제18회 국제 시큐리티 콘퍼런스 ‘ISEC 2024’, 10월 16~17일 성황리 개최
2일차, ‘제11회 CISO 역량강화 워크숍’ 동시 개최...현직 CISO들의 핵심 노하우 전수
[보안뉴스 이소미 기자] 아시아 최대 규모 사이버 보안 콘퍼런스 ISEC 2024가 10월 16일~17일 양일 간 삼성 코엑스 오디토리움에서 성황리에 개최됐습니다. 올해 ISEC 주제는 ‘Future-Proof’로, 보안이 우리의 미래를 담보한다는 의미를 담고 있습니다. 행사 2일차에는 동시개최 행사로 정보보호·개인정보보호 전문가들을 위한 다양한 워크숍이 진행됐습니다.
‘제11회 CISO 역량강화 워크숍’에서는 ‘Future-proof’ 주제에 걸맞춰 안전한 미래를 위해 CISO가 해야 할 수행전략 5단계(식별-예방-탐지-대응-복구)를 살펴보는 자리로 마련됐는데요. 특별히 ISEC 조직위원회 위원장이자 한국CISO협의회 회장을 역임하고 계시는 이기주 회장님과 한국CISO 협의회 부회장인 비바리퍼블리카(토스) 장세인 CISO님을 만나봤습니다.
[ISEC 조직위원회 위원장·한국CISO협의회 이기주 회장]
‘ISEC 2024’의 메인 테마인 ‘Future-proof’의 철학을 통해 현 시점 CISO분들께 전달되어야 하는 메시지는 무엇인가요?
잘 아시는 것처럼 AI 시대에 새로운 보안 위협은 갈수록 심화되고 있습니다. 그러다보니 CISO님들이 하셔야 할 일과 책임, 역할 모두 막대해지고 있고요. 이에 따라 현재 CISO님들의 역량 강화가 어느 때보다도 절실한 상황입니다. 그래서 저는 노후화 된 것들을 탈피하기 위해서는 CISO님들의 역량 강화가 하루 빨리 이루어져야 된다고 생각합니다.
사이버 보안 환경의 급속한 변화와 함께 CISO 역할에 있어 가장 큰 변화와 요구되는 핵심 역량은 무엇인가요?
3가지 정도를 말씀드릴 수 있을 것 같습니다. 첫 번째, 기술적인 전문성입니다. 보안 솔루션에 대한 기술 성숙도에 따라 새로운 기술 도입이 아주 빠르게 진행되고 있기 때문에 이것을 계속 팔로업(Follow-up)하고 업데이트하는 게 대단히 시급하고요.
두 번째로 AI를 비롯한 새로운 디지털 기술에 대한 이해도 매우 중요하다고 생각합니다. 그리고 정부에서 국내외적으로 발표되는 새로운 △정책 △제도 △법률 등에 대한 이해도를 높이셔야 될 것 같고요. 끝으로 중요한 것은 자기가 소속된 기관·기업의 전반적인 업무에 대한 이해도를 상당히 높여야 될 것 같습니다.
마지막으로 현직 보안 분야에 종사하고 계신 분들께 전하고 싶은 말씀은요?
저는 이렇게 급변하는 상황 속에서 CISO님들의 역할이나 책임이 갈수록 막중해지고 있다고 느낍니다. 동시에 CISO님들이 소속된 기업·기관의 미래를 담보할 수 있는 커다란 보안 업무를 담당하고 계시기 때문에 심리적으로 매우 부담이 되실 것으로 사료됩니다만, 변화의 시대에 CISO님들의 앞에는 새로운 기회가 많아질 것으로 보입니다. 그래서 끊임없이 역량을 강화하는 노력을 기울이신다면 CISO님들 개개인에게 좋은 기회가 부여될 것으로 믿습니다.
[한국CISO 협의회 부회장·비바리퍼블리카(토스) 장세인 CISO]
이번 강연에서 ‘내외부 침입 식별·차단 위한 제로트러스트 기반 인증체계 구현사례’를 발표 주제로 선택하신 이유는 무엇인가요?
오늘 발표 내용에서도 말씀드렸듯이 식별이라는 것은 사실 저희 보안 체계 구축의 첫 걸음이 됩니다. 그렇기 때문에 나를 알고, 적을 아는 것, 그것이 저희 보안 전략의 가장 핵심이라고 생각합니다. 위협이나 자산 등에 대해 명확하게 식별이 되어야만 실제로 보안 전략을 수립하는 데 있어서 명확하고 적절한 보안 전략을 수립할 수 있다는 생각으로 ┖식별┖이라는 주제를 선정하게 됐습니다.
제로트러스트 기반 인증체계 구현 과정에서 겪었던 주요 도전 과제와 극복 노하우, 그리고 가장 효과적이었던 사례를 한 가지 말씀해 주신다면요?
제로트러스트 체계 구현의 핵심 전략은 통합과 자동화입니다. 결국 통합은 기존의 보안 요소들을 하나로 묶는 작업인데, 그러기 위해서는 기존 보안 솔루션들에 대한 △현황 파악 △분석 △통합을 위한 여러 가지 전략과 비용 등이 필요합니다.
이것들에 대해서 체계적으로 고민하고 경영진을 설득하는 과정이나 이해관계자들과 회사의 모든 업무 프로세스 변화에 따라 긴밀하고 유기적으로 소통하는 것이 가장 큰 과제였다고 볼 수 있을 것 같습니다.
다만, 이를 기반으로 자동화 하는 과정에서 사실 저희 내부 보안팀의 힘만으로는 전부 다 할 수는 없습니다. 그렇기 때문에 회사 전체 조직원들과 이해관계에 있는 여러 팀들이 원활하게 협업할 수 있도록 소통해 나가는 부분이 가장 어려웠지만 동시에 가장 효과적으로 극복할 수 있는 방법 중 하나였던 것 같습니다.
CISO가 해야 할 단계별 수행 전략 5단계(식별-예방-탐지-대응-복구) 중 ‘식별’ 단계를 다루셨긴 했지만, 실제 업무현장에서 CISO들이 어느 단계에 가장 집중해야 한다고 보시나요?
사실 어느 한 단계가 중요하다기 보다 5단계가 모두 지속적으로 순환되어야 합니다. 그렇기 때문에 저희가 식별한 수준에서 이후 보호 대책이라든지 탐지 및 대응 전략들을 수립해야 되고요. 그러한 과정 이후, 한층 더 수준을 높이기 위해서 우리가 식별하지 못했던 영역들에 대한 식별과 이후에 추가 프로세스들을 다시 적용해 나가는 것이 중요합니다. 따라서 우리 현실과 현 상황에 맞는 전략에 대해 고민하고 적절한 균형감을 유지하는 게 더 좋은 방법이라고 생각합니다.
그럼 반대로 위협 상황 발생 시 ┖리스크┖가 가장 큰 단계는 어느 단계라고 보시나요?
사실 어떤 단계의 리스크가 가장 크다거나 심각하다고 평가하거나 판단하기가 어렵습니다. 왜냐하면 리스크 평가에 대한 요소들은 발생 가능성이란 것도 있고, 발생에 따라 피해 규모나 복구 비용까지도 리스크 범위에 포함되기 때문입니다. 따라서 해당 기업이나 기관에 맞는 현황을 파악하는 것이 필요한데요. 또 그런 면에서는 리스크를 식별하는 단계가 중요한 요소가 된다고 봅니다.
보안 분야에 종사하고 계신 분들께 전하고 싶은 한 마디 말씀 부탁드립니다.
일단 현업에서 고생하시는 CISO분들, 그리고 보안 책임자분들, 담당자분들은 사실 어둠 속에서 일하는 분들이라고 생각할 수 있습니다. 왜냐하면 기업·기관의 비즈니스를 실제적으로 이끌어내는 포지션이 아니다보니 일을 수행한 만큼 빛이 드러나지 않는 경우가 있는데요.
하지만 서포터로서 그들이 안정감있게 마음 놓고 풀(Full) 수행할 수 있도록 지원하는 역할이기 때문에 그 기관에서의 핵심적인 존재라고 생각합니다. 또한 향후 비전을 생각했을 때 균형감 있는 방안과 고민들이 필요하고, 보안이라는 개념이 단순히 기술적 보호를 한다는 차원을 넘어 회사 전체의 사업이나 비즈니스, 인력 등 다양한 기관의 조직까지 고려할 수 있는 포괄적인 슈퍼바이저(Supervisor) 역할이기 때문에 앞으로 더욱 빛이 날 수 있는 역할이라고 생각합니다. 항상 고생 많으십니다.
[이소미 기자(boan4@boannews.com)]
2일차, ‘제11회 CISO 역량강화 워크숍’ 동시 개최...현직 CISO들의 핵심 노하우 전수
[보안뉴스 이소미 기자] 아시아 최대 규모 사이버 보안 콘퍼런스 ISEC 2024가 10월 16일~17일 양일 간 삼성 코엑스 오디토리움에서 성황리에 개최됐습니다. 올해 ISEC 주제는 ‘Future-Proof’로, 보안이 우리의 미래를 담보한다는 의미를 담고 있습니다. 행사 2일차에는 동시개최 행사로 정보보호·개인정보보호 전문가들을 위한 다양한 워크숍이 진행됐습니다.
‘제11회 CISO 역량강화 워크숍’에서는 ‘Future-proof’ 주제에 걸맞춰 안전한 미래를 위해 CISO가 해야 할 수행전략 5단계(식별-예방-탐지-대응-복구)를 살펴보는 자리로 마련됐는데요. 특별히 ISEC 조직위원회 위원장이자 한국CISO협의회 회장을 역임하고 계시는 이기주 회장님과 한국CISO 협의회 부회장인 비바리퍼블리카(토스) 장세인 CISO님을 만나봤습니다.
[ISEC 조직위원회 위원장·한국CISO협의회 이기주 회장]
‘ISEC 2024’의 메인 테마인 ‘Future-proof’의 철학을 통해 현 시점 CISO분들께 전달되어야 하는 메시지는 무엇인가요?
잘 아시는 것처럼 AI 시대에 새로운 보안 위협은 갈수록 심화되고 있습니다. 그러다보니 CISO님들이 하셔야 할 일과 책임, 역할 모두 막대해지고 있고요. 이에 따라 현재 CISO님들의 역량 강화가 어느 때보다도 절실한 상황입니다. 그래서 저는 노후화 된 것들을 탈피하기 위해서는 CISO님들의 역량 강화가 하루 빨리 이루어져야 된다고 생각합니다.
사이버 보안 환경의 급속한 변화와 함께 CISO 역할에 있어 가장 큰 변화와 요구되는 핵심 역량은 무엇인가요?
3가지 정도를 말씀드릴 수 있을 것 같습니다. 첫 번째, 기술적인 전문성입니다. 보안 솔루션에 대한 기술 성숙도에 따라 새로운 기술 도입이 아주 빠르게 진행되고 있기 때문에 이것을 계속 팔로업(Follow-up)하고 업데이트하는 게 대단히 시급하고요.
두 번째로 AI를 비롯한 새로운 디지털 기술에 대한 이해도 매우 중요하다고 생각합니다. 그리고 정부에서 국내외적으로 발표되는 새로운 △정책 △제도 △법률 등에 대한 이해도를 높이셔야 될 것 같고요. 끝으로 중요한 것은 자기가 소속된 기관·기업의 전반적인 업무에 대한 이해도를 상당히 높여야 될 것 같습니다.
마지막으로 현직 보안 분야에 종사하고 계신 분들께 전하고 싶은 말씀은요?
저는 이렇게 급변하는 상황 속에서 CISO님들의 역할이나 책임이 갈수록 막중해지고 있다고 느낍니다. 동시에 CISO님들이 소속된 기업·기관의 미래를 담보할 수 있는 커다란 보안 업무를 담당하고 계시기 때문에 심리적으로 매우 부담이 되실 것으로 사료됩니다만, 변화의 시대에 CISO님들의 앞에는 새로운 기회가 많아질 것으로 보입니다. 그래서 끊임없이 역량을 강화하는 노력을 기울이신다면 CISO님들 개개인에게 좋은 기회가 부여될 것으로 믿습니다.
[한국CISO 협의회 부회장·비바리퍼블리카(토스) 장세인 CISO]
이번 강연에서 ‘내외부 침입 식별·차단 위한 제로트러스트 기반 인증체계 구현사례’를 발표 주제로 선택하신 이유는 무엇인가요?
오늘 발표 내용에서도 말씀드렸듯이 식별이라는 것은 사실 저희 보안 체계 구축의 첫 걸음이 됩니다. 그렇기 때문에 나를 알고, 적을 아는 것, 그것이 저희 보안 전략의 가장 핵심이라고 생각합니다. 위협이나 자산 등에 대해 명확하게 식별이 되어야만 실제로 보안 전략을 수립하는 데 있어서 명확하고 적절한 보안 전략을 수립할 수 있다는 생각으로 ┖식별┖이라는 주제를 선정하게 됐습니다.
제로트러스트 기반 인증체계 구현 과정에서 겪었던 주요 도전 과제와 극복 노하우, 그리고 가장 효과적이었던 사례를 한 가지 말씀해 주신다면요?
제로트러스트 체계 구현의 핵심 전략은 통합과 자동화입니다. 결국 통합은 기존의 보안 요소들을 하나로 묶는 작업인데, 그러기 위해서는 기존 보안 솔루션들에 대한 △현황 파악 △분석 △통합을 위한 여러 가지 전략과 비용 등이 필요합니다.
이것들에 대해서 체계적으로 고민하고 경영진을 설득하는 과정이나 이해관계자들과 회사의 모든 업무 프로세스 변화에 따라 긴밀하고 유기적으로 소통하는 것이 가장 큰 과제였다고 볼 수 있을 것 같습니다.
다만, 이를 기반으로 자동화 하는 과정에서 사실 저희 내부 보안팀의 힘만으로는 전부 다 할 수는 없습니다. 그렇기 때문에 회사 전체 조직원들과 이해관계에 있는 여러 팀들이 원활하게 협업할 수 있도록 소통해 나가는 부분이 가장 어려웠지만 동시에 가장 효과적으로 극복할 수 있는 방법 중 하나였던 것 같습니다.
CISO가 해야 할 단계별 수행 전략 5단계(식별-예방-탐지-대응-복구) 중 ‘식별’ 단계를 다루셨긴 했지만, 실제 업무현장에서 CISO들이 어느 단계에 가장 집중해야 한다고 보시나요?
사실 어느 한 단계가 중요하다기 보다 5단계가 모두 지속적으로 순환되어야 합니다. 그렇기 때문에 저희가 식별한 수준에서 이후 보호 대책이라든지 탐지 및 대응 전략들을 수립해야 되고요. 그러한 과정 이후, 한층 더 수준을 높이기 위해서 우리가 식별하지 못했던 영역들에 대한 식별과 이후에 추가 프로세스들을 다시 적용해 나가는 것이 중요합니다. 따라서 우리 현실과 현 상황에 맞는 전략에 대해 고민하고 적절한 균형감을 유지하는 게 더 좋은 방법이라고 생각합니다.
그럼 반대로 위협 상황 발생 시 ┖리스크┖가 가장 큰 단계는 어느 단계라고 보시나요?
사실 어떤 단계의 리스크가 가장 크다거나 심각하다고 평가하거나 판단하기가 어렵습니다. 왜냐하면 리스크 평가에 대한 요소들은 발생 가능성이란 것도 있고, 발생에 따라 피해 규모나 복구 비용까지도 리스크 범위에 포함되기 때문입니다. 따라서 해당 기업이나 기관에 맞는 현황을 파악하는 것이 필요한데요. 또 그런 면에서는 리스크를 식별하는 단계가 중요한 요소가 된다고 봅니다.
보안 분야에 종사하고 계신 분들께 전하고 싶은 한 마디 말씀 부탁드립니다.
일단 현업에서 고생하시는 CISO분들, 그리고 보안 책임자분들, 담당자분들은 사실 어둠 속에서 일하는 분들이라고 생각할 수 있습니다. 왜냐하면 기업·기관의 비즈니스를 실제적으로 이끌어내는 포지션이 아니다보니 일을 수행한 만큼 빛이 드러나지 않는 경우가 있는데요.
하지만 서포터로서 그들이 안정감있게 마음 놓고 풀(Full) 수행할 수 있도록 지원하는 역할이기 때문에 그 기관에서의 핵심적인 존재라고 생각합니다. 또한 향후 비전을 생각했을 때 균형감 있는 방안과 고민들이 필요하고, 보안이라는 개념이 단순히 기술적 보호를 한다는 차원을 넘어 회사 전체의 사업이나 비즈니스, 인력 등 다양한 기관의 조직까지 고려할 수 있는 포괄적인 슈퍼바이저(Supervisor) 역할이기 때문에 앞으로 더욱 빛이 날 수 있는 역할이라고 생각합니다. 항상 고생 많으십니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
