국내 최장수 CISO 이준호 이사가 말하는 보안과 개인정보보호

[보안뉴스 민세아] 우리나라는 물론 전 세계를 대표하는 포털사 중 하나로 성장한 네이버(Naver). 국내 최대 이용자들을 보유한 만큼 이용자들의 개인정보 보호와 각종 보안위협에 만반의 대비를 해야 하는 상황이다. 이를 위해서는 평소 기업 내부의 보안관리가 무엇보다 중요한데, 네이버의 보안정책과 보안관리는 정보보호최고책임자(이하 CISO)에 의해 좌우된다고 볼 수 있다.



현재 네이버의 CISO는 이준호 이사가 맡고 있다. 이준호 이사는 더 이상 설명이 필요 없는 국내를 대표하는 CISO 가운데 한 명이라고 볼 수 있다. 지난 2014년 ‘제13회 정보보호대상’에서 올해의 정보보호최고책임자로 선정된 바 있고, 국내 최장수 CISO라는 타이틀을 가지고 있다. 이에 본지는 ‘국내 대표 CISO를 만나다’ 코너의 첫 순서로 네이버의 정보보호를 총괄하고 있는 이준호 CISO를 만났다.

#최근 주목하고 있는 이슈? 뭐니 뭐니 해도 랜섬웨어_ 최근 개인 PC의 파일을 인질로 잡고 금전을 요구하는 랜섬웨어(ransomware)가 기승을 부리고 있다. 더 이상 개인정보가 해커들에게 돈이 되지 않기 때문이다. 개인정보는 이제 너무 많은 곳에 퍼져 있고, 법 개정으로 인해 기관이나 기업에서 주민번호를 보관하지 않는 것도 한몫하고 있다. 이러한 랜섬웨어의 피해를 막기 위해서는 주기적인 백업이나 클라우드 서비스를 이용하는 것이 좋다.

이용자들의 개인정보, 민감정보도 개인 PC에 보관하는 것보다 클라우드 서비스를 이용해 클라우드 서버에 보관하는 것이 더 안전하다고 볼 수 있다. 웬만한 대기업 클라우드 서버가 일반 개인 PC보다 더 안전하기 때문이다. 네이버 사내 정책에서도 개인 PC에 파일을 보관하라고 권장하지 않는 편이다.

#개발팀과의 커뮤니케이션? 이와 함께 경영진 설득 중요_ 시스템 운영이나 개발팀 모두 CTO(Chief Technology Officer)가 진두지휘한다. 일반적으로 CTO가 CISO보다 높은 직급의 임직원이 담당하고 있다. 그렇다 하더라도 네이버의 보안강화를 위해서 우리가 CTO에게 무엇인가를 요구하면 CTO가 거부할 이유가 없다.

이보다는 CEO가 보안 쪽에 투자를 꺼리는 이유에 대해서 살펴봐야 한다. 보안팀에서 투자를 받기 위해 요구사항을 전달할 때 보안담당자들만 아는 용어로 설명하는 경우가 많은데, 임원진들이 이해하기 쉽게 설명할 수 있어야 원하는 결과를 얻어낼 수 있다.

보안팀은 해커를 어렵게 만드는 것이 목적이기 때문에 CEO의 투자를 이끌어내 좋은 솔루션을 도입한다 하더라도 빈틈이 생길 수밖에 없다. 여기서 말하는 빈틈은 결국 사람이다.

#직원 대상 보안교육? 짧지만 임팩트 있게_ 전체 임직원을 대상으로 1년에 한번씩 교육을 진행하고 있다. 온라인으로 진행하기도 하고, 교육대상의 수가 너무 많을 경우 오프라인으로 진행할 때도 있다. 주로 온라인으로 15분 정도 되는 영상을 보게 한다. 15분이라는 시간에 많은 메시지를 주기는 힘들고, 3가지 이내에서 꼭 지켜야 하는 사항 위주로 강조해서 교육한다. 최근 몇 년간 계속해서 유행하는 악성코드를 어떻게 예방할 수 있는지 가이드를 제시하기도 한다.

#이용자 개인정보보호? 상시 모니터링 중요_ 사내에 고객정보가 떠돌아다니는지 모니터링하고, 솔루션을 이용해 임직원들의 PC 검사를 한다. 아무리 업무적인 용도라 하더라도 외부에 유출될 경우 피해가 막심할 수 있기 때문에 고객 개인정보 관리는 우리의 가장 큰 이슈다.

또한, 개인적인 용도로 개인정보를 열람하는지를 감시한다. 만약 무단으로 개인정보를 열람할 경우 징계조치를 하거나 경고를 준다. 경고가 3번 누적되면 해당 직원을 불러다가 교육시킨다. 물론 이것이 100% 해결책은 아니겠지만 ‘누군가 우리를 모니터링하고 있구나’하는 생각을 갖도록 해주고, 이런 생각이 퍼지게 하기 위해서다. 보안수준은 꾸준한 학습을 통해서만이 올라갈 수 있다.

#보안인력 채용시 주안점? 지원 분야를 가장 좋아해야_ 우리 회사의 경우 법적으로 로그를 6개월 동안 보관해야 하고, 해당 로그의 데이터들을 분석해야 하는데, 일반적인 보안인력들은 데이터 분석 업무를 할 수 없다. 때문에 개발이나 통계업무를 잘 수행할 수 있는 인력의 필요성을 강조하고 있다.

금융권을 예로 들면, 금융권 CISO는 정책만 만드는 것이 아니라 페이먼트 서비스에 직접 들어가서 해당 서비스가 안전한지 검증할 수 있어야 한다. 보안인력이 보안만 할 줄 알면 된다는 생각은 잘못된 생각이다. 보안인력의 패러다임이 바뀌어야 할 때다.

사람들은 보안부서가 만능일 것이라 생각하는데, 막상 그렇지 않다. 근본적인 것은 개발자가 만들어야 한다. 서비스를 잘 아는 사람들이 해당 서비스의 보안도 잘 할 수 있다. 은행을 예로 들면 인터넷 뱅킹 서비스를 설계한 개발자가 보안을 더 잘할 수 있다는 얘기다. 개인적으로 좋아하는 분야의 회사를 찾아 입사하는 것을 추천한다. 좋아하는 분야에 애착을 가지고 서비스를 잘 파악하고 있어야 장기적으로 보안업무도 잘 수행할 수 있다.


#파밍 사이트 구분? URL창 초록색이 진짜_
결정적인 구분점이 있다. 네이버 홈페이지에 접속하면 URL창이 초록색으로 뜬다는 점이다. 이 부분은 사용자들이 주의 깊게 살펴봐야 하는 부분이다. 아무리 똑같이 웹사이트를 만들어도 따라할 수 있는 부분에는 한계가 있고, 사용자들도 파밍으로 인한 피해를 최소화하기 위해 노력이 필요하다. 네이버에서도 자체 블로그나 페이스북에서 파밍 예방 수칙을 전달하기도 한다.

#개인정보 유출 예방? 아는 만큼 ‘안전’_ 네이버 개인정보보호 블로그(privacyblog.naver.com)에서 개인정보와 관련한 많은 내용을 확인할 수 있다. 여기서 네이버의 개인정보보호 업무 및 활동소식을 접할 수 있고, 네이버 개인정보보호위원회의 활동도 확인할 수 있다.

네이버에서 로그인 후 ‘내정보’ 메뉴에서 로그인과 관련한 다양한 환경 설정을 할 수 있다. OTP방식으로 로그인하도록 변경할 수 있고, 타 지역이나 해외 로그인을 차단시킬 수도 있다. 외부에 노출되지 않은 로그인 전용 아이디를 설정해 안전하게 계정을 보호할 수 있고, 이전에 사용한 적 없는 기기로 로그인할 경우 기록을 등록된 메일로 알리기도 한다. 이런 기능들을 잘 활용한다면 계정 해킹으로 인한 피해를 예방할 수 있다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>