기업마다 정보보호를 위해 많은 노력을 기울이고 있지만 아직도 기업 구성원들의 보안의식은 요원하기만하다. 최근 잇다른 보안사고로 기업에 막대한 피해가 가고 있어 기업은 대책마련에 시급해졌다.
이런 시기에 CIOCISO 매거진은 CISO들에게 최근 대두된 IT리스크를 대응하기 위한 전략을 제시하고자 CISO포럼 제2회 조찬 세미나를 지난 5월 22일 여의도 콘래드호텔에서 진행했다. 이번 세미나에서는 여러 금융기관, 공공기관, 기업의 CISO, CIO가 대거 참석해 성황을 이뤘고 구태언 테크앤로 법률사무소 변호사의 ‘Key Risk Factor로서 IT리스크 대응 전략’과 김영일 굿모닝아이텍 본부장의 ‘VDI 비용과 보안 두 마리 토끼를 잡는다’는 주제로 강연을 진행했다.

▲ 신설호 CISO 포럼 회장

신설호 CISO 포럼 회장은 “지난 3월 20일 CISO 포럼에서 북한의 해킹능력을 설명하고 우리의 IT 자산을 지키자는 말씀을 드린 것 같다”며 “공교롭게 그날 대한민국을 발칵 뒤집은 3·20 사태가 일어나 우리를 놀라게 했다”고 운을 띄었다.
신 회장은 “여전히 북한은 여전히 위협적이고 중국도 큰 걱정거리로 부상하고 있다”고 밝히며 “CISO 포럼이 각 계의 전문가가 모여 그런 위협으로부터 우리를 지킬 정보의 장이 되길 기대한다”고 인사말을 전했다. 

김영춘 CIOCISO 매거진 발행인은 “CIO와 CISO들이 정부와 교류할 수 있는 소통의 장이 많지 않다”며 “CISO 포럼은 공공기관, 금융기관, 제조산업, 서비스산업을 아우르며 대정부 정책을 이끌 수 있는 모임이 되도록 노력할 것”이라고 말했다.

  리스크 관리가 곧 기업의 성공요인

▲ 구태언 테크앤로 법률사무소 변호사

“현재 우리나라를 이끄는 기업 중에 IT가 멈추면 정상적으로 돌아가는 기업은 몇 안 될 것이다. 그만큼 IT는 기업에서 심장 같은 역할을 하고 있다. 그러나 모든 기업이 심장을 보호하는 노력을 기울이는가에 대해서는 의문점이 남는다.”
구태언 테크앤로 법률사무소 변호사는 현재 우리나라의 기업 보안 상황에 대해 질문하며 시작했다.
그에 발표한 바로는, 기업의 IT리스크 관리가 바로 기업의 주요 성공 요인으로 대두하고 있다고 전했다. 특히 고객정보 유출에 대한 관리는 기업에서 더 중요해졌다. 기업의 기밀정보는 ISMS(정보보호관리체계인증제도)나 자체의 관리로 위협을 통제할 수 있다. 그러나 고객정보는 PIMS(개인정보보호 관리체계 인증)을 통해 따로 관리되기 때문에 기업에선 두 가지를 같은 시선으로 바라보면 안 된다고 주장했다.
그는 이어 정부동향을 설명했다. 안정행정부는 2011년부터 개인정보보호법을 통해 온라인상 개인정보 수집을 금지했고, 올해부터는 오프라인으로 확대한다고 전했다. 또 미래창조과학부는 정보보호 법령을 강화, 특히 좀비 PC 방지법을 통해 좀비 PC 출현 시 금융기관이라도 인터넷을 차단할 권리를 부여된다고 설명했다. 또 금융감독원이나 방송통신위원회 역시 소비자의 정보권익을 보호하는 쪽으로 기조가 흐른다고 말했다.
구 변호사는 “보안은 언제나 위험성이 따르는 부서로 CIO와 CISO는 그 책임이 막중하다. 이렇게 중요한 문제에서 CIO와 CISO가 최고의사결정에 참여하는 것은 바람직한 현상”이라며 “기업이 진정한 보안을 이루고자 한다면 보안부서의 노력만으로 한계가 있다. 보안은 기업의 비전으로써 구성원 전체의 보안의식을 고취해야 한다”며 강연을 마쳤다.

비용과 보안을 위한 선택 VDI

▲ 김영일 굿모닝아이텍 본부장

이어 김영일 굿모닝아이텍 본부장이 ‘VDI 비용과 보안 두 마리 토끼를 잡는다’는 주제로 강연을 진행했다.
김 본부장은 “과거 기업에선 PC 하나만 관리했으면 됐다. 그러나 현재 휴대폰, 태블릿PC 같은 다양한 디바이스를 관리해야 한다. 데이터 또한 각각의 디바이스에 분산 저장돼 관리하기 어렵다”고 말하며 “기업의 관리자라면 VDI(데스크톱 가상화)를 통해 모든 데이터를 효과적으로 관리해줄 필요가 있다”고 말했다.
그는 중앙시스템에 가상머신을 만들어 다양한 디바이스를 이용한 스마트워크를 구성할 수 있다고 주장했다. 또 이를 각 구성원에게 제로클라이언트로 제공해 기업의 운영비용을 획기적으로 줄일 수 있다고 말했다. 실제로 현대중공업은 기존의 PC를 VDI환경으로 교체해 PC 1대 기준(5년)으로 515.000원을 절감했다고 밝혔다.
또 기존의 ID와 비밀번호만으로 정보보호가 쉽지 않다고 말했다. 이런 점을 개선하기 위해 OTP를 이용할 것을 주장했다. 그리고 OTP 생성기의 불편함을 개선해 스마트폰 앱과 문자메시지를 이용한 새로운 방법이 강구되고 있다고 전했다.
김 본부장은 “이제 PC를 관리하는 시대는 지났다. 클라우드 서비스를 통해 관리자가 모든 데이터를 통제할 수 있는 VDI가 필요하다”며 “VDI는 사용환경의 표준화를 통해 악성코드를 사저에 방지한다. 그리고 최악에는 신속한 복구가 가능해 정보유출을 방지하는데 탁월한 선택이 될 수 있다”고 강연을 마무리했다.

 

Q&A 구태언 테크앤로 법률사무소 변호사의 강연이 끝나고 참석자들의 질문 시간이 있었다. 아래는 질의응답 내용. Q: 사실 법적 규제가 과하다는 생각이 들 정도로 강화되고 있다. 반대로 이런 규제를 완화하려는 움직임은 없나? A: 현재 인터넷상에서 법적 규제는 정보통신망법에 따라 처리되고 있다. 이에 2000년부터 한국 인터넷기업협회가 설립돼 법적인 싸움을 벌이며 활약하고 있다. 실제로 제한적 본인실명제는 헌법재판소에서 위헌결정을 이끌어 내며, 제도 시행 5년 만에 효력을 상실시켰다. 그러나 오프라인 기업의 경우 이런 기능을 가진 단체가 없다보니 앞으로 보안이슈에 대해 상대적으로 위험에 처할 수 있다. Q: 회사의 정보책임자로서 직원들이 개인적으로 설치한 프로그램을 감시하기 위한 감시프로그램을 설치해야 한다. 이 경우 직원들의 사생활 침해와 연결되지 않는가? A: 모든 정보책임자에게 굉장히 중요한 문제다. 이미 국회와 MBC에서 직원의 PC를 감시를 위한 프로그램을 설치했다가 각각 국회의원과 기자들에게 거센 반발을 샀다. 그러나 이 경우에 업무용 PC를 본다고 모두 사생활 침해가 되는 것은 아니다. 사생활 침해는 감시하고자 하는 PC에 개인정보가 있어야 침해로 인정된다. 따라서 업무용 PC를 사생활용도로 쓴다는 것을 원천적으로 방지해야 함이 옳다. 하지만 이를 강압적으로 해결하기보다는 노동조합이나 사용자 또는 내부 직원들의 공감을 이끌어내는 것이 중요하다. 이것은 보안부서가 강압적으로 나선다고 해결될 일이 아니다. 오히려 보안부서는 모든 부서에 보안문화가 얼마나 성숙했는지 또 잘 지켜지는지에 대한 새로운 시각을 제시할 필요가 있다. Q: 많은 기업이 보안에 많은 노력을 기울이는데도 불구하고 보안사고가 일어난다. 이 경우 기업의 참작 수준은 어디까지인가? A: 기업이 사전에 보안에 많은 사전노력을 기울였는데도 불구하고 보안사고 일어났다면, 어느 정도 감면을 받을 수 있다. 하지만 이것도 판례에 따르면, 이러한 노력에도 식별정보와 연락처만 유출돼 1인당 20만 원의 배상판결이 났다. 이는 기업으로써는 엄청난 부담일 수밖에 없다. 보안사고는 마치 테니스 경기와 같아 사고가 터지면 사고 경로야 명확하게 밝혀지지만 사고 직전까지는 어디로 들어올지 모른다. 현재의 법적 기준에선 기업이 무조건 불리할 수밖에 없다. Q: 보안에 신경쓰는 많은 기업에 한 마디 부탁한다. A: 보안이슈에 가장 많은 관심을 있는 사람은 CIO, CISO, CPO이다. 그러나 그 밖에 C 레벨임원진들은 보안이 얼마나 위험한지 제대로 인식하지 못하고 있다. 따라서 정보책임자에 실질적인 행동을 할 수 있고 보안에 비전을 가지신 분을 자리에 임명하거나 보안책임자에게 더 많은 권리를 부여하는 것이 필요하다. 실제로 최근 대기업을 중심으로 보안임원직에 보안책임자 순환인사가 시작하고 있다. 보안인사가 아닌 일반임원을 임명함으로써 보안에 막중한 책임을 느끼게 하는 것이다. 결국, 보안이라는 것은 보안 책임자 혼자 막는다고 해결될 문제로 보는 것이 아니라, 기업구성원 전체가 노력해야 할 숙제로 인식이 점차 바뀌고 있다.