interview ∣ 한화생명 IT센터 이만재 CISO
보안, 보는 시각 크게 갖고 통합관점에서 바라보자
한화생명 IT센터 이만재 CISO가 4월 16일자로 새롭게 CISO(정보보호최고책임자)로 발령을 받았다. 다년간 보안 분야에서 실무경험을 쌓은 바 있는 이만재 CISO는 회사 전체 보안을 위해서는 무엇보다 ‘보는 시각을 크게 가져야한다’는 점을 강조했다. 이만재 CISO을 만나 향후 IT 보안과 방향에 대한 이야기를 나눴다.
방창완 편집국장 bang@ciociso.com
“그동안 보안 실무를 해왔지만, 직접 책임자가 되어 보안 기획에서부터 실행까지 책임져야하는 입장이어서 부담이 따르는 게 사실이다. 앞으로는 IT 보안뿐만 아니라, 회사 보안을 위해 시각을 다각화하고 통합적 관점에서 바라볼 것이다”
|
|
|
▲ 한화생명 이만재 CISO |
신임 이만재 CISO는 보안이 제대로 작동하기 위해서는 조직관점에서 보안을 하나로 바라봐야한다는 점을 강조했다. IT 보안외에 관리 및 컴플라이언스 영역까지 포괄하는 보안이 돼야 한다는 것. 보통 업무의 여러 홀에서 보안사고가 발생하는 경우가 있어 이런 홀에 따른 사고를 최소하기 위해서는 통합 관점에서 사각지대를 없애는 작업이 필요하다는 것이다.
중장기적으로 회사차원에서 이런 틈새를 없애기 위해서는 조직 전반적인 차원에서 보안을 바라봐야 한다는 것이다. 과거와 같이 포인트 솔루션 위주의 접근법은 더 이상 통하지 않는다는 것. 또한 신규 비즈니스를 추진할 때마다 새로운 홀이 발생하는 것도 염두 해 둬야한다.
내부적인 보안체계를 마련하는 것도 중요하지만, 사물인터넷과 빅데이터 모바일 등 신규 비즈니스의 혁신이 이뤄질 때 내부에서 선제적으로 보안에 대한 준비도 같이 실행돼야한다는 점을 이만재CISO는 강조했다. 보통 IT 보안은 비즈니스 모델 실행 이후의 작업이 보편적이지만, 사고가 나기 전에 보안이 선제적으로 평행선처럼 따라 붙어야 사고를 줄일 수 있다는 견해이다.
비즈니스와 발맞춰 나가기 위해서는 꾸준한 준비와 역량을 강화하는 작업이 필요하다는 것. 보안과 비즈니스, 그리고 트렌드를 하나의 평행선처럼 서로 간에 보조를 맞춰야 한다는 그의 시각은 사고의 리스크를 최소화하는데 최적의 방법이 될 수 있기 때문이다. 이는 항시 업무에 리스크가 존재할 수 있기 때문이다.
최소한의 정보제공으로 노출 최소화
생명보험사의 핵심 비즈니스이면서 항시 보안사각지대로 우려가 될 수 있는 보험 설계사 조직의 경우는 직접적인 통제보다는 꼭 필요한 정보만을 제공해 관리 영역을 최소화할 필요가 있다. 이만재 CISO는 “보통 사고는 관리 범위를 넘는 과도한 업무로 인해 발생할 수 있는 만큼 관리할 수 있는 범위 내에서 최소 필요한 정보만이 공유될 수 있도록 하고, 내부 업무 접속에 대해서는 차단해야 한다”고 강조했다.
지나친 통제는 업무에 지장이 될 수 있기 때문에 관리 폭을 줄이기 위한 최소의 정보만 통제 하에서 진행할 필요가 있다는 견해이다. 한화생명은 업무에 꼭 필요한 청약서와 같은 업무만이 DMZ 영역에서 열어주고, 원천적으로 데이터를 저장할 수 있는 환경을 없앴다. 화면을 통해 조회가 가능하며 회사에서는 데이터를 사실상 제공하지 않는다. 내부 직원의 경우도 노트북을 이용할 경우, 항시 바이러스 백신에 대한 체크가 이뤄졌을 때 접근이 가능하다.
과거에는 클라이언트/서버 환경에서 고객에 대한 가입서류 작성이 개인 PC에서 이뤄지기 때문에 일일이 PC에 대한 암호화를 진행하는 등 매체제어를 실행하는 번거로움이 있었다. 하지만 지금은 모든 것이 웹 환경으로 변화하면서 통제도 손쉬워 지고, 데이터를 유출할 수 있는 빌미를 원천적으로 차단하고 있다.
결국, 그가 생각하는 보안은 보안 조직이 효율적으로 이뤄지고, 비즈니스 부서에서 불편함을 느끼지 못할 정도의 고도화된 보안 정책을 실행하는 것이다. 98% 이상의 인력이 보안을 못 느낄 정도로 보안을 고도화하는 작업은 쉽지 않다. 하지만 가만히 생각해 보면 보통 2~3% 인력과 조직에서 비정상적인 행위가 일어나는 경우가 있다.
이에 대한 홀에 적극적으로 대응할 필요가 있다. 설계사의 모든 업무를 통제할 것이 아니라, 원천적으로 데이터 노출 범위를 최소화해 필요한 부분에 대해서만 통제를 통해 열어주고 관리하는 지혜가 필요하다는 견해이다. 모든 것을 통제한다면 그만큼 보안은 번거로운 작업이 되겠지만, 쉬울 수 도 있다. 하지만 현업에서 많은 고충이 따르게 된다.
정상적인 업무에 대해 불편을 가하는 것은 진정한 사고대응이 아니라는 것. 이런 선별적 통제 기술은 결국 임직원들의 훈련과 끊임없는 실전업무 쌓기를 통해 가능해 진다는 것이다.
이만재 CISO는 올해가 보안에 있어서 효율적인 조직체계를 갖춰나가는 한해가 될 것임을 강조했다. 그는 “새로운 조류에 대응하고, 비즈니스에 발맞춰 나가기 위해서는 조직과 인력을 갖춰 실력을 키워야 한다”며 “올해가 이런 체계를 준비하는 한해가 될 것”이라고 말했다.