ARTICLES특집
기획/ 금융권 신임CISO 인사동향CISO 역할, IT에서 위기, 리스크관리로 영역 확대
방창완 편집국장  |  bang@ciociso.com
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
[0호] 승인 2017.01.31  
트위터 페이스북 미투데이 요즘 네이버 구글 msn

기획/ 금융권 신임CISO 인사동향 


CISO 역할, IT에서 위기, 리스크관리로 영역 확대 
은행외 직급 대부분 본부장급, 임원화 시급 
 
방창완 편집국장 bang@ciociso.com 
 
해가 바뀌면서 국내 금융 CISO들의 인사는 평균 20~30%의 변화가 있었다. 은행에서는 최근 NH농협은행(김철준 CISO), 하나은행(박근영 CISO), KDB산업은행(채낙균 CISO)의 CISO가 바뀌었으며, 보험업계는 미래에셋생명(김명기 CISO)과 한화손해보험(김한보 CISO), NH농협생명(한재선 CISO)의 CISO가 변경됐다. 
 
또한 증권업계에는 NH투자증권(신동철 CISO)과 KB증권(한동우 CISO), 미래에셋대우증권(황재우 CISO), 신한증권(양재원 CISO), 한국증권금융(배진호 CISO)의 CISO가 새롭게 바뀌었다. 보통 2~3년 주기로 보직이 바뀌는 CISO 직책에 대해 업계에서는 짧은 임기로 CISO로서의 역할을 잘 할 수 있을지 의문을 제기하는 경우도 있다. 또한 직급도 거의 본부장급이어서 소신껏 업무를 처리하기에 미흡하다는 지적도 있다. 
 
무엇보다 보안이 중요한 금융업계에서 보안수장으로서 역할을 제대로 수행하기 위해서는 적정한 임기와 임원급 CISO 직제를 통해 보다 체계적이고 안정된 보안업무를 수행할 필요가 있다는 지적이다. 올해 보안 업무를 맡게 된 신임 CISO들은 ‘정보보안’이라는 직무상 책임을 절실히 느끼고 있다. 과거의 금융사태가 안겨준 휴유증도 큰 부분이지만, 무엇보다 금융에 있어서 보안은 기업의 생존과도 직결되는 부분이기 때문이다. 
 
올해 CISO들의 관심은 주로 보안 고도화를 통한 ‘관리보안을 강화’하는 방향으로 초점이 맞춰질 것으로 보인다. 다양한 금융 영역에서 새로운 신임 CISO 인사 발령이 있었지만, 주로 기존에 IT 기획과 개발 업무를 담당하다가 다년간 IT에서의 경험을 기반으로 보안조직 수장으로 보직을 받은 경우가 많았다. 외부에서 온 전문 보안컨설팅 경력도 포함된 부분도 있지만, 내부 IT 부서에서 CISO로 보직이 변경된 이유는 IT와 보안이 뗄레야 뗄 수 없는 관계이기 때문이다. 
 
신임 CISO, IT부서 발탁, 외부 컨설팅기업에서 영입 
특히 IT는 기업의 회계, 재무, 인사, 영업, 마케팅 등 모든 업무흐름을 꽤 뚫을 수 있는 파이프라인 역할을 담당하기 때문에 보안도 당연히 IT 관리자가 맡아야 한다는 인식이 높은 것 같다. 이와는 달리, 외부 보안 전문가를 영입하는 경우도 있다. 이는 내부에서 보다는 외부에서 전문가를 선임함에 따라 거버넌스 측면에서 보다 거시적이고 통합적으로 보안업무를 수행할 수 있다는 것이 업계의 견해이다.  
 
지금 상황은 CISO들이 초기 과거와는 다르게, 금융보안사고 이후 많은 부분에서 망분리 작업과 물리적 보안장치, 내부통제 장치가 마련되면서 업무가 훨씬 수월할 수 있다는 견해도 있다. 그만큼 직원들의 보안의식도 다양한 교육과 사례들이 소개되면서 의식 수준들이 향상되고 있다. 하지만, 보안은 끝까지 관리의 끈을 놓치 말아야 하는 핵심 영역이다. 최근 CISO 들의 보안의식은 과거에 물리적 보안에서 내부통제와 고도화로 진화하고 있다. 
 
신임 CISO들은 △다양한 보안 인프라를 좀더 정확하고 편리하게 통제할 수 있는 방법을 찾는 일 △보안 고도화를 통해 현업에서 업무에 지장이 없도록 하는 것 △예외 상황을 가급적 두지 않는 것 △신종 위협에 대해 지속적으로 탐지하고 이를 방어하는 작업에 올해는 많은 시간을 할애할 것으로 보인다. 
 
NH농협은행, 외부 정보보호 전문가 영입   
신임 NH농협은행 김철준 부행장(CISO)은 외부 정보보호 전문가 출신으로, 과거에 한국은행 산하 은행감독원에서 전산업무를 진행한바 있다. 과거, 96년 무렵 기업 IT 무결성 검사가 본격화되면서, IT 검사반에서 검사역을 맡고, 조직을 구성한 바 있다. 
 
그 이후에는 금융감독원에서 IT 경영 실태평가를 진행했다. 지난 99년에 통합 금융감독원이 신설되면서, 금감원에서 IT 경영실태 평가에 대한 검사 업무를 진행했다. 금감원 조직이 해를 거듭하면서 계속 조직이 바뀌는 과정이었지만, IT 검사파트를 담당하면서 IT 전체 수행에 대한 검사 및 감독 관리의 전문성을 키워왔다. 김 부행장은 금융 공공기관외에도 고려대학교 정보보호대학원 금융 정책연구원으로 1년여 재직한 바 있으며 이곳에서는 IT 실태평가에 대한 컨설팅을 진행했다. 
 
이런 컨설팅의 경력은 지난 2016년 1월에 방송, 통신, 영상 개인정보보호 IT 자문역할로 업무영역이 넓혀지는 결과를 가져왔다. 금감원에서 검사역과 관리, 감독 및 실태평가의 경험과 함께 시스템 및 프로그래밍 도입에 따른 유지보수 등에 대한 또 다른 경험은 IT 보안 전문가로서 발돋움하는데 많은 힘이 됐다. 이번 NH농협은행 CISO 발령 직전에는 법무법인 광장에서 전문위원으로 활동하면서, 다양한 방면에서 검사, 감독 컨설팅을 진행했다.
 
이번에 김철준 부행장은 NH농협은행에서 CISO, CPO 업무를 겸임하게 되면서, 그동안의 경험이 은행 CISO 역할을 수행하는데 많은 도움이 될 수 있을 것으로 자신하고 있다. 김철준 부행장은 “전임 CISO가 은행 보안조직의 새로운 틀과 기초를 성공적으로 수행해 왔기 때문에, 미래 보안을 위한 고도화 작업과 운영에 문제가 없는지 항시 체크하고 고민하는 것이 앞으로의 업무가 될 것”이라고 말했다. 
 
미래에셋생명, 금융 차세대 프로젝트 주도이후 보안 사령탑 발령 
미래에셋생명보험 김명기 이사(CISO)는 삼성SDS의 개발자 출신으로, 금융 차세대 프로젝트를 주도한바 있다. 삼성화재를 비롯해 삼성생명, 금호생명, 흥국생명 등 생명보험사 차세대 프로젝트를 진행하면서 다양한 실무 경험을 쌓았다. 
 
2005년에 KT에 재직후 미래에셋생명으로 입사했다. 2007년에 미래에셋생명 차세대 프로젝트에 참여한 이후, 미래에셋생명이 2008년에 시스템을 오픈하면서 인소싱을 단행했다. 이 과정에서 DA(데이터아키텍처) 분야에 참여한 바 있는 김명기 이사는 미래에셋생명으로 합류했다. 
 
미래에셋생명에서 혁신팀장으로 발령받은 김명기 이사는 이후 보험정보팀장으로 근무하면서 다년간 보험관련 IT 업무를 진행하면서 개발팀장으로 근무한 바 있다. 지난해까지는 솔루션 개발 본부장을 지냈으며, 올해 정보보호부 CISO로 발령받았다. 
 
주로 기간계 업무에 주력한 바 있으며, 보안 업무도 겸임하면서 정보보안팀 소속으로 초기에 보안 운영팀에 근무했다. 국내 보안에 대한 개념이 지금처럼 확대되기 전에 보안팀에서 실무경험을 쌓으면서 보안 지식분야를 넓혀왔던 것. 김명기 이사는 IT 업력에 있어서 사실, 기본적인 기간계 업무 바닥에서부터 시작해 직접 체험하고, 경청하면서 업무 지식을 습득해 왔다. 
 
이번에 신임 CISO로 부임하게 된 김 이사는 “관리자마다 여러 형태의 실행방식 있겠지만, 본인은 어떤 상황에 대해 듣고 판단하는데 있어서 충분한 지식을 쌓고, 경청하고자 했으며, 조금씩 지식과 경험의 지평을 넓혀온 것 같다”고 말했다. 이는 수시로 변화하는 IT 트렌드와 보안상황에 능동적으로 대처하기 위해서는 귀를 항상 열어놓고 포용해야하는 의식이 중요하다는 생각이 앞서기 때문이다.  
 
현재 미래에셋생명 보안조직은 삼성동에 위치해 있으며, IT 부서는 판교에 위치해 있다. 오는 5월 통합조직이 여의도로 다시 이전되면서, 많은 조정과 조직운영에 변화가 있을 것으로 예상된다. 
 
상반기까지 PCA생명보험사와 통합이 선결 작업이 되면서 보안계획은 다소 유보되는 경향이 있지만, 우선은 통합작업에 주력하면서 올해 보안과 관련된 전체 프로세스 계획과 체계를 세우고, 고도화해 나갈 계획이다. 아직까지는 시간적인 여유가 있기 때문에 통합 진행상황을 살펴보면서 보안에 있어서 미진한 부분은 차근차근 채워 나갈 계획이다.     
 
 
 
NH투자증권, 증권 정보시스템분야서 다양한 업력 쌓아 
NH투자증권 신임 신동철 본부장(CISO)는 다년간 우리투자증권과 NH투자증권에서 증권 IT 업무를 진행하는 등 증권 정보시스템 분야에서 다양한 업력을 쌓아왔다. 지난 2000년에 증권시장에서 온라인 바람이 불기 시작하면서, LG투자증권에서 온라인 채널 업무를 담당했다. 2005년에 LG투자증권이 우리투자증권으로 합병되면서 온라인 업무외에 보안과 관련된 인증 업무를 수행했다. 
 
당시에는 보안 개념이 지금처럼 보편화되지 않은 시절이었기 때문에, 다소 생소한 영역이었지만 FDS를 구축하면서 확실한 인증정책을 구현해 이를 사전에 막고 관리하는 체계를 만들었다. 또한 해킹 이력이 있는 IP 어드레스를 추적해서 이를 차단하는 등, 일찌감치 고난위도 보안 인증업무를 7년 이상 진행한 바 있다. 
 
보통 온라인을 진행하면 로그인과 패스워드를 관리하는데, 이외에도 채널 데이터에 대한 관리 및 처리와 온라인 콘텐츠에 대한 관리 감독 업무를 추진해왔다. 1년에 한번씩 인증 관련 매커니즘을 개편하면서 일찌감치 온라인 증권분야에서 보안 업무를 담당해 온 것. 지난 2007년에는 IT 기획부서에서 프로젝트 관리와 거래소 차세대 주문업무 프로젝트를 진행하면서 전체 IT라는 큰 틀에서 바라보는 시각을 키워왔다. 매체를 비롯해 IT 후선업무에 대한 기획을 진행하면서 IT 품질관리와 PMO로서의 역할도 배워왔다. 
 
신동철 본부장은 “지난 4년간 IT 기획 업무를 담당하면서, IT 품질과 PMO에 대해 많은 것을 배울 수 있었던 기회가 된 것 같다. IT를 전체적인 시각과 틀에서 보고 바라보게 됐다”고 설명했다. 신동철 본부장은 부서장으로 재직시 정보시스템, 회계, 내부 인트라넷, 컴플라이언스, 트레이딩 시스템 등 다양한 업무 관리를 진행한 바 있다. 업무개발과 함께 IT 품질 업무를 진행하고, IT 인프라에서도 다양한 경험을 보유하게 됐다. 이후 우리투자증권이 NH투자증권과 합병하면서 IT 전산통합 및 이전업무 수행을 원활하게 소화해 낸 바 있다. 
 
신동철 본부장은 IT 개발에서부터 기획, 품질, 인프라 관리 등 전반적인 업무를 진행하면서 전체적으로 IT를 꽤뚫어 볼 수 있는 시각을 보유한 인물로 평가되고 있다. 앞으로는 보안에 있어서 불편 없이 원활하게 돌아가는 보안 문화를 만들기 위해 보안제품에 대한 퀄리티를 높이는 한편 사용자들이 불편 없이 자연스럽게 보안사항을 준수할 수 있는 환경을 만들어 나갈 계획이다. 
 
신동철 본부장은 “직원들이 자연스럽게 보안을 준수하고 업무를 원활히 수행할 수 있는 구조를 만들기 위해 보안에 있어 제품, 운영 등 전반적인 상황에 대해 고도화 작업을 진행해 나갈 것”이라고 말했다.      
 
 
저축은행중앙회, IT기획경력 기반으로 CISO 겸임 
저축은행중앙회 박욱현 본부장(CIO, CISO)은 저축은행중앙회 내부 IT 본부에서 기획 경력을 유지해 왔다. 이번에 IT 기획 업무외에 보안업무까지 겸임하면서 저축은행중앙회 전 IT 조직을 총괄하게 됐다. 최근 인증방식에 있어서 생체인식이 금융권의 주요 관심사로 떠오르고 있는 가운데 저축은행들의 IT 업무를 관리하고 있는 이상 생체인증에 많은 관심을 보이고 있다. 
 
중앙회 속성상, 여러 저축은행들의 IT 업무를 차질없이 운영하도록 하고, 애로상황에 대해 경청하고 있다. 다양한 저축은행들이 상존해 있기 때문에 여론을 수렴하는 데는 합리적인 판단과 경청이 제일 중요한 요소다. 이미 IT 기획업무를 진행하면서 익힌 그의 산 경험은 여타 저축은행들에게 많은 도움을 주고 있다. 
 
은행들마다 생체인증 방식에 있어서 다양한 방법(지문, 홍채, 안면인식 등)들을 선보이고 있는 상황에서 저축은행에 적합한 인증방식에 대해 고민하고 있다. 그는 특히 최근 출범한 인터넷은행들의 행보에 많은 관심을 보이고 있다. 
 
저축은행의 영업 특징은 편리한 대출, 금융서비스, 저 신용자에 대한 서비스 강화인 만큼 생체인증은 편리하며, 강력한 인증수단이 될 수 있기 때문에 특별히 박 본부장이 관심을 갖는 부분이다. 생체인증은 지금까지의 2채널, 혹은 공인인증서 방식의 불편함, 보안카드로 인한 유실의 애로 등을 넘어설 수 있는 부분이기 때문에 저축은행들의 신뢰도를 높이고, 새로운 수요를 끌어 올 수 있는 견인 역할을 담당할 것으로 보고 있다. 
 
현재 저축은행중앙회는 차세대 프로젝트를 진행 중이다. 오는 2018년 2월 전후, 오픈을 목표로 하고 있는 만큼 하루하루 눈코뜰새없이 바쁜 하루를 보내고 있다. 전면 개편을 추진하고 있지만, 기본은 은행의 시스템 사상을 그대로 따르면서 미흡한 부분은 보충해 나갈 계획이다. 현재 금융 공동망 79개사, 전체 서비스 67개사의 저축은행들을 관리하고 있는 저축은행중앙회는 특히 저축은행들이 신상품을 만들 때 신속한 지원이 가능하도록 상품시스템에 만전을 기하고 있다. 
 
체계적이며, 고도화된 작업을 통해 영업 서비스에 차질이 없도록 할 계획이다. 이외에도 채널 다양화에 따른 EAI, MCI 개발과 여신시스템 고도화, 대출, 실행, 상환 등 일련의 과정에 대한 사후관리 작업에 대한 고도화가 이뤄진다. 
 
박욱현 본부장은 “최신의 IT 트렌드에 맞춰갈 수 있도록 하고 있으며, 서비스 수용이 원활하게 이뤄질 수 있도록 시스템 구조를 유연하게 가꿔나갈 것”이라고 말했다. 보안에 있어서도 전자금융 감독기준에 근거해 전체 저축은행 IT 시스템을 맞춰나갈 계획이다. 
 
 
 
 
< 저작권자 © CIOCISO 무단전재 및 재배포금지 >
방창완 편집국장의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
CIOCISO매거진 주최 제2회 IT 로드쇼 / 나주
2
interview ∣ 김상철 텔스트라코리아 지사장
3
Cover story ∣ AIA생명 김대일 부사장(운영본부장)
4
interview ∣ 송상엽 한컴시큐어 이사, 사이버시큐리티 사업1팀
5
interview ∣ 임종혁 에이치투오시스템테크놀로지(H2O) 대표이사
6
interview ∣ 구자동 케이사인 부사장
7
interview ∣ 박대성 라임라이트네트웍스코리아 지사장
8
interview ∣ 김계관 그리드원 대표이사
9
Cover story ∣ 강민석 흥국생명 IT실 상무
10
제15차 CISO컨퍼런스
신문사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
121-220 서울시 마포구 합정동 354-18 삼성전기 빌딩 별관3층  |  대표전화 : 02-2632-7561  |  상호명 : (주)씨미디어그룹
사업자등록번호 : 107-81-57633  |  대표자명 : 김영춘  |  통신판매업신고번호 : 제2008-서울마포-01059호  |  인터넷신문 등록번호 : 서울, 아03158
등록연월일: 2014년 5월 16일  |  제호: CIOCISO  |   발행·편집인: 김영춘  |   청소년보호책임자: 김영춘
Copyright © 2012 CIOCISO. All rights reserved. mail to webmaster@ciociso.com