Cover story ∣ SC은행 김홍선 정보보안본부 부행장

즐겨찾기추가

2024.05.20 (월)

기상청 제공

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

ROUNDTABLE

Cover story ∣ SC은행 김홍선 정보보안본부 부행장

“은행권, 첫 전문 CISO로서 긍정적인 사례 만들 터”

방창완 편집국장 기자
등록 2014.11.28 10:17
조회수 2,200

Cover story ∣ SC은행 김홍선 정보보안본부 부행장

“은행권, 첫 전문 CISO로서 긍정적인 사례 만들 터”

지난 10월에, 국내 은행으로는 처음으로 보안 전문가가 CISO로 임명됐다. 보안 기업출신인 김홍선 부행장의 이번 행보는 앞으로 국내 금융업계에 적지 않은 영향을 미칠 것으로 보인다. 국내 최초로 보안업계 전문가가 은행의 CISO로 임명됐다는 상징적인 의미도 있지만, 앞으로 보안을 바라보는 국내 금융업계의 인식도 달라질 것으로 보인다.

SC은행의 이번 전문가 영입은 금융당국의 권고로 인한 형식적인 측면 보다는 실질적인 업무를 위해 보안 전문가를 영입함으로써 제대로 된 보안 의식을 고취하자는 의지가 담겨 있다.

방창완 편집국장 bang@ciociso.com


▲ SC은행 김홍선 정보보안본부 부행장

김홍선 부행장은 앞으로 제대로 된 보안문화를 은행에 이식시키기 위해 자신의 경험과 은행 내부의 인프라를 합쳐 선진적인 보안 프로세스를 확립해 나갈 계획이다.

김홍선 부행장은 “SC은행은 6천여명의 직원과 오래된 프레임웍이 존재하고 있는 만큼 규모도 크고, 적지 않은 리스크가 상존해 있다. 과거 IT 기업에 근무했을 때보다는 사뭇 다른 느낌이다. 비즈니스 프로세스와 인프라에 대한 관리, 규제기관과 협조하는 것이 앞으로 중요한 만큼 큰 사명감을 느낀다”고 취임 이후 소감을 전했다.

사실 과거에 안랩 등 IT 벤더에 있을 때는 규모도 작은 측면도 있지만, 기술 기업으로써 이노베이션을 고민하며, 무엇인가 만들어가야 한다는 생각이 강했다는 것. 하지만 이번에 새롭게 취임하면서 김 부행장은 전혀 다른 세상을 보고 있다. 은행의 기본업무와 매카니즘을 접하면서 새롭게 보안의 지평을 넓혀나가고 있다는 것이 그의 설명이다.

과거 벤더 시절보다 관점자체가 달라

김 부행장은 보안기업 출신 CISO가 자신밖에 없다는 생각 때문에 ‘무엇보다 잘 해야겠다’는 부담도 있지만, 다양한 커뮤니케이션을 통해 이런 초기의 부담과 어색함을 원활하게 풀어나가고 있다. 그는 “보통 보안이라고 하면 통제만을 생각하며, 업무에 방해가 된다는 인식이 있을 수 있지만, 많은 사람들의 참여와 커뮤니케이션을 통해 보안의 중요성을 인식시키고, 체계를 만들어나가는 것이 중요하다”고 전했다.

올해 SC은행 정보보안본부의 사명은 보안의식이 내부에 빨리 자리 잡을 수 있도록 정착시키기는 것이다. 이를 위해 김홍선 부행장은 올해와 내년, 몇 가지 목표를 세워둔바 있다. 장기적으로 인에이블러 역할을 위한 발판을 마련하기 위해 새로운 ‘보안 프레임웍’을 고민 중이다.

김 부행장은 “올해는 글로벌 관점에서 본사 정책과 맞춰가는 모습을 보이는 것이 필요하다. 글로벌 프렉티스를 위한 조율이 필요하다고 본다. 올해는 나라마다 규제 방식이 제각각 이기 때문에 서로의 입장을 이해하고, 정보를 공유함으로써 글로벌 위협에 대응하고 내부 프로세스를 확립하는 해가 될 것 같다”고 말했다.

내부보안 중요성, 강조해도 지나치지 않다


▲ “보안이라고 하면 통제만을 생각하며, 업무에 방해가 된다는 인식이 있을 수 있지만, 많은 사람들의 참여와 커뮤니케이션을 통해 보안의 중요성을 인식시키고, 체계를 만들어나가는 것이 중요하다”

그가 먼저 주목하고 있는 분야가 내부보안 체계이다. 내부자원에 대한 통제에 초점이 맞춰져 있지만 커뮤니케이션 틀을 활성화 시키기기 위해 사내외적으로 매달 CISO 매시지를 전달하고 있다. 보안에 있어서 주의해야 할 점이나, 정책과 관련된 것에 대해 이메일과 오프라인 교육을 통해 진행하고 있는 것. 임원진과도 지속적인 커뮤니케이션을 이루고 있다.

어느 정도 업무파악이 이뤄진 만큼 이제는 내부보안을 위한 구체적인 실행 방법도 진행 중이다. 전사적인 보안 캠페인 작업을 벌이고 있는 것. 공격에 대한 위협도 중요하지만, 내부 리스크가 더욱 중요한 만큼 리스크 관리를 체계화하고, 이를 정량화하며, 직접적인 캠페인을 벌이는 등 내부보안 단속에 적극적으로 나서고 있다.

CIO와의 역학관계는 ‘협업’

CISO로서는 CIO와 많은 일을 해야 하기 때문에 역할분담과 함께 협업이 중요하다는 점을 그는 강조했다. 정보자산에 대한 컨트롤과 통제방향을 정하고, 일관성 있게 가이드라인을 준수하는 것이 CISO의 몫이며, CIO는 자산운영 컨트롤러로서의 역할을 감당하는 등 서로간에 역할이 있지만, IT의 속성상 업무적으로 서로 충돌할 수 있는 여지다 있다.

이런 부분은 서로의 역할을 명확히 하고, 중첩될 수 있는 부분은 대화로 끊임없이 풀어나가는 노력이 필요하다는 것이 그의 생각이다. CIO와의 관계외에도 준법감시 조직과도 긴밀한 협력 관계가 필요하다. 사실, 보안은 모든 조직에 두루 퍼져있는 혈맥과도 같은 특징이 있기 때문에 관련 부서와의 협조 및 커뮤니케이션은 필수라는 지적이다.

CISO 권한에 있어서, 사실 CISO가 제대로 일을 할 수 있도록 권한이 충분히 주어져야 한다는 것이 그의 생각이다. CIO와 CISO의 분리는 이뤄져야 한다는 것. 국내 금융기업의 경우 글로벌 기업에 비해 권한이 적다는 것이 그의 생각이다.

분리가 돼야만 제대로 된 통제가 이뤄진다는 것이다. 현재 금융환경이 시시각각 바뀌어가고 있고, 다양한 서비스와 트렌드 변화로 인해 금융 프로세스 구조가 상당히 복잡해 졌다. 기존의 대면 채널외에 온라인 및 모바일 뱅킹 등 비대면 채널에 대한 비중이 갈수록 높아지고 있다. 이런 환경에서는 외부 침입이나 공격형태도 다양해지고, 입체적으로 공격이 이뤄지고 있기 때문에 창의적인 방어와 보호가 이뤄지기 위해서는 독립부서로서의 위상을 확립해 나갈 필요가 있다는 것이다.

보안의 힘은 ‘통제력’

김홍선 부행장은 “사실 금융기업의 중요한 보안요소는 ‘통제력에 대한 의지’가 중요하다”며 “의지력이 없다면 공격이 들어왔을 때 불가항력으로 당할 수밖에 없다”고 말했다. 이런 통제력은 의지에서 나오며, 이런 의지를 키우기 위해 보안부서의 독립된 위상이 선행돼야 하고, 그 기반 하에서 각 부서간의 협업과 고민을 같이 풀어나가는 전략이 필요하다는 것이다.

또한 보안위협은 정량화를 통해 가시성을 확보하고, 예측 가능한 환경을 조성해 컨트롤하는 것이 중요하다고 말했다.

그는 “보안위협에 대해 운영 리스크와의 상관관계를 따져보고, 이를 정량화하는 노력이 각 부서별로 이뤄져야 한다. 인상적인 것은 글로벌 기업의 경우, 리스크 프레임웍이 비교적 잘 갖춰져 있어 대형사고를 막을 수 있는 것 같다”고 말했다.

그는 보안 운영에 있어서도, 기술적으로 복잡해 질 수 있지만, 이를 경영적인 측면에서 풀어내는 지혜가 필요하다고 강조했다. 경영적 입장에서 내재적 힘을 키우기 위해 지속적인 훈련이 필요하며, 지점 등 다양한 채널에 대한 교육이 병행되어야 한다는 것.

김홍선 부행장은 “CISO 업무로 보면 대부분 보안 컨셉이 비슷하지만, 중요한 것은 업무의 어떤 요소 요소에 암호화나 접근통제 요소를 끼워 넣고 배치시키는가가 중요하다. 이런 자사만의 통제 방식을 만들어내고, 이를 지속적으로 모니터링 하는 것이 필요하다”고 설명했다. 결국 기존 프로세스에서 보안 요소를 어떻게 녹여내는 가가 관건이라는 것.

이것이 경영적인 측면에서 보안을 바라봐야 한다는 김 부행장의 지론이다. 너무 기술적인 측면만을 바라보는 것은 지엽적일 수 있다는 견해이다. 회사의 보안 취약점을 분석하고, 제대로 관리할 수 있는 포인트를 찾는 것이 선행돼야 한다고 그는 강조했다.

보안의식의 생활화 필요

SC은행에는 내부 및 외부직원이 혼재해 있으며, IT에 종사하거나 IT에 종사하지 않은 직원들이 섞여 있다. 은행 업무를 오래 알고 있는 사람도 있고, 기술에 편중된 인원도 있다. 보통 업무를 파악하려면, 이 업무가 어떻게 시작됐는지 과거를 살펴봐야 한다. 보안을 위해서는 IT 업무를 잘 아는 사람도 필요하지만, 은행 업무를 잘하는 사람이 중요하다고 그는 강조했다.

김홍선 부행장은 “서로 입장차가 다른 사람들이 혼재되어 있는 조직에서 보안이라는 목표를 실행하기 위해서는 기술적 측면도 중요하지만, 내부 업무를 잘 파악하고 있는 사람이 내부 보안에 많은 도움이 된다. 일의 경로를 알고 있는 사람이라면 취약점이나 리스크 포인트를 정확히 찾아 낼 수 있다”고 말했다.

결국은 IT 보안과 업무의 매커니즘을 잘 결합하는 것이 보안업무의 효율적인 관리방법이며, 무엇보다 이것이 실제 실행되기 위해서는 ‘일에 대한 자부심’을 느낄 수 있도록 사람에 대한 관리도 병행돼야 한다고 그는 강조했다.

디지털 리딩뱅크 도약을 위해

이제는 IT가 은행의 핵심 경쟁력으로 자리 잡았다는 것이 그의 생각이다. 모바일폰과 테블릿 보급이 확산되면서 IT가 이제는 대중적인 서비스로 보편화됐다는 것. 김홍선 부행장은 “IT로 비즈니스를 혁신하기 위해서는 보안이 중심이 돼야 한다”며 “SC은행이 디지틀 리딩뱅크를 지향하는 만큼 앞으로 핵심 경쟁력으로 IT가 성장하기 위해서 이를 안전하게 수행해주는 긍정적인 보안 환경을 조성하는데 이바지 해 나갈 것”이라고 말했다.

<김홍선 부행장>

김 부행장은 서울대학교 전자공학과에서 학사와 석사를 마친 뒤 미국 퍼듀대학교에서 컴퓨터공학으로 박사학위를 받았다. 삼성전자와 미국 TSI 근무 이후 안랩 등 정보보안 산업에 종사해 왔다. 대통령 경제자문위원, 한국정보보호산업협회장, 고려대학교 및 한양대학교 겸임교수를 역임했다.

방창완 편집국장 기자의 전체기사 보기