한국CISO협의회 주최로 더프라자호텔에서 개최...공공기관 및 기업 CISO들 대거 참석
기관·기업의 보안담당자가 꼭 알아야할 클라우드 보안대책 구현사례와 개인정보보호 강화방안 강연
[보안뉴스 원병철 기자] 코로나19로 인해 기업과 기관들의 디지털 전환(Digital Transformation)이 빠르게 이뤄지면서 클라우드 적용을 검토하는 경우가 늘고 있다. 하지만 많은 기업과 기관들은 클라우드를 어떻게 사용할지만 생각할 뿐 안전하게 사용하는 방안에 대해서는 고민하지 않는 경우가 많다. 이러한 가운데 5월 17일 열린 ‘제118차 CISO포럼’에서는 기업에서 클라우드를 도입하면서 고민했던 보안에 대한 실제 사례를 공유하는 시간이 마련돼 기업의 보안담당자들에게 큰 도움이 됐다.
▲(좌측부터) 이기주 한국CISO협의회 회장, 이재우 동국대 석좌교수, 손영규 SK텔레콤 CISO, 김기배 위즈코리아 대표[사진=보안뉴스]
이기주 한국CISO협의회 회장은 인사말을 통해 “우리 CISO 회원들은 보안에 대한 다양한 경험과 실제 사례를 누구보다 많이 갖고 있다”면서, “이를 공유하는 것이 유익하겠다는 생각을 했고, 오늘은 그 일환으로 SK텔레콤에서 직접 발표를 해주시기로 했다”고 설명했다. 아울러 “최근 수원시 권선구에서의 개인정보 유출로 인해 기업과 기관의 개인정보보호가 다시금 이슈가 되면서 이에 대한 대책마련 방안 중 하나로 주목받고 있는 개인정보 접속기록관리를 위한 강연도 준비했다”고 덧붙였다.
또한, 한국CISO협의회 자문위원장인 이재우 동국대 석좌교수가 최근 한국CISO협의회에 대한 해외 보안담당자들의 관심이 높다며 관련 소식을 전했다. 이재우 석좌교수는 “CISSP 등 국제 정보보호 자격증을 운영하는 세계 최대 보안전문가협회 (ISC)²에서 CISO포럼을 모니터링 하는 등 관심을 쏟고 있으며, 특히 보안분야 ‘공로상’을 시상할 때 한국CISO협의회 회원들은 더 인정해주고 있다”면서, “최근에는 방한을 준비 중인 (ISC)² 회장이 직접 CISO포럼에 참석하고 싶다고 요청하는 등 글로벌 보안전문가들 사이에서 한국CISO협의회에 대한 명성이 높다”고 말했다.
안전한 클라우드 전환, 초기부터 적극적인 보안활동 필요해
이어 첫 번째 발표자로 나선 손영규 SK텔레콤 CISO는 ‘기업의 안전한 클라우드 전환방안 및 사례’를 주제로 강연했다. 손영규 CISO는 “퍼블릭 클라우드에 대한 기업과 기관의 니즈는 늘고 있다”면서, “하지만 국내외에서 보안사고 사례가 끊임없이 보고되고 있고, 이중 일부는 회사 존립에 영향을 미칠 정도로 피해규모와 파급효과가 크다”고 지적했다.
“많은 기업들이 클라우드 서비스를 사용하거나, 적용 가능한 업무를 확대 검토 중에 있습니다. 하지만 대부분 보안은 후순위에 두고 있죠. 보안전문가들은 보안이 클라우드 활용에 있어서 가장 심각한 문제가 될 것으로 보고 있지만, 현장에선 이에 대한 인식이 부족한 것이 사실입니다.”
손영규 CISO는 SK텔레콤은 클라우드 트랜스포메이션 전략에 따라 클라우드 전환 초기부터 보안체계를 수립하고자 했으며, 가트너 보고서에 기재된 권장사항에 따라 클라우드 보안대책을 수립해 운영하고 있다고 설명했다. 또한, 퍼블릭 클라우드 정보보호 가이드를 만들어 임직원 보안교육을 정기적으로 수행하고 있으며, 보안 체크리스트 기반의 사용자 자기점검과 함께 보안부서 주관으로 신규 및 정기 보안진단 프로세스를 운용하고 있다.
“클라우드는 디지털 대전환의 필수 관문이지만, 보안에 대한 우려가 큽니다. 이 때문에 안전한 클라우드 전환을 위해서는 초기부터 적극적인 보안체계 수립 활동이 필요하고, 전환 이후에도 센싱, 진단, 모니터링, 사후 추적 등의 보안활동이 필요합니다.”
▲제118차 CISO 포럼 모습[사진=보안뉴스]
사건사고 발생시 관련 고시 등 강화돼...접속기록 생성 많아야 추가 대응도 쉬워져
두 번째 강연에선 김기배 위즈코리아 대표가 ‘개인정보 접속기록 관리를 통한 내부보안 강화 방안과 의미’를 주제로 기업에서 주목해야할 개인정보 접속기록 관리방안에 대해 설명했다.
김기배 대표는 “기업 및 기관에는 업무처리 향상을 위한 정보처리 시스템이 많은데, 특히 담당자들이 IT 지식이 부족해도 편리하게 사용할 수 있는 환경으로 구축됐다”면서, “문제는 이렇게 환경이 편리해지면서 반대로 보안 취약성은 늘고 있고, 이에 대한 보안정책 및 시스템이 활용됨에도 사고는 항상 발생한다”고 지적했다.
“기업과 기관의 초유의 관심사인 개인정보도 마찬가지입니다. 특히, 개인정보를 담당하는 직원의 수는 한계가 있지만, 보유하고 관리해야 하는 개인정보는 계속 늘고 있죠. 특히, 개인정보를 취급하는 개인정보 취급자도 늘면서 개인정보보호 담당자의 책임과 역할은 과도한 수준입니다. 이에 실제 개인정보 사용자나 취급자에게 개인정보보호를 위한 책임과 역할을 분배하는 것이 필요합니다.”
특히, 김기배 대표는 앞서 거론된 수원시 권선구 개인정보 유출사고를 예를 들며, 향후 ‘개인정보의 안전성 확보조치 기준 고시’ 등 관련 법과 고시가 강화될 가능성을 시사했다. 이는 2018년 서대문구청의 개인정보 유출사고 발생 후, 2019년 기준 고시가 강화됐기 때문이다. 실제로 이때 접속기록 보관기관이 6개월에서 1년 이상으로 증가했으며, 접속기록 반기 1회 점검이 월 1회 점검으로 대폭 늘었다. 또한, 개인정보 다운로드시 사유확인도 강화됐다.
“최근 기업의 주요 이슈인 ESG에서도 보안은 중요합니다. 예를 들어 통신, 서비스, 금융, IT 등 보안이 가중치가 높은 사업인 경우 개인정보 유출 등 보안사고는 ESG 등급을 하락시킬 수 있기 때문입니다. 결국 접속기록을 이용한 내부 보안 강화는 다양한 측면에서 꼭 필요한 활동이라고 할 수 있습니다.”
이와 함께 김기배 대표는 개인정보 접속기록을 생성할 때 사용자(PC) 구간의 입력값과 결과화면(HTML), DB구간의 검색조건문(쿼리)과 결과값, 처리명수가 모두 기록되는 SW방식(로깅모듈 플러그인)을 선택하는 것이 좋다고 조언했다. 관련 고시 등이 강화됐을 때 기록이 많아야 바로 대응하기 쉽기 때문이다.
한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[원병철 기자(boanone@boannews.com)]
기관·기업의 보안담당자가 꼭 알아야할 클라우드 보안대책 구현사례와 개인정보보호 강화방안 강연
[보안뉴스 원병철 기자] 코로나19로 인해 기업과 기관들의 디지털 전환(Digital Transformation)이 빠르게 이뤄지면서 클라우드 적용을 검토하는 경우가 늘고 있다. 하지만 많은 기업과 기관들은 클라우드를 어떻게 사용할지만 생각할 뿐 안전하게 사용하는 방안에 대해서는 고민하지 않는 경우가 많다. 이러한 가운데 5월 17일 열린 ‘제118차 CISO포럼’에서는 기업에서 클라우드를 도입하면서 고민했던 보안에 대한 실제 사례를 공유하는 시간이 마련돼 기업의 보안담당자들에게 큰 도움이 됐다.
▲(좌측부터) 이기주 한국CISO협의회 회장, 이재우 동국대 석좌교수, 손영규 SK텔레콤 CISO, 김기배 위즈코리아 대표[사진=보안뉴스]
이기주 한국CISO협의회 회장은 인사말을 통해 “우리 CISO 회원들은 보안에 대한 다양한 경험과 실제 사례를 누구보다 많이 갖고 있다”면서, “이를 공유하는 것이 유익하겠다는 생각을 했고, 오늘은 그 일환으로 SK텔레콤에서 직접 발표를 해주시기로 했다”고 설명했다. 아울러 “최근 수원시 권선구에서의 개인정보 유출로 인해 기업과 기관의 개인정보보호가 다시금 이슈가 되면서 이에 대한 대책마련 방안 중 하나로 주목받고 있는 개인정보 접속기록관리를 위한 강연도 준비했다”고 덧붙였다.
또한, 한국CISO협의회 자문위원장인 이재우 동국대 석좌교수가 최근 한국CISO협의회에 대한 해외 보안담당자들의 관심이 높다며 관련 소식을 전했다. 이재우 석좌교수는 “CISSP 등 국제 정보보호 자격증을 운영하는 세계 최대 보안전문가협회 (ISC)²에서 CISO포럼을 모니터링 하는 등 관심을 쏟고 있으며, 특히 보안분야 ‘공로상’을 시상할 때 한국CISO협의회 회원들은 더 인정해주고 있다”면서, “최근에는 방한을 준비 중인 (ISC)² 회장이 직접 CISO포럼에 참석하고 싶다고 요청하는 등 글로벌 보안전문가들 사이에서 한국CISO협의회에 대한 명성이 높다”고 말했다.
안전한 클라우드 전환, 초기부터 적극적인 보안활동 필요해
이어 첫 번째 발표자로 나선 손영규 SK텔레콤 CISO는 ‘기업의 안전한 클라우드 전환방안 및 사례’를 주제로 강연했다. 손영규 CISO는 “퍼블릭 클라우드에 대한 기업과 기관의 니즈는 늘고 있다”면서, “하지만 국내외에서 보안사고 사례가 끊임없이 보고되고 있고, 이중 일부는 회사 존립에 영향을 미칠 정도로 피해규모와 파급효과가 크다”고 지적했다.
“많은 기업들이 클라우드 서비스를 사용하거나, 적용 가능한 업무를 확대 검토 중에 있습니다. 하지만 대부분 보안은 후순위에 두고 있죠. 보안전문가들은 보안이 클라우드 활용에 있어서 가장 심각한 문제가 될 것으로 보고 있지만, 현장에선 이에 대한 인식이 부족한 것이 사실입니다.”
손영규 CISO는 SK텔레콤은 클라우드 트랜스포메이션 전략에 따라 클라우드 전환 초기부터 보안체계를 수립하고자 했으며, 가트너 보고서에 기재된 권장사항에 따라 클라우드 보안대책을 수립해 운영하고 있다고 설명했다. 또한, 퍼블릭 클라우드 정보보호 가이드를 만들어 임직원 보안교육을 정기적으로 수행하고 있으며, 보안 체크리스트 기반의 사용자 자기점검과 함께 보안부서 주관으로 신규 및 정기 보안진단 프로세스를 운용하고 있다.
“클라우드는 디지털 대전환의 필수 관문이지만, 보안에 대한 우려가 큽니다. 이 때문에 안전한 클라우드 전환을 위해서는 초기부터 적극적인 보안체계 수립 활동이 필요하고, 전환 이후에도 센싱, 진단, 모니터링, 사후 추적 등의 보안활동이 필요합니다.”
▲제118차 CISO 포럼 모습[사진=보안뉴스]
사건사고 발생시 관련 고시 등 강화돼...접속기록 생성 많아야 추가 대응도 쉬워져
두 번째 강연에선 김기배 위즈코리아 대표가 ‘개인정보 접속기록 관리를 통한 내부보안 강화 방안과 의미’를 주제로 기업에서 주목해야할 개인정보 접속기록 관리방안에 대해 설명했다.
김기배 대표는 “기업 및 기관에는 업무처리 향상을 위한 정보처리 시스템이 많은데, 특히 담당자들이 IT 지식이 부족해도 편리하게 사용할 수 있는 환경으로 구축됐다”면서, “문제는 이렇게 환경이 편리해지면서 반대로 보안 취약성은 늘고 있고, 이에 대한 보안정책 및 시스템이 활용됨에도 사고는 항상 발생한다”고 지적했다.
“기업과 기관의 초유의 관심사인 개인정보도 마찬가지입니다. 특히, 개인정보를 담당하는 직원의 수는 한계가 있지만, 보유하고 관리해야 하는 개인정보는 계속 늘고 있죠. 특히, 개인정보를 취급하는 개인정보 취급자도 늘면서 개인정보보호 담당자의 책임과 역할은 과도한 수준입니다. 이에 실제 개인정보 사용자나 취급자에게 개인정보보호를 위한 책임과 역할을 분배하는 것이 필요합니다.”
특히, 김기배 대표는 앞서 거론된 수원시 권선구 개인정보 유출사고를 예를 들며, 향후 ‘개인정보의 안전성 확보조치 기준 고시’ 등 관련 법과 고시가 강화될 가능성을 시사했다. 이는 2018년 서대문구청의 개인정보 유출사고 발생 후, 2019년 기준 고시가 강화됐기 때문이다. 실제로 이때 접속기록 보관기관이 6개월에서 1년 이상으로 증가했으며, 접속기록 반기 1회 점검이 월 1회 점검으로 대폭 늘었다. 또한, 개인정보 다운로드시 사유확인도 강화됐다.
“최근 기업의 주요 이슈인 ESG에서도 보안은 중요합니다. 예를 들어 통신, 서비스, 금융, IT 등 보안이 가중치가 높은 사업인 경우 개인정보 유출 등 보안사고는 ESG 등급을 하락시킬 수 있기 때문입니다. 결국 접속기록을 이용한 내부 보안 강화는 다양한 측면에서 꼭 필요한 활동이라고 할 수 있습니다.”
이와 함께 김기배 대표는 개인정보 접속기록을 생성할 때 사용자(PC) 구간의 입력값과 결과화면(HTML), DB구간의 검색조건문(쿼리)과 결과값, 처리명수가 모두 기록되는 SW방식(로깅모듈 플러그인)을 선택하는 것이 좋다고 조언했다. 관련 고시 등이 강화됐을 때 기록이 많아야 바로 대응하기 쉽기 때문이다.
한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
