[강은성의 CISO 스토리]풀어 놓아야 풀린다


- CISO 스토리를 시작하며

인생에서 우연이 여러 번 겹치면 필연이 되는 것 같다. 소프트웨어 개발로 직장 생활을 처음 시작했는데, 어찌어찌하다 보니 국내 최대 보안전문업체의 시큐리티대응센터장을 거쳐 대형 인터넷 기업의 정보보호최고책임자(CISO)로 일했고, 이제 ‘자유의 몸’이 되었다.

쉬는 동안 뭘 할까 생각하다가 내가 고민하고 경험했던 내용이 다른 CISO분들께 도움이 되지 않을까 하는 생각이 들어 ‘CISO 스토리’ 칼럼을 쓰기로 했다. 혹시 질문, 다른 의견, 관심있는 주제에 대한 요청 등의 피드백을 주시면 좀더 의미 있는 글을 쓸 수 있지 않을까 싶다. eunseongk99@gmail.com로 편하게 보내 주시기 바란다.

(직전 회사에서 내가 맡은 공식 직책은 CSO(Chief Security Officer)였으나 국내에서는 법에서나 사회적으로 정보보호최고책임자(Chief Information Security Officer, CISO)라고 주로 표기하고 있어서 직책의 성격에 차이가 있긴 하지만 이 칼럼에서는 CISO로 표기하려고 한다)


지인 중 한 분이 회사 IT인프라에 외부 침입 흔적이 있는데 신고해야 하냐고 물어온 적이 있다. 사고를 겪은 경험이 있다는 게 알려져서 그런지 가끔 이와 같은 질문을 받는다. 정보통신망법에는 침해사고를 “해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태”(제2조)라고 정의하고, 정보통신서비스 제공자는 침해사고가 발생하면 즉시 미래부나 한국인터넷진흥원에 신고하라고 되어 있다(제48조의3).

‘사태’라는 표현이 피해가 큰 사고라는 의미를 내포하는 것처럼 보이긴 하지만, 정보통신서비스 제공자의 CISO들은 종종 발생하는 소규모 사건과 사고를 접하면서 이걸 신고해야 하는지 한 번쯤 고민을 해 봤을 것이다. 이 질문에 속시원하게 말해 줄 수 있는 사람은 별로 없다. 결국 본인이 판단할 일이다.

정보통신망법과 정보보호관리체계(ISMS) 인증, 전자금융거래법, 정보통신기반보호법 등에서 CISO 선임을 규정하면서 명시적 또는 묵시적으로 CISO 직책을 맡고 있는 분들이나 사실상 CISO 업무를 하고 있는 분들이 늘어나고 있다. 10년 이상 보안업무를 해 왔던 나도 공식적으로 CISO가 되니까 부담이 되던데, 보안책임자로서 경험이나 교육, 훈련을 받지 못한 상태에서 책임을 맡게 된 분들은 부담이 클 것 같다. 게다가 CISO 업무를 수행하는 데 도움이 될 만한 자료는 찾기가 쉽지 않고, 지금이라도 교육을 받아 보려고 해도 딱 맞는 교육을 찾기도 어려운 데다 젊은 사람들이 많을 것 같은 생각에 참석하기 좀 껄끄럽기도 하다.

다른 회사에서 보안사고가 났다고 하면 그 사고에 대한 현황, 원인과 함께 우리 회사에 현황과 대책 등 CEO에게 보고할 내용을 작성하면서도 우리 회사는 정말 괜찮은지 걱정되고, 며칠 전 보고 받은 취약점은 기존 시스템을 많이 고쳐야 해결된다고 하던데 그 동안 별 사고가 없어야 할 텐데 하는 찜찜함도 있다.

보안 취약점은 내가 알고 있는 게 전부인지, 혹시 내가 모르는 큰 구멍이 있는 건 아닌지 불안하다. 그래서 보안을 좀 강화하자고 하면 현업부서에서는 사업 접으라는 얘기냐, 그런 환경에서는 개발자들이 일을 할 수 없다며 아우성을 치니 갑갑하다.

실무자들이 구축하겠다고 한 비싼 보안 솔루션을 도입하면 정말 취약점들은 확 없어지는 건지, 비용 대 효과는 좋은지 확신이 서지 않고, CFO 조직에서는 투자 대비 기대 효과를 정량적으로 작성해 달라고 하는데 영 뾰족한 방법이 보이지 않는다. 우리 회사의 보안 예산이나 보안 조직, 인력은 적절한 건지, 우리 회사 보안 정책은 너무 강하거나 아니면 너무 약하게 되어 있는 건 아닌지 모르겠다. 우리 회사의 고객정보를 대량으로 갖고 있다는 협박성 제보는 사실인지, 어떻게 처리해야 좋은 건지, 업무도 바쁜데 간혹 외부에서 들어오는 보안 취약점 신고를 대충 대응했다가 언론에 나오면 보안부서는 그 동안 뭐 했냐며 질책받는 건 아닌지 염려된다.

뭔가 더 보강할 게 있는지 남에게 물어 보고 싶어도 아직도 법적으로 규정되어 있는 것조차 하지 않았느냐는 지적을 받아 오히려 규제기관에 지적받지나 않을지, 피해도 별로 없는데 보안사고 얘기를 괜히 꺼냈다가 수사기관이 알게 되어 공연히 긁어 부스럼만 만드는 건 아닌지 머리가 복잡하다.

CISO들은 성격상 입이 무거운 사람들이 많기도 하지만 업무적으로도 주위에 말하기가 매우 어렵다. 회사 비밀을 많이 알고 있기 때문이다. 1년 정도 CEO 직속으로 C레벨 보안책임자(CSO)를 맡았고, 2년 정도 본부장급으로 보안책임을 맡았던 나도 마찬가지였다. 그나마 나는 사내에 믿고 의논할 만한 경험과 역량을 갖춘 팀장들과 인력이 있었고, 주변에 평소에 친하게 지내는 CISO들이나 전문가 그룹이 있었기 때문에 좀더 나은 상황이었지 않았나 싶다.

그렇다고 해서 회사의 보안 역량이나 보안에 대한 지원이 충분하지 못한데, 남들이 축적해 놓은 경험과 지식, 지혜를 이용하지 않고 개별적인 시행착오를 통해 일을 처리해 나간다면 고생은 고생대로 하면서 일 처리 효과와 효율이 떨어져서 개인과 조직의 성과에 영향이 있을 수 있다. 그래서 나는 무엇보다도 CISO를 맡고 있는 분들이 혼자만 고민하지 마시라고 권하고 싶다. 같은 업계에 종사하는 CISO들이나 CISO를 위한 교육, CISO 관련 모임 등을 찾아 보셨으면 한다. 의외로 주변에 비슷한 역할과 생각을 가지신 사람들이 많이 있다.

새해 벽두부터 발생한 카드사 고객정보 유출 사건으로 올 한 해 보안이 우리 사회의 주요 의제로 떠오를 것 같다. 우리 사회의 보안 수준을 높이기 위해 금융, 공공, 일반 기업의 CISO들 역할이 매우 중요하다는 점은 아무리 강조해도 결코 지나치지 않다. 이를 위해 CISO들의 비밀이 절대적으로 보장되면서 마음 편하게 물어 보고 의논할 수 있는 단체나 커뮤니티가 있으면 좋겠다.

일단 개인적으로라도 그런 질문이 오면 개인적 역량과 주변의 인맥을 총 동원해서 그런 역할을 해 드리고 싶다. 단편적인 질문에 단편적인 답변만 듣더라도 일에 맞닥뜨린 CISO들에게는 큰 도움과 위로가 될 수 있기 때문이다. 심상치 않은 갑오년 한 해 다들 건승하시길 빌어 마지 않는다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.








포토뉴스