 안전한 작업 환경을 구현하도록 했습니다.
셋째, 임직원들이 보안수칙을 효율적이고 제도적으로 준수하도록 인프라를 구현하고, 상시 내부 관제기능을 구현해 허점이 발생하지 않도록 관리했습니다. 예를 들어, 반기 한 번 전사 애플리케이션·시스템·데이터베이스에 대한 사용자 권한의 적절성 검토(entitlement review) 및 퇴직자 모니터링 프로세스를 운영해 통합계정 미연동 개별 시스템에 대한 퇴직자 자동검출 및 알람 기능을 구현했습니다. 또한, 이를 보안사고 징후탐지 시스템과 연동해 평시와 다른 이상행동시 사유를 확인해 보안사고를 미연에 방지하고자 했습니다.
마지막으로, 이러한 노력을 외부 컨퍼런스에서 사례로 발표해 많은 금융사에게 정보보호 경험 및 지식을 공유함으로써 업계의 정보보호 수준을 제고하고자 했습니다.
정보보호 관련 업무에서 가장 중요하다고 생각하는 것은
정보보호 업무는 외부로부터의 위협에 대한 방어, 내부로부터의 정보 유출 등 내·외부로부터의 모든 보안 위협에 대응해야 합니다. 이러한 정보보호 위협에 대응하기 위해서는 기술적, 관리적, 물리적 보안 위협 대응 프로세스 및 시스템 구축이 필요하고, 이를 위해서는 막대한 비용 및 보안 인력이 요구되기 때문에 회사 경영진의 적극적인 지원 의지가 수반되어야 합니다. 또한, 보안 위협 대응을 위한 복잡한 프로세스, 불편한 시스템은 임직원들의 불편을 초래하기 때문에 이에 대한 설득 및 양해를 얻는 작업도 같이 수행돼야 합니다.
아울러, 회사 내 임직원들의 정보보호 인식 제고도 필요합니다. 아직도 여전히 정보보호 업무가 특정 부서, 특정 담당 인력이 수행하는 것으로 인식하는 경우도 존재합니다. 보통 99개가 완벽하고 1개가 취약하면, 그에 의하여 정보보호 사고가 일어나게 되어 있습니다. 취약한 1개가 99개의 수준으로 올라와야 하는데, 이를 위해서는 정보보호 인력뿐만 아니라 전 임직원의 인식제고가 무엇보다도 절실하게 요구됩니다. 이를 위해서 정보보호에 대한 상시 교육, 상시 모의 훈련 등이 필요하다고 생각됩니다.
마지막으로 앞서 설명했던 것처럼 정보보호 인력간의 활발한 소통 및 정보 공유가 무엇보다도 중요합니다. 코로나 상황으로 정보 인력간의 모임이 쉽지 않지만, 나날이 늘어나는 랜섬웨어 공격, DDoS 공격, 클라우드 AI/ML을 이용한 새로운 딥페이크(Deep Fake) 공격 시도 등에 대응하기 위해서는 전문 보안 인력 및 기관의 활발한 소통 및 정보 공유가 절실히 요구됩니다.
마지막으로 보안 분야 관계자에게 당부하고 싶은 것이 있을까요?
코로나 상황은 보안 전문가들에게도 많은 교훈을 주었다고 생각됩니다. 초기에 코로나 집단 감염이 발생하고 확산됐을 때 해당 위협만을 대응하기 위한 방안을 마련했고, 추가적으로 집단 감염이 새롭게 발생하면 또 이를 위한 대응방안이 나오곤 했습니다. 당시 집단 감염 발생 가능한 영역에 대한 상상력 및 창의성이 무엇보다도 필요했으나, 코로나는 소홀한 영역으로 계속 파고들었던 것 같습니다.
정보보호 업무도 마찬가지 입니다. 조금이라도 소홀한 영역이 있으면 이를 통해 보안 위협이 발생하고 막대한 피해가 발생하게 됩니다. 최근 기승을 부리는 랜섬웨어, 보이스피싱 공격도 코로나 환경과 유사한 패턴을 보이고 있다고 생각됩니다. 랜섬웨어, 보이스피싱 등 사회적 위협이 되는 이러한 보안 위협은 누구 하나의 노력만으로 해결되지 않고, 국민 모두가 각자의 영역에서 경각심을 가지고 함께 대응해야 합니다. 이는 하루아침에 이룰 수 없는 것이기에 정보보호 전문가뿐만 아니라 정부부처, 유관기관, 기업이 지속적으로 정보를 공유하고 협업해서 대응하는 것은 물론 국민들에게 꾸준히 홍보하고 교육을 병행해야 한다고 생각합니다.
[원병철 기자(boanone@boannews.com)]
정희철 CISO “정보보호 인력간의 활발한 소통 및 정보 공유 절실해... CEO 포함한 임직원 인식제고도 필수”
[보안뉴스 원병철 기자] 사이버 보안 이슈가 늘어나면서 기업의 보안을 책임지는 CISO들의 고민 또한 늘고 있다. 하루가 다르게 정교해지고 심각해지는 사이버위협 속에서 기업 경영을 고려하면서 보안을 챙기는 것이 쉽지 않기 때문이다. 특히, 고객의 돈을 움직이는 금융권에서는 이러한 사이버위협이 다른 곳보다 더 많은 것은 물론 사건사고 발생시 피해도 커서 더욱 많은 노력과 고민이 필요하다. 이 때문에 이번 제10회 정보보호의 날 기념식에서 과학기술정보통신부 장관상을 수상한 정희철 삼성생명 CISO의 사례는 매우 뜻깊다.
▲삼성생명 정희철 CISO[사진=삼성생명]
먼저 정보보호 유공자 표창을 축하드립니다. 금융권 CISO로 재직하신지는 얼마나 되셨나요
안녕하세요. 저는 삼성생명에서 CISO 겸 신용정보관리 보호인으로 근무하고 있는 정희철 상무입니다. 직장생활을 시작한 것은 1991년이었는데, 당시는 인터넷 환경이 아닌 메인프레임 기반의 폐쇄망이었기 때문에 지금보다는 훨씬 보안상 안전한 환경이었습니다. 그러나 이후 1995~96년 IT 환경이 인터넷 기반으로 변화하면서 다양한 보안위협이 대두되기 시작했으며, 외부로부터의 보안 위협을 방어하기 위한 방화벽이 인터넷 관문에 설치되기 시작했습니다. 이때부터 보안 업무를 담당하면서 보안영역에 발을 들이게 되었습니다.
보안 업무를 수행하면서 보다 체계적으로 대응하기 위해 동료들과 영국에서 제정된 BS 7799 정보보호 관리체계를 벤치마킹해 회사 정보보호 정책, 지침, 절차를 제정했고, 이렇게 만들어진 정보보호 관리체계를 관계 회사에 소개하고 보급했습니다.
사실 정보보안 업무를 수행하면서 외부 공격뿐만 아니라 내부자를 통한 정보 유출 등 도처에 산재하는 위협에 대비하고, 다양한 비즈니스 환경 및 빠른 기술 변화에 대응하고 학습하기에는 보안 인력이 턱없이 부족합니다. 이 때문에 이를 효율적으로 극복하기 위해서는 각 기업의 보안전문가 사이에 활발한 소통이 필요하고, 이를 통해 보안 수준을 향상시키기 위한 활동이 수반돼야 합니다. 이를 위해 보안 전문 인력간의 소통 및 정보 공유 작업을 열심히 수행하고자 노력했던 기억이 납니다.
다행이 최근에는 금융 ISAC과 KISA를 통해 정보 공유 및 분석 활동이 활발하게 이뤄지고 있습니다. 또한, 이를 기반으로 신속한 보안 위협 대응이 가능해지고, 업계의 보안 수준 또한 꾸준히 개선되고 있어 보안 담당자로서는 많이 의지하게 되고 이를 정말 다행으로 생각하고 있습니다.
이번 정보보호의 날 유공자 표창을 받을 수 있었던 이유는 무엇이라고 생각하시나요
정보보호 경험과 지식 공유를 통해 금융 업계의 정보보호 수준을 높이고, 금융고객의 정보를 안전하게 관리하는데 기여하는 것을 목표로 보안 업무를 꾸준히 추진하였던 것을 높게 평가해주신 것으로 생각됩니다. 아울러 삼성생명의 정보보호 업무 책임을 맡으면서, 제일 먼저 저희 회사의 보안 업무 수준에 대한 진단 및 이에 따른 중장기 보안 아키텍처를 수립하고 우선순위를 선정해 단계적으로 개선하고자 노력했습니다.
좀 더 구체적으로 자세히 설명을 드리면, 먼저 금융고객 정보의 안전한 관리를 위하여 신기술을 적극적으로 도입해 체계적이고 자동화된 보안 인프라를 구축함으로써 정보보호 수준을 향상시키고자 했습니다. 이를 위해 모든 상황에서 동일한 인증처리 방식이 아닌 리스크 기반의 전사 통합인증 및 접근통제 인프라를 구축해 전사 모든 시스템의 계정 및 권한을 단일화된 시스템으로 통합, ‘계정관리 포탈’을 구축했습니다.
또한, 사용자의 상황(Context) 기반으로 리스크를 수치화(Risk Scoring)함으로써 상황에 맞는 인증체계(Adaptive Authentication)와 사내 시스템에서 3rd Party 클라우드 사업자 콘솔의 통합인증(SSO) 체계 구축과 운영을 수행했습니다.
둘째로, IT 인프라 작업시 변경작업에 기반한 허용 명령어에 한해, 수행 가능한 체계인 ‘PAM(Privilege Access Management)’ 인프라를 구축해 보다 안전한 작업 환경을 구현하도록 했습니다.
셋째, 임직원들이 보안수칙을 효율적이고 제도적으로 준수하도록 인프라를 구현하고, 상시 내부 관제기능을 구현해 허점이 발생하지 않도록 관리했습니다. 예를 들어, 반기 한 번 전사 애플리케이션·시스템·데이터베이스에 대한 사용자 권한의 적절성 검토(entitlement review) 및 퇴직자 모니터링 프로세스를 운영해 통합계정 미연동 개별 시스템에 대한 퇴직자 자동검출 및 알람 기능을 구현했습니다. 또한, 이를 보안사고 징후탐지 시스템과 연동해 평시와 다른 이상행동시 사유를 확인해 보안사고를 미연에 방지하고자 했습니다.
마지막으로, 이러한 노력을 외부 컨퍼런스에서 사례로 발표해 많은 금융사에게 정보보호 경험 및 지식을 공유함으로써 업계의 정보보호 수준을 제고하고자 했습니다.
정보보호 관련 업무에서 가장 중요하다고 생각하는 것은
정보보호 업무는 외부로부터의 위협에 대한 방어, 내부로부터의 정보 유출 등 내·외부로부터의 모든 보안 위협에 대응해야 합니다. 이러한 정보보호 위협에 대응하기 위해서는 기술적, 관리적, 물리적 보안 위협 대응 프로세스 및 시스템 구축이 필요하고, 이를 위해서는 막대한 비용 및 보안 인력이 요구되기 때문에 회사 경영진의 적극적인 지원 의지가 수반되어야 합니다. 또한, 보안 위협 대응을 위한 복잡한 프로세스, 불편한 시스템은 임직원들의 불편을 초래하기 때문에 이에 대한 설득 및 양해를 얻는 작업도 같이 수행돼야 합니다.
아울러, 회사 내 임직원들의 정보보호 인식 제고도 필요합니다. 아직도 여전히 정보보호 업무가 특정 부서, 특정 담당 인력이 수행하는 것으로 인식하는 경우도 존재합니다. 보통 99개가 완벽하고 1개가 취약하면, 그에 의하여 정보보호 사고가 일어나게 되어 있습니다. 취약한 1개가 99개의 수준으로 올라와야 하는데, 이를 위해서는 정보보호 인력뿐만 아니라 전 임직원의 인식제고가 무엇보다도 절실하게 요구됩니다. 이를 위해서 정보보호에 대한 상시 교육, 상시 모의 훈련 등이 필요하다고 생각됩니다.
마지막으로 앞서 설명했던 것처럼 정보보호 인력간의 활발한 소통 및 정보 공유가 무엇보다도 중요합니다. 코로나 상황으로 정보 인력간의 모임이 쉽지 않지만, 나날이 늘어나는 랜섬웨어 공격, DDoS 공격, 클라우드 AI/ML을 이용한 새로운 딥페이크(Deep Fake) 공격 시도 등에 대응하기 위해서는 전문 보안 인력 및 기관의 활발한 소통 및 정보 공유가 절실히 요구됩니다.
마지막으로 보안 분야 관계자에게 당부하고 싶은 것이 있을까요?
코로나 상황은 보안 전문가들에게도 많은 교훈을 주었다고 생각됩니다. 초기에 코로나 집단 감염이 발생하고 확산됐을 때 해당 위협만을 대응하기 위한 방안을 마련했고, 추가적으로 집단 감염이 새롭게 발생하면 또 이를 위한 대응방안이 나오곤 했습니다. 당시 집단 감염 발생 가능한 영역에 대한 상상력 및 창의성이 무엇보다도 필요했으나, 코로나는 소홀한 영역으로 계속 파고들었던 것 같습니다.
정보보호 업무도 마찬가지 입니다. 조금이라도 소홀한 영역이 있으면 이를 통해 보안 위협이 발생하고 막대한 피해가 발생하게 됩니다. 최근 기승을 부리는 랜섬웨어, 보이스피싱 공격도 코로나 환경과 유사한 패턴을 보이고 있다고 생각됩니다. 랜섬웨어, 보이스피싱 등 사회적 위협이 되는 이러한 보안 위협은 누구 하나의 노력만으로 해결되지 않고, 국민 모두가 각자의 영역에서 경각심을 가지고 함께 대응해야 합니다. 이는 하루아침에 이룰 수 없는 것이기에 정보보호 전문가뿐만 아니라 정부부처, 유관기관, 기업이 지속적으로 정보를 공유하고 협업해서 대응하는 것은 물론 국민들에게 꾸준히 홍보하고 교육을 병행해야 한다고 생각합니다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
