정보보호는 위험관리 관점에서 접근할 때 효용성 높아...리스크 중심의 보안 펼쳐야
[보안뉴스 원병철 기자] NH농협은행의 보안을 책임지는 김유경 CISO(부행장)가 12월 2일 열린 정보보호산업인의밤에서 K-ICT 정보보호 대상 공로상을 수상했다. 지난 2011년 농협 전산망 마비 사태 이후 뼈를 깎는 심정으로 보안에 올인했던 NH농협은행이기에 이번 김유경 CISO의 수상은 더욱 뜻깊다. 이에 <보안뉴스>는 김유경 CISO를 만나 그간의 이야기를 들어봤다.
▲K-ICT 정보보호 대상 공로상을 수상한 김유경 NH농협은행 CISO[사진=보안뉴스]
먼저, K-ICT 정보보호 대상 공로상 수상을 축하드립니다.
데이터 3법이 개정되고 금융 환경이 급변하고 있습니다. 그리고 정보보호 복잡성도 같이 증가했습니다. 이에 대응하기 위해 CISO 업무를 시작하면서 ‘지속가능한 정보보안 대응전략’을 수립했습니다. △비즈니스를 위한 보안 △데이터 기반 보안 △사람 중심의 보안 △지속 가능한 보안 등 4가지 분야의 핵심과제들을 추진하고 있습니다.
이러한 결과로 지난 10여 년간 해킹 무사고를 기록한데다, 개인정보보호나 침해대응에서는 농협이 일부 앞서간다는 평가도 있는 것이 사실입니다. 각계에서 이러한 성과를 긍정적으로 평가해 준 것 같아 기쁘지만, 더 잘해야겠다는 무거운 책임감도 듭니다.
현재 NH농협은행에서 정보보호 강화를 위해 가장 초점을 맞춘 부분은 무엇일까요?
한마디로 말씀드리면, 고객의 신뢰를 중심으로 하는 정보보호를 지향하고 있습니다. 비대면 시대에 가장 큰 화두는 고객의 신뢰입니다. 새로운 비즈니스가 생기고, 다른 비즈니스와 융·복합되면서 고객정보는 계속 이동하고 있습니다. 이런 과정에서 고객정보가 안전하고 투명하게 활용될 수 있도록 보호하는 것이 정보보호의 근본적 존재 이유입니다. 농협의 가장 큰 자산이 고객의 신뢰입니다.
이를 위해 비즈니스와 사람 중심의 정보보호를 강조하고 있습니다. 비즈니스가 있기 때문에 정보보호가 있는 것입니다. 기업을 자동차로 비유하면 보안은 브레이크와 안전벨트 역할이라고 할 수 있습니다. 정보보호가 비즈니스 Enabler로서 가치를 만들기 위해서는 통제수단이 아니라, 새로운 사업을 추진하는데 있어서 핵심 기반요소로 조직이 느끼게끔 하는 것이 중요하다고 할 것입니다.
그렇다면 개인적으로 정보보호 관련 업무에서 가장 중요하다고 생각하는 것은 무엇이며, 이에 대한 대책은 어떤 것이 있을까요?
정보보호는 위험관리 관점에서 접근할 때 효용성이 있습니다. 법은 최소한의 정보보호 준수사항을 명시하고 있는데, 컴플라이언스 중심으로 정보보호를 하면 어느 순간 인력과 예산을 확대하는 것에 난관이 생기는 시점이 오게 됩니다. 법에서 요구하는 사항이 갖춰졌다면 더 이상 할 필요가 없다고 생각할 수 있습니다.
이제는 정보보호를 바라보는 시각 자체를 리스크 중심으로 바꿔야 합니다. 어떤 위험이 얼마나 있는지를 분석하고 어떤 영향을 미치는지를 예측해보고 조직을 설득해 가면서 의사결정을 해야 합니다. 법적 요구사항이라서 하는 것이 아니라 리스크를 감소시키기 위해서라고 설명해야 합니다.
말씀하신 것처럼 최근 비대면 업무 증가나 디지털 전환 등 급변하는 환경에서 보안담당자들이 준비해야 할 것은 어떤 것이 있을까요?
디지털 환경이 변화하면서 기존의 경계보안, 솔루션 중심에서 탈피해야 합니다. DT 환경의 비즈니스 변화를 관찰하여 위험 평가를 하고, 그에 맞는 보안정책 적용을 위해 고민해야 합니다. 디지털 환경에서 보안이라고 하면 클라우드, 빅데이터, 인공지능 등 신기술을 접목하는 것을 떠올립니다. 그런데 이런 기술들은 자동화하고 효율화할 수 있는 ‘수단’에 가깝습니다. 이보다 중요한 것은 보호하려는 대상을 정확히 알고, 어떤 부분에 리스크가 있는지를 찾아내는 ‘목표’ 지향적이 되어야 합니다. 위협을 탐지하는 모형에 AI를 도입하는 것도 필요하지만, 그보다 환경변화에 맞게 어떤 모형이 더 필요한지에 대한 고민이 더 필요하다는 것을 강조하고 싶습니다.
아울러 국가 및 기업 전반의 보안 수준 향상을 위해 모두 신경 써야 할 부분을 몇 가지 꼽는다면?
완벽한 정보보호라는 것은 없습니다. 항상 겸손해야 한다고 생각합니다. 이 때문에 첫 번째, Back to the basic! 기본에 충실해야 합니다. 반복적으로 하던 업무도 다시 들여다보고 새롭게 바라봐야 합니다. 두 번째, People centric security! 결국에는 사람입니다. 사람을 이해하고 교육하는 것은 아무리 강조해도 지나치지 않습니다. 마지막 세 번째, Security is a journey! 정보보호라는 여정을 즐기세요. 정보보호가 기본이 되는 문화는 모두가 동참해야 만들 수 있습니다.
마지막으로 앞으로의 계획에 대해 말씀해 주십시오.
전체적인 정보보호 관리체계는 마련되었으나, 급변하는 디지털 환경 변화에 맞춰 더 정교하게 모니터링할 계획입니다. 우선 침해대응에 있어서는 가시성 확보를 위한 종합적 사이버보안 관제(SOAR)를 역점 사업으로 추진하고 있습니다. 침해시도부터 사고 발생을 가정한 이후까지 빅데이터 기반으로 가시성을 확보하고 더 정밀하게 들여다 볼 수 있게 됩니다. EDR, CDR, 통합검역시스템 등 각종 솔루션을 종합해서 모니터링하고 있습니다.
그리고 개인정보 프레임워크를 기반으로 정보의 수집부터 파기까지의 라이프사이클 전 과정에 대한 모니터링을 강화하고 있습니다. 새로운 비즈니스가 생기면 사전적으로 법적 요구사항을 잘 갖추어졌는지를 보고, 실행 중에는 빅데이터 분석을 통해 오·남용 여부를 모니터링하고 있습니다. 앞으로는 머신러닝을 본격 가동하여 더 정교하고 효율적으로 모니터링할 수 있도록 과제를 만들어 하나씩 실행할 계획입니다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] NH농협은행의 보안을 책임지는 김유경 CISO(부행장)가 12월 2일 열린 정보보호산업인의밤에서 K-ICT 정보보호 대상 공로상을 수상했다. 지난 2011년 농협 전산망 마비 사태 이후 뼈를 깎는 심정으로 보안에 올인했던 NH농협은행이기에 이번 김유경 CISO의 수상은 더욱 뜻깊다. 이에 <보안뉴스>는 김유경 CISO를 만나 그간의 이야기를 들어봤다.
▲K-ICT 정보보호 대상 공로상을 수상한 김유경 NH농협은행 CISO[사진=보안뉴스]
먼저, K-ICT 정보보호 대상 공로상 수상을 축하드립니다.
데이터 3법이 개정되고 금융 환경이 급변하고 있습니다. 그리고 정보보호 복잡성도 같이 증가했습니다. 이에 대응하기 위해 CISO 업무를 시작하면서 ‘지속가능한 정보보안 대응전략’을 수립했습니다. △비즈니스를 위한 보안 △데이터 기반 보안 △사람 중심의 보안 △지속 가능한 보안 등 4가지 분야의 핵심과제들을 추진하고 있습니다.
이러한 결과로 지난 10여 년간 해킹 무사고를 기록한데다, 개인정보보호나 침해대응에서는 농협이 일부 앞서간다는 평가도 있는 것이 사실입니다. 각계에서 이러한 성과를 긍정적으로 평가해 준 것 같아 기쁘지만, 더 잘해야겠다는 무거운 책임감도 듭니다.
현재 NH농협은행에서 정보보호 강화를 위해 가장 초점을 맞춘 부분은 무엇일까요?
한마디로 말씀드리면, 고객의 신뢰를 중심으로 하는 정보보호를 지향하고 있습니다. 비대면 시대에 가장 큰 화두는 고객의 신뢰입니다. 새로운 비즈니스가 생기고, 다른 비즈니스와 융·복합되면서 고객정보는 계속 이동하고 있습니다. 이런 과정에서 고객정보가 안전하고 투명하게 활용될 수 있도록 보호하는 것이 정보보호의 근본적 존재 이유입니다. 농협의 가장 큰 자산이 고객의 신뢰입니다.
이를 위해 비즈니스와 사람 중심의 정보보호를 강조하고 있습니다. 비즈니스가 있기 때문에 정보보호가 있는 것입니다. 기업을 자동차로 비유하면 보안은 브레이크와 안전벨트 역할이라고 할 수 있습니다. 정보보호가 비즈니스 Enabler로서 가치를 만들기 위해서는 통제수단이 아니라, 새로운 사업을 추진하는데 있어서 핵심 기반요소로 조직이 느끼게끔 하는 것이 중요하다고 할 것입니다.
그렇다면 개인적으로 정보보호 관련 업무에서 가장 중요하다고 생각하는 것은 무엇이며, 이에 대한 대책은 어떤 것이 있을까요?
정보보호는 위험관리 관점에서 접근할 때 효용성이 있습니다. 법은 최소한의 정보보호 준수사항을 명시하고 있는데, 컴플라이언스 중심으로 정보보호를 하면 어느 순간 인력과 예산을 확대하는 것에 난관이 생기는 시점이 오게 됩니다. 법에서 요구하는 사항이 갖춰졌다면 더 이상 할 필요가 없다고 생각할 수 있습니다.
이제는 정보보호를 바라보는 시각 자체를 리스크 중심으로 바꿔야 합니다. 어떤 위험이 얼마나 있는지를 분석하고 어떤 영향을 미치는지를 예측해보고 조직을 설득해 가면서 의사결정을 해야 합니다. 법적 요구사항이라서 하는 것이 아니라 리스크를 감소시키기 위해서라고 설명해야 합니다.
말씀하신 것처럼 최근 비대면 업무 증가나 디지털 전환 등 급변하는 환경에서 보안담당자들이 준비해야 할 것은 어떤 것이 있을까요?
디지털 환경이 변화하면서 기존의 경계보안, 솔루션 중심에서 탈피해야 합니다. DT 환경의 비즈니스 변화를 관찰하여 위험 평가를 하고, 그에 맞는 보안정책 적용을 위해 고민해야 합니다. 디지털 환경에서 보안이라고 하면 클라우드, 빅데이터, 인공지능 등 신기술을 접목하는 것을 떠올립니다. 그런데 이런 기술들은 자동화하고 효율화할 수 있는 ‘수단’에 가깝습니다. 이보다 중요한 것은 보호하려는 대상을 정확히 알고, 어떤 부분에 리스크가 있는지를 찾아내는 ‘목표’ 지향적이 되어야 합니다. 위협을 탐지하는 모형에 AI를 도입하는 것도 필요하지만, 그보다 환경변화에 맞게 어떤 모형이 더 필요한지에 대한 고민이 더 필요하다는 것을 강조하고 싶습니다.
아울러 국가 및 기업 전반의 보안 수준 향상을 위해 모두 신경 써야 할 부분을 몇 가지 꼽는다면?
완벽한 정보보호라는 것은 없습니다. 항상 겸손해야 한다고 생각합니다. 이 때문에 첫 번째, Back to the basic! 기본에 충실해야 합니다. 반복적으로 하던 업무도 다시 들여다보고 새롭게 바라봐야 합니다. 두 번째, People centric security! 결국에는 사람입니다. 사람을 이해하고 교육하는 것은 아무리 강조해도 지나치지 않습니다. 마지막 세 번째, Security is a journey! 정보보호라는 여정을 즐기세요. 정보보호가 기본이 되는 문화는 모두가 동참해야 만들 수 있습니다.
마지막으로 앞으로의 계획에 대해 말씀해 주십시오.
전체적인 정보보호 관리체계는 마련되었으나, 급변하는 디지털 환경 변화에 맞춰 더 정교하게 모니터링할 계획입니다. 우선 침해대응에 있어서는 가시성 확보를 위한 종합적 사이버보안 관제(SOAR)를 역점 사업으로 추진하고 있습니다. 침해시도부터 사고 발생을 가정한 이후까지 빅데이터 기반으로 가시성을 확보하고 더 정밀하게 들여다 볼 수 있게 됩니다. EDR, CDR, 통합검역시스템 등 각종 솔루션을 종합해서 모니터링하고 있습니다.
그리고 개인정보 프레임워크를 기반으로 정보의 수집부터 파기까지의 라이프사이클 전 과정에 대한 모니터링을 강화하고 있습니다. 새로운 비즈니스가 생기면 사전적으로 법적 요구사항을 잘 갖추어졌는지를 보고, 실행 중에는 빅데이터 분석을 통해 오·남용 여부를 모니터링하고 있습니다. 앞으로는 머신러닝을 본격 가동하여 더 정교하고 효율적으로 모니터링할 수 있도록 과제를 만들어 하나씩 실행할 계획입니다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
