“IT와 보안은 분리돼야 합니다. 가장 중요한 이유는 시스템의 안정적인 운영이 중요한 IT와 달리 보안을 강화하다보면 프로세스가 복잡
KB국민은행 김종현 상무는 국내 금융 기업 중 최초로 CISO 겸직이 아닌 독립 CISO로 보안 부문을 이끌고 있다. 김 상무가 KB국민은행 CISO로 합류한 1년 남짓한 기간 동안 보안 조직이 본부로 승격했고 보안 인식이 높아졌으며 문화가 바뀌었다. 김 상무는 보안 담당자들의 위상을 높이고 경영진들에게 매월 보안 점검현황을 보고하는 등 그 동안의 변화를 소개했다.
김 상무는 오는 5월 22일 한국IDG가 주최하는 파이낸스 IT월드 2014에서 ‘CISO가 바라보는 보안 현실과 신 패러다임’이라는 주제로 발표할 예정이다. 다음은 김 상무와의 일문일답이다.
CIO KR : 기조 연설 주제인 ‘CISO가 바라보는 보안 현실과 신 패러다임’에서 주로 어떤 내용을 다룰 예정인가?
김종현 상무(이하 김 상무) : 금융 정보보안에서 야기되는 이슈들과 어떻게 대응할 지에 대해서 발표할 예정이다. 이제 보안은 IT에서 독립해야 하고, 마찬가지로 CISO도 겸직이 아닌 CIO와 완전히 분리된 독립된 임원이라야 한다. 과거 보안 문제들을 보면, 보안 책임자가 임원이 아니기 때문에 해결하지 못했던 것들도 있었다. 거기에 보안 솔루션 업체들이 단순 기능 위주의 제품들을 공급하다 보니 문제점들을 근본적으로 해결하기 어려웠던 점도 더해졌다. 이러한 문제들을 짚어보고 앞으로 어떻게 나아갈 지 방향을 제시하고자 한다.
CIO KR : 금융 IT보안에서 가장 시급하게 해결해야 할 문제는 무엇이라고 생각하나?
김 상무 : 보안 담당자들은 최근 일어난 일련의 보안 사고 때문에 책임감이 무겁다. 선량한 관리자로서 책임을 다하면, 보안사고에 대한 책임 부분은 신중히 접근해야 한다고 본다. 즉, 우리가 할 수 있는 최적의 보안 대책을 세웠나, 그 대책이 정말 최선인가를 먼저 따져보고 그 다음에 책임문제를 논해야 한다. 누군가가 불시에 점검을 오거나, 어떻게 하고 있는지 보여달라고 할 때, 누가봐도 최선을 다해 방어하고 있음을 보여줄 수 있을 정도로 대처한다고 말할 수 있으면 걱정하지 말라고 직원들에게 이야기한다. 직원들이 ‘이러다 사고가 나면 회사를 나가야 하나’라고 걱정하게 되면 보안담당자는 소극적이 될 수밖에 없다. 실제로 타사에서 보안팀장이 형사입건 되는 사례가 있는데, 심각한 절차상의 오류가 있는 것이 아니라면, 보안 담당 직원에게 형사책임을 묻는 것은 적절치 못하다.
만약 책임을 져야 한다면, 그것은 수행직원이 아닌 관리임원이 책임져야 한다. 이런 사회분위기로 보안 직원들이 점점 더 과도한 부담감을 가지는 것이 우려됩니다.. 보안 사고가 나지 않는 것은 ‘기본’이고, 사고가 나면 보안 담당 직원에게 과도한 책임을 묻는 것도 잘못된 관행이다. 따라서 사고가 나지 않으면 보안 담당 직원을 포상하는 제도를 장려하여 적극적으로 보안업무를 수행하는 문화를 확산해야 한다.
CIO KR : KB국민은행에 합류한 지 약 1년 됐다. 그 동안 가장 큰 변화가 있다면?
김 상무 : 정기적인 보안 점검 수행, 보안 조직 위상 강화, 현업의 보안에 대한 인식문화를 바꾸는데 주력했다.
보안 직원들은 업무에 불편을 주는 일을 하는 사람이라는 인식은 보안 담당자들의 위상을 낮출 수 밖에 없다. 우선, 보안업무를 수행하는 방식변화로 이러한 인식을 바꿔 보안 담당자들의 위상을 높였다.
사실, 보안으로 인해 사용자들에게 불편을 야기하는 프로세스가 추가될 수 있다. 그렇기 때문에 보안 담당자들은 사용자들에게 주로 부탁해야 했다. 가령 “패스워드를 바꿔주세요”라고 정기적으로 부탁해야 한다. 이런 ‘부탁하는 보안’에서 ‘통제하는 보안’으로 바꿔야 한다고 생각한다. 보안 담당자들이 통제권을 가져가려면, 현장에서 통제할 수 있는 규정을 넣어야 하고 그 안에는 상벌이라던가 포상이 있어야 한다.
또한 보안 위반 사항이 발견되면, 언제까지 시정할 지 약속한 날짜를 확인한다. 그 날짜에 시정되지 못하면 이유를 묻고, 해당 사용자가 ‘업무가 바빠서 못했다’고 하면, 새로 날짜를 약속 받는 비효율적인 프로세스가 되풀이 됐다. 이제는 보안 위반 사항이 발견되기 전에 먼저 보안담당자가 보안정책을 명확히 수립하여 공지하고, 위반시에는 언제까지 시정하겠다는 확약서를 문서로 받거나 심각한 사안인 경우, 해당 직원을 징계한다.
이러한 인식의 변화는 보안조직의 위상강화가 있었기 때문에 가능했다. 하나의 부서에서 CISO산하의 정보보호본부로 확대 개편되면서, 보안담당자의 위상이 강화되기 시작했다.
IT본부는 시스템 안정성을 강조하고 정보보호는 보안프로세스를 강조한다. 시스템성능을 강조하면 편리하고 빨라지지만, 보안프로세스를 강조하다 보면, 시스템이 불편하고 느려질 수 있다. IT와 보안이 이렇게 서로 목적이 다르기 때문에 이 둘 사이에 균형을 맞춰야 한다.
가령, 새로운 보안 프로세스를 추가할 경우 전체 시스템에 영향을 줄 수도 있어, IT부서의 입장에서 장애를 이유로 반대할 수 있다. 이제는 정보보호본부 소속의 보안담당자는 “보안강화는 필수이고, 장애가 나지 않도록 하는 것은 IT본연의 임무고 보안 사고를 예방하는 것이 필요하다”고 주장할 수 있어야 한다. 이렇게 주장하려면 사고 방식뿐 아니라 일하는 방식도 부탁하는 보안에서 통제하는 보안으로 바꿔야 한다.
CIO KR : 금융 IT보안만의 문제점은 무엇이라고 생각하나?
김 상무 : 제조업의 경우 서버가 모여 있고, IT센터가 집중돼 있어 관리포인트가 집중된 반면, 금융기관의 경우, 중요한 정보를 직접 취급하는 영업점이 전국 각지에 흩어져 있다. 제조업의 경우 PC가 공장역할을 하지는 않지만, 금융산업에는 PC에 고객 정보가 다 들어 있는 공장과 같은 존재이다. 즉, 금융산업에는 중요한 고객정보를 보호해야 할 관리포인트가 많고 광범위하다.
한편, 일반 기업은 보안이라고 하면 고객 정보만 보호하면 되는데, 금융은 고객정보뿐 아니라 금전거래정보를 보호해야 한다. 고객 정보를 빼돌려 2차 사고,, 즉 돈을 빼가는 것을 막는 것이 중요하다.
금융 IT보안이 타 산업보안에 비해 조금 나은 점이 있다면, 금융에서는 IT의 중요성이 상대적으로 높기 때문에 IT에 많이 투자한다는 것이다. 그리고 IT인력은 은행 인력의 5%로 맞추고 이 가운데 5%는 정보보호 인력으로 구성하며 IT예산의 7%는 정보보호 예산으로 편성해야 한다는 금융감독원의 557 규정 때문에 최소한의 보안투자가 확보되어 있다.
CIO KR : 그 동안 많은 변화를 이끌어 냈는데 그러기 위해서는 커뮤니케이션 역량이 중요했을 것 같다. 노하우가 있다면?
김 상무 : KB국민은행은 ‘스토리가 있는 금융’을 추구한다. 스토리가 있는 금융은 우리가 원하는 상품을 판매하는 게 아니라 고객이 원하는 상품을 판매하는 것이다. 그 과정에서 고객과 스토리를 만들어 가는 것이다. 이런 취지에서 정보보호본부는 ‘스토리가 있는 보안’을 구현하기 위해 매월 스토리 나눔마당을 운영하고 있다. 스토리 나눔마당에서 새로운 보안정책, 효과적인 보안교육방안에 대해 토론하고 의견을 나누고 있다.
경영진과의 소통을 위해, 경영진 간담회에서 월별 보안 이슈를 올리고 있다. 고객 정보 관련 출력물 현황이나 이메일 첨부파일에 고객 정보가 몇 건이 있었는지 등을 보고하고 새로운 보안 조치가 있을 때는 경영진간담회에서 이를 알려주고 있다. 가령 개념적으로 어려운 고객정보 유출방지시스템의 적용프로세서에 대해 경영진간담회에서 설명한다. 관리자가 승인하고, 고객정보가 암호화되는 과정을 안내한다. 이밖에 전체 본부 팀장들을 대상으로 보안 교육을 실시했는데, 오히려 교육생인 팀장들뿐 아니라, 교육을 하는 보안팀장들도 교육의 효과를 보며 만족스러워했다.
정보보호본부의 본부장과 부서원간의 벽을 허물려고 노력한 것도 있었다. 그러기 위해서 부서장뿐 아니라 업무담당자들과 빈번한 회의를 통해 직접 대화도 많이 나누며 열려 있는 토론 분위기를 조성했다.
CIO KR : 국내 최초의 금융 CISO라고 알고 있다. 금융 IT보안 관계자들에게 당부하고 싶은 말이 있다면?
김 상무 : 보안의 중요성은 커지고 있기 때문에 현재 보안 담당자들의 중요성은 높아지고 있다고 생각한다. 그렇다고, 보안담당자가 스스로 느끼는 비전이 명확해지는 것으로 보이지는 않는 다. 적극적인 보안활동을 위해 보안담당자들에 대한 비전제시는 CISO가 반드시 해야 할 일로 보인다. 보안 전문가가로 성장하면, 향후에도 경험을 살려 은퇴 후에도 은행을 위해 일할 수 있다는 비전이 중요할 것으로 보인다. 24시간 보안 관제가 필요하고, 보안전문가로서의 경험이 중요한데, 그 업무를 은퇴한 직원이 맡을 수도 있기 때문이다. 누구보다도 은행 업무를 잘 알기 때문에 더욱 유리할 것이다.
CISO로 성장하려면 비즈니스 마인드가 필요하다. 업무 전반에 대해 다른 임원과 이야기할 수 있으려면 보안뿐 아니라, 보안이 타 현업 부서에 미치는 영향에 대해서, 동시에 은행 영업프로세스에 미치는 영향에 대해서 이야기할 수 있어야 한다. 훌륭한 CIO는 IT의 중요성을 경영진들에게 잘 설명하는 사람이다. 마찬가지로 CISO도 보안이 비즈니스에 영향을 끼친다는 점을 경영진들에게 말할 수 있어야 한다. 비즈니스 대화를 할 수 있느냐 그렇지 않느냐가 앞으로 CISO의 자질에 중요한 요소가 될 것이다.
한편, 오는 5월 22일 한국IDG는 금융 IT의 화두인 보안과 SMAC(소셜, 모바일, 분석, 클라우드)를 집중적으로 소개하는 파이낸스 IT월드 2014를 개최한다. 이번 컨퍼런스에는 금융감독원, 은행, 보험, 카드, 결제서비스 등 다양한 금융권 전문가들이 대거 참석해 현재 및 향후 금융 IT핵심 이슈를 점검하고 실행 전략을 구상하는 자리가 될 것이다.
dl-ciokorea@foundryco.com
