Cover Story ∣ 하나카드 정보보호최고책임자 국윤일 본부장(CISO)

즐겨찾기추가

2024.05.20 (월)

기상청 제공

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

ROUNDTABLE

Cover Story ∣ 하나카드 정보보호최고책임자 국윤일 본부장(CISO)

보안정책은 원칙에 기반하고, 실행적 측면에서는 운영의 묘를 더해야 한다

방창완 편집국장 기자
등록 2016.09.28 17:19
조회수 2,111

Cover Story ∣ 하나카드 정보보호최고책임자 국윤일 본부장(CISO)

보안정책은 원칙에 기반하고, 실행적 측면에서는 운영의 묘를 더해야 한다

ISMS(정보보호관리체계) 및 PCI-DSS인증 등 정보보호 거버넌스 강화를 통해 보안사고의 사전예방 노력

지난 7월에 하나카드 정보보호최고책임자(CISO) 로 취임한 국윤일 본부장은 취임 이후 카드 정보보호를 위한 새로운 틀을 마련하는데 여념이 없다. 그는 올해 ISMS(정보보호관리체계) 인증과 PCI-DSS인증 추진을 통해 보안정책, 프로세스, 보안 취약점을 점검하는 등 하나카드의 보안수준을 한 단계 끌어올릴 계획이다.

방창완 편집국장 bang@ciociso.com


▲ 하나카드 정보보호최고책임자 국윤일 본부장(CISO)

국윤일 본부장은 과거 3.20사태와 카드사 정보유출사고 이후 보안사고의 트랜드가 변화되고있다고 말한다. 과거에는 디도스 공격을 통해 기업의 서비스에 피해를 주거나, 해킹을 통해 취득한 고객정보를 판매하는 목적의 시도들이 주를 이뤘다면, 최근에는 유출된 고객정보를 이용하여 금전적 이득을 취하기 위한 부정결제 시도와 랜섬웨어 같은 악성코드 유포를 통해 직접적으로 금전을 요구하는 행위들로 보안사고가 진화하고 있다고 말했다.

카드사의 보안조직은 변화하는 보안사고의 트랜드를 인지하고 능동적이고 선제적인 대응을 통해 사고의 사전예방과 피해확산 방지를 위해 노력해야 한다고 주장했다.

상경계 출신 CISO, 보안 투자 수익과 효율성 분석에 효과적

국윤일 본부장은 올해 보안사고의 사전예방과 정보보호 체계 견고화를 위한 보안투자에 분주한 나날을 보내고 있다. 그는 자신이 상경계 출신이기 때문에 오히려 현재 수행하고 있는 보안업무에 좀 더 독창성을 발휘할 수 있다는 점을 강조했다.

국 본부장은 보안투자는 단순히 비용이라는 개념에서 벗어나야 하며, 보안투자의 효율성과효과성에 대한 경영관점의 분석이 필요하다고 주장한다. 이를 위해 2002년 구) 외환은행 재직 시절, 당시에는 생소한 Cost Benefit Analysis를 IT 시스템 도입에 적용한 경험을 기반으로 보안예산의 투자 효과성을 분석하기 위해 노력하고 있다.

우선 언제나 예산은 한정되어 있는 만큼 수익과 비용을 적절히 접목시켜 효과적인 보안정책을 수립하는 것이 중요하다는 점이다. 시중에는 수많은 보안제품이 쏟아져 나오고, 위협요소들이 발생하고 있다. 하지만 이를 모두 수용하기에는 역부족이다. 따라서 여러 가지 대안을 살펴보고, 경영적인 관점에서 내부 수익률이 큰 것부터 효율적으로 진행하는 지혜가 필요하다. 이런 방식은 현업과 기업 CEO들이 환영하는 방법으로, 요즘 같은 긴축경영 상태에서 CISO들이 취할 수 있는 보안 투자 방법론이라고 한다.

국 본부장은 “Budget Constraint가 있기 때문에 혁신적인 방안이 만들어진다”라는 하나금융그룹 추천도서 BOLD의 글을 인용하고, “아무리 Fiscal Policy와 Monetary Policy를 동원해도 GNP가 증가하지 않은 유동성 함정을 탈피하기 위한 유일한 방법이 슘페터의 혁신이다.”라는 말도 덧붙였다.

보안은 문화, 꾸준한 교육과 실천이 중요

국 본부장은 직원들이 회사의 엠블렘을 부착하면 외부에서 행동이 달라지듯이 파트너사 직원도 자리에 명패를 부착하게 되면 본인을 드러내게 되어 더욱 더 책임감을 가지고 업무에 임하게 된다고 말했다. 작은 일부터 실천하는 이런 기본적인 자세가 향후 커다란 위험요소를 방지하는데 도움이 된다는 것이다.

파트너사 직원관리에 있어서도 데일리 체크 포인트를 마련해 이를 점검하고, 직원들이 업무를 위해 고객정보에 대한 접근을 할 때 준수해야 할 사항과 책임에 대한 꾸준한 교육 등 보안의식과 문화가 전반적으로 사내에 뿌리내리기 위해 지속적인 노력이 필요하다는 점을 강조했다.

융통성 위해서는 프로세스 꽤뚫고 있어야

보안통제와 관련하여 협의를 하다 보면, 현업에서 항상 나오는 얘기가 ‘고객 서비스 때문’에 라는 말이 자주 나온다. 따라서 정보보호 조직은 원칙을 적용하되 법규와 사고위협 측면을 고려하여 운영의 묘를 살리는 지혜가 필요하다. 국 본부장은 이런 융통성을 발휘하기 위해서는 업무 흐름에 대해 정확히 알고 있어야 한다는 점을 강조했다.

그는 “예외적인 부분을 풀어주는 능력은 알고 있는 사람만이 실행할 수 있는 능력이다. 보안통제의 융통성은 완벽한 업무지식과 법규 변화 및 타사 동향에 대한 이해로부터 나온다고 강조했다.

격려 통해 업무의욕 고취시켜

국 본부장은 새로운 업무지식을 파악하고 이를 실행하는데 주력하는 한편 내부 직원을 챙기기에도 여념이 없다. 무엇보다 보안업무를 직접 담당하는 부서가 일에 대한 자신감을 갖고 업무에 임하는 자세가 필요한 만큼 조직 분위기를 활성화하는데도 많은 노력을 기울이고 있다. 매월 생일을 맞는 본부 직원에게 관심 분야에 대한 폭넓은 지식 함양을 위해 희망하는 책 1권을 선물하고 축하해 주고 있다.

또한, 직원과의 티타임 면담 등을 통해 격려하고 회사에 대한 건의사항과 개인의 고충을 듣는 등 소통의 시간을 가지고 있다. 문제가 있을 때 단순히 질책하는 것보다는 격려를 통해 업무에 대한 의욕을 고취하는 자세가 필요하다는 것. 그래야 문제가 생겼을 때 숨기지 않고 오픈해 더 크게 벌어질 수 있는 문제들을 미연에 방지할 수 있다는 생각이다.

하나금융그룹은 내년에 IT센터가 청라데이타센터로 이전한다. 대략 2천명의 인원이 새로운 보금자리인 청라지역으로 이전하는 만큼 모든 IT 인프라가 안정적으로 이전될 수 있도록 네트워크와 시스템에 대한 점검 및 이전 계획을 하나하나 실행해 나가고 있다.

국 본부장은 CISO로서 보다 안전한 고객정보관리 및 금융서비스를 제공함으로써 고객이 신뢰하고 금융시장에서 인정받는 하나카드로 거듭나도록 노력하겠다고 다짐한다.

<하나카드 국윤일 본부장(CISO)>

학력: 연세대학교 경제학과(1980~1984)

Univ. of Washington(at seattle) MBA(1998~2000)

주요경력: 2016. 7 정보보호최고책임자(하나카드)

2015.9 IT 기획부장(KEB하나은행)

2013.3 IT 기획부장(구외환은행)

2012. 7 IT 금융개발부장(구외환은행)

2011. 3 외국환개발팀장(구외환은행)

2008. 8 관리자 승진(구 외환은행)

방창완 편집국장 기자의 전체기사 보기