KB국민은행 이재용 CISO, ‘자율보안체계 전환에 따른 정보보호 조직운영 사례’ 소개
KISA 박용규 침해사고분석단장, ‘해커가 공략하는 기업의 취약환경과 대응 전략’ 공유
대통령실 신용석 사이버안보비서관, “이번 주 SW 공급망보안 가이드라인 발표 예정”
[보안뉴스 김영명 기자] 한국CISO협의회(회장 이기주)가 개최한 제134차 CISO(Chief Information Security Officer, 정보보호최고책임자) 포럼이 4월 16일 더 플라자 호텔 서울 다이아몬드홀에서 열렸다. 정부 및 공공기관과 기업의 CISO 100여명이 참석한 가운데 열린 이번 포럼은 ‘자율보안체계 전환에 따른 정보보호 조직운영 사례 발표’와 ‘해커가 공략하는 기업의 취약환경과 대응 전략’이라는 두 개의 주제발표와 함께 최신 보안 이슈를 공유하고 소통하는 자리로 마련됐다.
▲(왼쪽부터)KB국민은행 이재용 CISO, 한국CISO협의회 이기주 회장, 신용석 사이버안보비서관, KISA 박용규 침해사고분석단장[사진=보안뉴스]
한국CISO협의회 이기주 회장은 개회사에서 “오늘은 협의회 부회장이신 KB국민은행 이재용 CISO께서 은행에서의 보안 운용 사례를 소개하고, KISA 박용규 침해사고분석단장님께서도 해커가 공략하는 기업의 취약환경과 대응전략을 공유해 주실 것”이라며 기대감을 나타냈다.
주제발표에 앞서 대통령실 신용석 사이버안보비서관은 “총선을 앞두고 사이버공격에 대비하기 위해 대통령실, 국정원, 사이버작전사령부 등이 만반의 준비태세를 갖추고, 국가사이버위기관리단과 많은 기업들의 노력 덕분에 큰 이슈 없이 총선을 마무리할 수 있었다”고 말했다. 이어 “정부의 여러 정책 중 망분리 제도 개선과 관련해 CISO협의회 회원분들의 조언을 받았고 앞으로도 협의회와 함께 할 것”이라며 “이번 주에는 SW 공급망보안(SBOM) 가이드라인이 발표될 예정인데, 선진 제도를 적용해 세계에서 앞장서 나가는 대한민국이 되도록 노력하겠다”고 밝혔다.
첫 번째 주제발표로 KB국민은행 이재용 CISO는 ‘자율보안체계 전환에 따른 정보보호 조직운영 사례’를 소개했다. KB국민은행은 금융위원회가 발표한 ‘금융보안 규제 선진화 방안’에 발맞춰 보안 거버넌스·규제·관리·감독 선진화를 반영한 정보보호 관리체계 전환 및 선제 대응을 위해 감사 기준을 기존에 컴플라이언스 중심에서 위협에 대한 자율적인 대응으로 전환했다.
또한 KB국민은행은 위협 중심 애자일 조직운영 사례로 KB 사이버 쉴드, 제로트러스트 아키텍처 구축, 전자금융 사고 예방 신기술 개발·적용, 보안관제 및 악성코드 유입 시 분석·대응, 임직원 보안인식 제고 교육 개선, 개인(신용)정보 유출 대응 모의훈련 등을 진행하고 있다.
이재용 CISO는 “자율보안체계가 적용되면 정보보호 조직운영을 통해 실질적인 정보보호 리스크 전문 보안인력을 양성하고, 금융보안 규제 개선 및 선진화에 대비한 제로트러스트 기반 정보보호 아키텍처 마이그레이션을 진행할 것”이라며 “생성형 AI 및 양자 컴퓨팅 등 신기술 발전에 대응한 신기술 기반 정보보호 리스크 관리 역량을 강화하겠다”고 밝혔다.
두 번째로 한국인터넷진흥원 사이버침해대응본부 박용규 침해사고분석단장이 ‘해커가 공략하는 기업의 취약환경과 대응 전략’이라는 주제로 발표를 이어갔다. NAS의 보안 위협 요인은 취약한 인증 및 비밀번호 사용, 접근 권한 및 파일 공유 설정 오류, 암호화 부재, 미처리된 공개 포트, SW 취약점 및 부족한 보안 업데이트 관리 등이다.
최근 해커들이 주로 공략하는 유형별 사례로는 암호화 알고리즘 키 노출에 따른 온라인 서점 전자책 유출 사고, 접근제어·권한관리·감사로깅 및 모니터링 미흡에 따른 OO전자 내부기밀 유출 및 배포, 내부 자원 표면관리 미흡에 따른 망 장애로 OO통신 유선 인터넷망 디도스 공격, 24시간 온라인에 연결된 백업서버 감염에 의한 바이오 기업의 랜섬웨어 감염 사고 등이 발생했다.
박용규 단장은 “해킹에 대응하기 위해서는 ‘나’를 알고, ‘적’을 아는 게 중요하다”며 “내부 보안 상황을 객관적으로 재진단하고, 복구 과정도 꼼꼼히 살펴야 한다”고 말했다. 이어 “자체 대응과 외부 인텔리전스 네트워크를 활용한 대응역량을 강화해야 한다”며 “특히 개발할 때 사용하는 NAS 등 소스코드 저장소 관리의 강화도 필요하다”고 강조했다.
▲제134차 CISO포럼 현장[사진=한국CISO협의회]
한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>