한국CISO협회 ‘87차 CISO 포럼’ 개최...급격한 변화 보이는 개인정보보호 환경 논의
사내 솔루션 노리는 외부 공격 늘어...모의해킹 등 철저한 점검만이 살길
[보안뉴스 원병철 기자] 국내 CISO 대표 모임인 한국CISO협회(회장 임종인)가 10월 16일 ‘87차 CISO 포럼’을 개최했다. 특히 이날 정기포럼에서는 최근 문재인 대통령의 개인정보를 포함한 데이터 규제 대폭완화 발언으로 새로운 국면을 맞은 개인정보보호 환경과 외부공격으로부터 대응하기 위한 사전조치의 일환인 조직 내 취약점 점검 및 모의해킹에 대한 전문가 강연이 진행돼 CISO들의 높은 호응을 받았다.
▲한국CISO협회 ‘87차 CISO 포럼’[사진=보안뉴스]
포럼의 개회를 알린 한국CISO협회 최소영 사무총장은 “올해로 벌써 9년째 접어드는 CISO 포럼이지만 매년 해결해야할 현안이 있어 시간이 길게 느껴지지 않았다”면서 “연말이 얼마 남지 않았지만 오히려 연말에 더 많은 사건사고가 발생하는 만큼 회원사들의 수고를 부탁드린다”고 말했다.
▲인사말을 전한 최동근 부회장(롯데카드 CISO)[사진=보안뉴스]
해외일정에 자리를 비운 임종인 회장을 대신해 인사말을 전한 최동근 부회장(롯데카드 CISO)은 “최근 국감이 진행되면서 정보보호 이슈가 많이 나오고 있다”며, “4차 산업혁명과 AI, 빅데이터 등 우리 삶을 편하게 만들어주는 환경이 조성되고 있지만 그만큼 보안위협도 나오는 것이 현실”이라며 CISO들의 역할이 중요함을 강조했다.
중소기업들 아직까지 개인정보보호법에 대한 인식 낮아
첫 번째 강연에는 대통령소속 개인정보보호위원회(이하 보호위) 조사과의 강유민 과장이 나와, 매년 보호위가 발표하는 ‘개인정보보호 연차보고서’를 중심으로 최근 국내외 개인정보보호 주요 이슈와 전망에 대해 소개했다.
개인정보보호법 제67조에 따라 관계부처들과 함께 만드는 연차보고서는 매년 등장하는 신기술과 개인정보보호 정책추진 성과, 기관별 실적과 향후 계획이 담겨있다. 2018년 보고서는 △개인정보처리자와 △정보주체로 나눠 설문과 조사를 진행했다.
▲연차보고서를 바탕으로 강연을 진행한 강유민 과장[사진=보안뉴스]
지난 2011년 개인정보보호법이 제정된 지 벌써 18년이 지났지만 아직까지 개인정보보호법에 대한 인지도는 높지 않다. 특히 공공기관은 87.5%가 개인정보보호법을 잘 알고 있으며, 10.8%도 들어본 적이 있다고 답했지만, 민간기업은 53.6%만이 잘 알고 있고, 41.5%가 들어본 적이 있다고 대답했다. 심지어 들어본 적이 없다고 답한 민간기업이 4.9%(공공은 1.7%)에 달했다.
개인정보보호 교육으로 넘어가면 상황이 더욱 심각하다. 공공기관은 책임자(87.3%)와 담당자(92.7%) 대다수가 개인정보보호 교육을 받았지만, 민간기업은 책임자(40.3%)와 담당자(32.6%) 모두 50% 이하로 조사됐다.
때문에 강유민 과장은 “민간기업에서 아직 개인정보보호법을 잘 모르는 경우가 있어 중소기업과 소기업 중심으로 개인정보보호법 홍보와 교육을 진행하겠다고 답했다.
이와는 반대로 개인정보보호 업무 담당자의 경력은 공공기관보다는 민간기업이 더 높았다. 공공기관은 1년 미만(32.6%)과 1~2년 미만(25.8%)이 과반을 넘었지만, 민간기업은 1년 미만(2.5%)과 5년 이상(65.3%)이 과반수를 넘었다. 이는 순환업무를 추진하는 공공기관 특유의 문제라고 할 수 있다.
올 8월 대통령 주재 규제혁신 간담회를 통해 개인정보체계를 통합하는 이야기가 나온 후, 정부는 개인정보체계를 통합하고 개인정보보호 관련법을 가다듬는 실무 작업을 진행하고 있다. 무엇보다 개인정보의 활용과 보호의 절충안을 찾겠다는 김부겸 행정안전부 장관의 말처럼 둘 사이의 균형을 찾는 데 노력하겠다고 강유민 과장은 설명했다.
▲취약점 점검과 모의해킹의 중요성을 강조한 김태형 CTO[사진=보안뉴스]
사내에서 사용하는 솔루션도 점검이 필요하다
두 번째 시간은 모 대기업에서 사내 모의해킹을 담당하던 사이먼트 김태형 CTO가 ‘취약점 점검 및 모의해킹 시 CISO가 유의해야 할 사항은?’이란 제목으로 강연을 진행했다. 김태형 CTO는 “최근 페이스북 해킹 사건과 슈퍼마이크로컴퓨터의 해킹칩 사건 등 다양한 보안위협이 발생하고 있다”면서, “기업의 보안담당자들은 우리 회사가 언제든지 보안위협을 받을 수 있다는 생각을 갖고 모의해킹이나 취약점 점검을 진행해야 한다”고 강조했다.
특히, 사내에서 사용하는 솔루션의 경우 직접 개발하거나 외부에서 사오는 경우 모두 취약점을 점검하지 않는 경우가 많은데, 최근 공격동향을 보면 이러한 사내 솔루션 혹은 내부 솔루션을 노린 타깃 공격이 증가하고 있다고 김태형 CTO는 설명했다.
“예를 들면, 그룹웨어를 사용하고 싶은 기업은 두 가지 선택권이 있습니다. 직접 개발하거나 외부에서 사서 쓰죠. 그런데 그룹웨어는 외부인이 사용하지 않기 때문에 직접 개발해도 보안성 검토를 소홀히 하는 경우가 대부분입니다. 외부에서 사올 때 역시 마찬가지죠. 비용을 주고 사용하는 소프트웨어의 경우 보안이 당연하다는 생각에 점검하지 않는 경우가 많습니다. 문제는 최근 그룹웨어 등 사내 솔루션을 개발하는 기업을 대상으로 하는 공격이 늘고 있다는 사실입니다.”
국내 제조분야 대기업에서 모의해킹을 담당했던 김태형 CTO는 “대기업의 경우 제품이나 사내에서 사용하는 솔루션이 너무 많아서 리스트를 작성하는 것도 힘들 정도”라고 토로했다. “때문에 CISO들은 제품 리스트를 만들어 지속적으로 관리해야 합니다. 서버 리스트와 버전을 관리하는 것도 필요하죠. 그리고 모의해킹과 같은 취약점 점검을 진행한 후에는 반드시 다른 부서, 다른 계열사에 결과를 공유해야 합니다.”
최동근 부회장도 “협력업체나 콜센터 등 외부관계자가 사내에 노트북 등 장비를 들고 들어올 경우 반드시 사전에 보안성 검토를 진행하고 작업할 수 있도록 하는 것이 필요하다”며 사내 보안프로세스를 운용할 것을 제안했다.
[원병철 기자(boanone@boannews.com)]
사내 솔루션 노리는 외부 공격 늘어...모의해킹 등 철저한 점검만이 살길
[보안뉴스 원병철 기자] 국내 CISO 대표 모임인 한국CISO협회(회장 임종인)가 10월 16일 ‘87차 CISO 포럼’을 개최했다. 특히 이날 정기포럼에서는 최근 문재인 대통령의 개인정보를 포함한 데이터 규제 대폭완화 발언으로 새로운 국면을 맞은 개인정보보호 환경과 외부공격으로부터 대응하기 위한 사전조치의 일환인 조직 내 취약점 점검 및 모의해킹에 대한 전문가 강연이 진행돼 CISO들의 높은 호응을 받았다.
▲한국CISO협회 ‘87차 CISO 포럼’[사진=보안뉴스]
포럼의 개회를 알린 한국CISO협회 최소영 사무총장은 “올해로 벌써 9년째 접어드는 CISO 포럼이지만 매년 해결해야할 현안이 있어 시간이 길게 느껴지지 않았다”면서 “연말이 얼마 남지 않았지만 오히려 연말에 더 많은 사건사고가 발생하는 만큼 회원사들의 수고를 부탁드린다”고 말했다.
▲인사말을 전한 최동근 부회장(롯데카드 CISO)[사진=보안뉴스]
해외일정에 자리를 비운 임종인 회장을 대신해 인사말을 전한 최동근 부회장(롯데카드 CISO)은 “최근 국감이 진행되면서 정보보호 이슈가 많이 나오고 있다”며, “4차 산업혁명과 AI, 빅데이터 등 우리 삶을 편하게 만들어주는 환경이 조성되고 있지만 그만큼 보안위협도 나오는 것이 현실”이라며 CISO들의 역할이 중요함을 강조했다.
중소기업들 아직까지 개인정보보호법에 대한 인식 낮아
첫 번째 강연에는 대통령소속 개인정보보호위원회(이하 보호위) 조사과의 강유민 과장이 나와, 매년 보호위가 발표하는 ‘개인정보보호 연차보고서’를 중심으로 최근 국내외 개인정보보호 주요 이슈와 전망에 대해 소개했다.
개인정보보호법 제67조에 따라 관계부처들과 함께 만드는 연차보고서는 매년 등장하는 신기술과 개인정보보호 정책추진 성과, 기관별 실적과 향후 계획이 담겨있다. 2018년 보고서는 △개인정보처리자와 △정보주체로 나눠 설문과 조사를 진행했다.
▲연차보고서를 바탕으로 강연을 진행한 강유민 과장[사진=보안뉴스]
지난 2011년 개인정보보호법이 제정된 지 벌써 18년이 지났지만 아직까지 개인정보보호법에 대한 인지도는 높지 않다. 특히 공공기관은 87.5%가 개인정보보호법을 잘 알고 있으며, 10.8%도 들어본 적이 있다고 답했지만, 민간기업은 53.6%만이 잘 알고 있고, 41.5%가 들어본 적이 있다고 대답했다. 심지어 들어본 적이 없다고 답한 민간기업이 4.9%(공공은 1.7%)에 달했다.
개인정보보호 교육으로 넘어가면 상황이 더욱 심각하다. 공공기관은 책임자(87.3%)와 담당자(92.7%) 대다수가 개인정보보호 교육을 받았지만, 민간기업은 책임자(40.3%)와 담당자(32.6%) 모두 50% 이하로 조사됐다.
때문에 강유민 과장은 “민간기업에서 아직 개인정보보호법을 잘 모르는 경우가 있어 중소기업과 소기업 중심으로 개인정보보호법 홍보와 교육을 진행하겠다고 답했다.
이와는 반대로 개인정보보호 업무 담당자의 경력은 공공기관보다는 민간기업이 더 높았다. 공공기관은 1년 미만(32.6%)과 1~2년 미만(25.8%)이 과반을 넘었지만, 민간기업은 1년 미만(2.5%)과 5년 이상(65.3%)이 과반수를 넘었다. 이는 순환업무를 추진하는 공공기관 특유의 문제라고 할 수 있다.
올 8월 대통령 주재 규제혁신 간담회를 통해 개인정보체계를 통합하는 이야기가 나온 후, 정부는 개인정보체계를 통합하고 개인정보보호 관련법을 가다듬는 실무 작업을 진행하고 있다. 무엇보다 개인정보의 활용과 보호의 절충안을 찾겠다는 김부겸 행정안전부 장관의 말처럼 둘 사이의 균형을 찾는 데 노력하겠다고 강유민 과장은 설명했다.
▲취약점 점검과 모의해킹의 중요성을 강조한 김태형 CTO[사진=보안뉴스]
사내에서 사용하는 솔루션도 점검이 필요하다
두 번째 시간은 모 대기업에서 사내 모의해킹을 담당하던 사이먼트 김태형 CTO가 ‘취약점 점검 및 모의해킹 시 CISO가 유의해야 할 사항은?’이란 제목으로 강연을 진행했다. 김태형 CTO는 “최근 페이스북 해킹 사건과 슈퍼마이크로컴퓨터의 해킹칩 사건 등 다양한 보안위협이 발생하고 있다”면서, “기업의 보안담당자들은 우리 회사가 언제든지 보안위협을 받을 수 있다는 생각을 갖고 모의해킹이나 취약점 점검을 진행해야 한다”고 강조했다.
특히, 사내에서 사용하는 솔루션의 경우 직접 개발하거나 외부에서 사오는 경우 모두 취약점을 점검하지 않는 경우가 많은데, 최근 공격동향을 보면 이러한 사내 솔루션 혹은 내부 솔루션을 노린 타깃 공격이 증가하고 있다고 김태형 CTO는 설명했다.
“예를 들면, 그룹웨어를 사용하고 싶은 기업은 두 가지 선택권이 있습니다. 직접 개발하거나 외부에서 사서 쓰죠. 그런데 그룹웨어는 외부인이 사용하지 않기 때문에 직접 개발해도 보안성 검토를 소홀히 하는 경우가 대부분입니다. 외부에서 사올 때 역시 마찬가지죠. 비용을 주고 사용하는 소프트웨어의 경우 보안이 당연하다는 생각에 점검하지 않는 경우가 많습니다. 문제는 최근 그룹웨어 등 사내 솔루션을 개발하는 기업을 대상으로 하는 공격이 늘고 있다는 사실입니다.”
국내 제조분야 대기업에서 모의해킹을 담당했던 김태형 CTO는 “대기업의 경우 제품이나 사내에서 사용하는 솔루션이 너무 많아서 리스트를 작성하는 것도 힘들 정도”라고 토로했다. “때문에 CISO들은 제품 리스트를 만들어 지속적으로 관리해야 합니다. 서버 리스트와 버전을 관리하는 것도 필요하죠. 그리고 모의해킹과 같은 취약점 점검을 진행한 후에는 반드시 다른 부서, 다른 계열사에 결과를 공유해야 합니다.”
최동근 부회장도 “협력업체나 콜센터 등 외부관계자가 사내에 노트북 등 장비를 들고 들어올 경우 반드시 사전에 보안성 검토를 진행하고 작업할 수 있도록 하는 것이 필요하다”며 사내 보안프로세스를 운용할 것을 제안했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
