정보보호 거버넌스 핵심은 ‘보안 강화와 안정’ CEO 등 관심 확대 위해 일정한 룰 필요 BizIT는 지난 4월 19일 금융권 정보보호 거버넌스 간담회를 개최했다. 개인정보보호법 계도 기간이 3월 29일 끝나고 개인정보 취급 방침 개정안이 5월에 시행되는 등 정보보호에 대한 관심이 확산되고 있어 IT 시각이 아닌 정보보호 차원에서 거버넌스를 다루기 위해서다. 금융권의 경우 다른 데에 비해 개인정보보호를 비롯한 정보보호 체계를 잘 갖추고 있으나 거버넌스 측면에서는 기존과 다른 생각도 필요하다는 주장도 많이 나오고 있는 추세다. 이번 간담회는 거버넌스를 전사 차원, IT, 정보보호 거버넌스 등으로 구분할 때 현 정보보호 거버넌스는 금융권 특성에 따라 새로운 시각에서 접근할 필요도 있다고 판단했다. 또한. CSO(행안부), CISO(금감원) 등 정보보호 관련 업무 담당자에 대한 용어의 차이를 비롯해 CIO가 CSO 또는 CISO를 겸직하는 것은 부자연스럽다는 의견도 있어 이 같은 내용을 다루고자 했다. 특히 이 같은 의견이 정보보호를 전사 차원 아니라 IT 시각에서 바라보기 때문에 생긴다는 주장도 있어 유익한 내용이 나왔다. 이날 간담회에는 최한묵 금융감독원 IT감독국장, 황만성 IBK기업은행 부행장, 서춘석 신한은행 IT개발본부장, 김경수 KEB외환은행 IT본부장, 김홍수 KB국민은행 IT보안관리부장, 김홍선 안랩 사장, 박태완 JS시큐리티 대표, 김영춘 씨미디어그룹 대표 겸 BizIT 발행인 등이 참석했다. 간담회는 주제 발표와 패널 토론 방식이 아니라 참석자들이 자유롭게 생각과 의견을 밝히는 형태로 진행했다. 기사에서는 참석자들의 소속과 직함을 빼고 이름만 표시했다. 김종영 편집장 sisacolumn@ciomediagroup.com 김영춘 바쁘신 와중에 참석해 주셔서 감사드린다. 짧은 시간이지만 좋은 토론이 됐으면 좋겠다. 최근 CIO미디어그룹은 CISO 이슈가 떠오름에 따라 관련 교육과정을 준비하고 있고, 이에 따른 다양한 액션들을 준비하고 있다. 6월에는 컨퍼런스도 개최할 예정이다. CISO가 안정적으로 정착이 되고 정보보안이 안정화되도록 하려 한다. 오늘 이 자리도 이러한 과정의 하나로 볼 수 있는데, 이번 간담회가 좋은 기회가 되기를 희망한다. 김종영 간담회에 참석해 주신 데 대해 다시 한 번 감사드린다. 오늘 마련한 간담회는 정보보호 측면에서 거버넌스를 조명해보자는 것이다. 거버넌스라는 말은 다양하고 폭넓게 쓰고 있고, 특정 상황에 한정해 의미를 부여해 사용하는 경우도 있다. 오늘은 정보보호라는 측면에서 거너번스의 의미를 짚어봤으면 한다. 우선 이 부분에서 거버넌스의 의미나 필요성 등에 대해 말씀을 해주셨으면 한다. 최한묵 지난해 농협, 현대캐피탈 등 보안사고가 난 이후 통제권이 필요하고 이를 위한 기본과 원칙이 필요하다는 생각이 있었다. 거버넌스란 말은 너무 거창한 것 같은데, 일단 뭔가 룰을 만들자는 게 기본 취지였다. 또 금융감독원이 하는 게 낫겠다는 얘기가 있어서 금융위원회와 함께 5?? 룰을 만들게 됐다. 이 룰은 IT 입장에서는 투자할 때 근간이 되는 자료와 근거를 알 수 있게 하기 위한 것이다. 정보보호는 방통위나 행안부 등 여러 군데에서 한다. 우리는 주로 금융기관의 안정성이나 고객 부분에 치중했고, 행자부는 전체적인 큰 맥락에서, 방통위는 방송통신 쪽을 하다 보니까 약간씩 중첩되거나 과다하게 하는 부분들이 있다. 시간을 둬야 하겠지만 결과적인 목표는 국민들의 정보와 재산을 보호하는 것이다. 이는 우리 측면, 그러니까 금융기관의 안정성 측면에서 말하는 것이다. 이 자리에 다른 행자부나 방통위가 함께 있다면 보다 큰 맥락을 알 수 있었을 것이다. 요즘 모든 은행 등에서 정보보호에 대해 불안해하고 있다. 그런데 이제는 금융업이 없어졌다는 말을 한다. 그 대신 IT를 접목한 금융유통업만 남았다고 얘기를 한다. 여하튼 거버넌스의 목표는 CEO들이 관심을 두도록 하는 것이다. CISO 제도도 마찬가지인데, 업계에서 잘 수행해줘야 한다고 생각한다. 서춘석 거버넌스는 앞에서 다 말씀했지만 우리는 감독원 등에서 하는 정책을 충실히 따라야 하는 건 당연하다. 그게 아니더라도 CEO나 경영진들도 이제는 정보보호에 대한 개념이 그 전보다는 많이 확대가 돼 있다. 은행이 고객의 자산을 관리한다고 했을 때 돈만이 아니라 정보도 자산이기 때문에 그것을 보호해줘야 한다. 다양하게 여러 가지 활동을 하는데, 특히 보호 측면에서 여러 투자를 해야 한다. 예전에는 투자하면 그에 상응하는 결과가 있는데 정보보호는 그런 게 없다. 그래서 예전에는 우선순위가 밀리거나 부족했는데, 이제는 작년 이후로 많이 달라졌다. 투자도 보다 적극적이 됐고. CEO와 행장님도 과거에 IT를 해서 그런지 몰라도 굉장히 적극적이고 인식이 달라졌다. 그만큼 우리의 책임도 커졌다. 거버넌스가 아니더라도 정보보호 측면에서 많은 활동들을 하고 있다. “CEO 등 관심 높여 보안 강화 위해 5·5·5 룰 필요했다” 최한묵 우리도 작년에 룰을 만들면서 거버넌스를 어디까지 해야 할 것인가를 놓고 고민을 했는데, CEO의 관심을 높일 수 있도록 하는 데에 최우선을 놓고 이를 위해 책임을 강화했다. 이는 내부 통제를 강화하는 것인데, 기본적인 룰을 지키라는 것이다. 하나SK나 한화 같은 데를 보면 룰은 기본적으로 돼 있는데 실제 운영을 안 하는 경우가 있다. 5?? 룰을 만들어 강제성을 부여하고 CEO 책임을 강화한 것도 이런 배경 때문이다. 최고의 효과를 얻을 수 있는 게 처벌이다. 과거에는 IT 사고가 나도 처벌이 없었다. 이제는 중징계로 가고 있다. 보통 금융 사고는 거의 의도성이 있다. CEO가 관심을 갖고 조직을 확대하고 투자를 해야 한다. 어떤 면에서는 IT 하는 분들이 안됐다는 생각이 들기도 하지만 중요한 사항이니까 어쩔 수 없다. 김홍수 정보보안 거버넌스를 생각해보면 과거부터 금융기관이 정보보안에 대해 진행해왔던 과정들이 있다. 과거에는 메인프레임 중심으로 하다가 서버, 네트워크 등으로 확대해 갔는데, 이제는 좀 조직적으로 문화적으로 확산해보자는 것이다. 그동안은 국제표준에 대한 ISO 27001 체크리스트에 입각해서 많이 진행해왔다. 그런데 작년 농협 사태가 큰 계기가 됐다. 금감원, 금융위, 국회 쪽에서도 입법 부분에서 신경을 쓰고 있고 때문이다. 시기적으로 어찌 보면 정보보호를 진행해왔던 과정과 맞아떨어지는 듯하다. 이제는 거버넌스 관점에서 해야 한다고 생각하고 있다. 그래서 법을 준수하는 것과 위험관리를 통해 모니터링을 하는 부분 등 두 가지가 잘 조화를 이루도록 해야 한다. 특히 법규 준수 완료 여부 등과 같은 부분들을 시스템화해서 은행 내부에 확대해 직원들이 지킬 수 있게 해야 한다. 차후에는 은행 비즈니스나 대외 은행과 이해관계 있는 고객들까지 사전에 접근해서 비용을 줄이거나 고객에게 이익을 주는 방식 식으로 발전해 나가야 된다고 생각한다. 법규 준수와 위험관리를 통한 성과를 측정할 수 있어야 한다. 최한묵 성과측정은 어떻게 하는가? 김홍수 정보보호 시스템을 구축한 후 운용하는 데는 비용과 시간이 들어가는 경우가 많다. 내부적으로는 계정권한관리 등이 중심이다. 빠진 것 없이 100% 다 했을 것이라 생각하는데도 들여다보면 허점이 많이 있을 수 있다. 이런 허점을 채우는 형태가 많다. 앞으로는 이 같은 문제를 해결하는 데 주력해야 한다고 생각한다. 법규나 제재 수위가 강화되었기 때문에 적극적으로 대응해야 한다. 김종영 정보보호 거버넌스의 현재 상황이 어떤지 짚어볼 필요가 있을 듯하다. 해당 회사를 포함해 참조가 될 수 있는 해외 사례 등을 포함해 말씀해 달라. “현업 부분 정보보호 사각지대 관련 거버넌스 관심 키워야” 서춘석 IT 거버넌스는 IT를 중심으로 체계를 정립하면 되는데 정보보호 거버넌스는 현업과 긴밀한 연관이 있다. 정보를 수집하고 관리하는 것이 중요해졌는데, 현업에서는 실제 비즈니스를 하면서 고객 정보를 다루게 된다. 그렇지만 이 부분에 대한 투자는 우선순위가 밀렸고 이에 따라 강력한 룰을 당국에서 만들었다. 이제는 보안사고가 나면 CEO나 행장도 자리를 잃을 수 있게 됐기 때문에 투자를 많이 해야 하는 상황이 됐다. IT 관련 보안사고는 사고에만 초점을 맞추지 말고 실제 정보를 수집하고 관리하는 것도 간과하면 안 된다. IT가 아니라 수기로 하는 부분도 영업점에서는 아직 많이 있다. IT 정보보호 체계는 IT 거버넌스를 기반으로 하면 되는데, 실제로 마케팅을 하고 민감 정보 부분은 거의 사각지대에 있다고 생각한다. 그런데 민감 정보가 많을수록 고객과의 친밀감을 높일 수 있는데, 이 부분에 굉장히 제한을 많이 하고 있다. 현재는 IT 관점에서만 정보보호를 얘기하지만 실제 정보보호는 현업 부분에서 정보보호를 어떻게 해야 하는 것인가에 대해서는 간과하고 있다. 이 점이 어렵다. 책자를 찾아봐도 없다. 황만성 CEO 등 경영진 측면에서 보면 보안사고는 앞으로 집단소송 법제화와 전자감독규정 개정에 따라 경영층의 책임이 커지게 됐다. 민감 정보 유출은 은행의 존망이 좌우할 수도 있다. 은행 간 유치 경쟁 심화로 고객 정보 유출 위험이 커질 수도 있으므로 이에 대한 대책도 강화할 필요가 있다. CIO의 경우 IT 업무는 물론 정보보호 업무에 필요한 의사결정과 책임을 겸하게 돼 IT와 보안의 균형을 유지하고 정보보호 역할과 책임을 강화하기 위한 정책도 수립해야 한다. CISO와 조직을 마련하는 것 등이 관련된다고 하겠다. 박태완 정보보호 거버넌스라고 할 때 제가 명확하게 말하고 싶은 것은 있다. ‘정보’ 보호냐 ‘정보시스템’ 보호냐를 구분하려는 경향이 많다. 정보시스템 보호라는 것은 IT를 보호하면 자연스럽게 이뤄진다고 생각한다. 그런 경우 CISO라는 직함이 적합할 것이다. 그런데 대부분의 정보는 전자적인 형태가 80%를 차지하고 20% 정도는 수기로도 존재하고 있다. USB로 PC 밖으로 옮기는 것은 IT 책임이라고 생각하지만 USB를 밖으로 갖고 나가게 못하게 하는 것은 누구의 책임이냐고 물으면 다들 멍해 한다. 정보보호는 물리적인 정보보호까지 포함한 개념이라고 생각한다. 사고는 반복적으로 일어난다. 임원들에게 물어본 적이 있다. 아랫사람에게 지시할 때 가장 많이 쓰는 단어를 물어보면 ‘근본대책을 세워라’는 것이다. 최초 사건 때도 똑같은 지시를 했을 것이다. 근본대책을 세웠음에도 반복적으로 사고가 발생한다. 이런 측면에서 보자면 체계적으로 관리하자는 프레임웍의 전체적인 틀을 거버넌스라고 말할 수 있을 것이라 생각한다. 거버넌스를 세우면 문제가 안 생기나? 안 생길 수는 없다. 그러나 빨리 대응하고 똑같은 문제 일어나지 않게 학습효과를 발효할 수 있다. 내가 ISO 위원인데, 거버넌스는 미국식 영어 표현, 영국식 영어로는 매니지먼트다. 두 나라는 서로의 방식을 수용하지 않기 때문에 표현은 다르지만 같은 뜻이다. 논리적이고 합리적인 뭔가가 빠지지 않는 틀, 이게 거버넌스라고 생각한다. IT와 IT 아닌 것의 경계와 책임에 대한 정책 필요 김홍선 전적으로 공감하는데, 컴플라이언스는 IT가 할 수 없는 것, 그것은 현장에서 해줘야 하는 것이다. 현장과 부서에서는 영업 활동을 해야 하니까 계속 데이터가 생성될 수밖에 없다. IT 부서 일이 아닌데, 무조건 IT만 바라본다. 정보보호는 솔루션만 많이 사면 해결되는 게 아니다. 개인정보 유출은 누군가의 PC에 정보가 내려갈 수밖에 없는 상황에서 생기게 되는데, 이것은 굉장히 큰 홀이고 실제 취약점도 여기서 많이 발생한다. 때문에 중요한 자산(Asset)이 무엇이고 그렇지 않은 것을 구분하는 게 중요하다. 안랩은 700명이 넘고 공격을 많이 받는 곳이다. IT 중심으로만 생각하면 규제준수(Compliance)가 해결이 안 되는 것 같다. 그래서 다음 단계로 넘어가야 할 시기, 즉 변화가 필요한 시점이라는 생각이 든다. 서춘석 정보보호에 초점이 맞춰지면서 요즘 기업들이 솔루션을 사들이고 있다. 그런데 예전에도 신용정보관리라는 게 있었다. 그런데 지금은 다 IT로만 생각하고 신용정보관리의 의미가 없어지는 것이 문제다. 사고로 100만 건이 유출됐는데, 그러면 그게 어떻게 나갔는지 시시비비를 따져야 한다. 그런데 이게 수기로 나갔는지 메일로 나갔는지 파악하는 게 쉽지 않다. 무조건 IT 문제라고 보는 것도 어려움이 있다. 누구 책임이냐, 어떻게 할 것이냐의 문제가 남는다. 우리도 USB 복사를 막고 영업장 PC에는 저장도 못하게 10M 밖에 안 준다. 시스템적으로만 하도록 돼 있기 때문에 내부 직원을 의심하는 등 걱정을 하고 있다. 그런데 사실 화면을 사진으로 촬영하면 어쩔 수 없는 것 아닌가. 지금은 이런 책임 부분들에 대한 기준이 필요하다. 무조건 IT 잘못이 아니기 때문이다. CEO도 걱정을 많이 하고 CIO도 걱정을 많이 하는데, 그런데 모두 IT 책임으로 생각을 해버린다. 신용정보관리로 관리하던 시절에는 정보보호 업무를 현업에서 관리했다. 오히려 현업에서는 인식이 후퇴한 셈이다. IT에서 이렇게 저렇게 해야 된다고 아무리 얘기해도 현업은 관심이 없다. 그런 측면에서도 현업과 IT 부분의 범위나 기준을 잘 정해서 현업의 인식이 크게 올라갈 수 있게 하는 방법도 나와야 하지 않느냐 건의하고 싶다. “밑 부분 안 맞는다고 징계하는 게 아니라 반영해서 고쳐나갈 것” 최한묵 우리도 다 공감하고 있다. 왜 IT만 하느냐는 얘기들 많이 한다. 작년 큰 두 사건이 기본적으로 발생했던 원인은 IT 관리상 나온 문제다. 우리한테 유권해석이 많이 온다. 모 카드회사에서는 전 지점에서 고객들이 등록이 하면 중앙집중식으로 돼 있으니 고객지원에서 모든 정보를 다 본다. 그걸 처리하고 관리하는 건 다 IT지만 그걸 최종적으로 보는 건 IT인가? IT가 아니다. 우리도 딜레마에 빠져 있다. 이제 모든 것들이 IT를 거치지 않고는 안 된다. 큰 중심은 IT로 가져가더라도 영업관리나 관리 측면에서 파생되는 부분은 규제준수, 내부통제 관점에서 봐야 한다. 과거에는 신용정보관리가 다 했었다. 하지만 요즘에는 책임이 모호해서 같이 하자는 인식이 많은 것 같다. 구체적인 룰을 만들려다 못했는데, 금융기관별로 다르고 중소기업별로 다르기 때문이다. 예전에는 단말기까지 다 확인하라고 했었다. 그랬더니 기업들은 감독원에서 다 하라는 대로 다 했는데 사고 터지니까 우린 죄가 없다 하는 식으로 나와서 이제는 최소한의 가이드라인을 만드는 쪽으로 방향을 선회했다. 아직도 어느 부분까지 체크를 해야 하는지 고민이다. 사고가 나면 IT뿐만 아니라 우리가 같이 조사를 나간다. 염려하고 있는 부분도 알고 있다. 처음 만드는 것이라 좀 어려운데, 그래도 현장에 제일 근접한 것을 만들자고 해서 다른 외부기관과 협력해 두 달 동안 만든 것이다. 탁상공론이라고 두들겨 맞을까 봐서다. (웃음) 앞으로도 계속 업데이트 할 예정이다. 앞으로 기업들에게 룰을 어디까지 정했는지 물어볼 것이고, 미흡하면 더 만들라고 할 예정이다. 1년에 한 번씩 경영실태 평가를 한다. 건전성 검사부터 IT검사까지 하는데 IT 부분을 20%까지 상향했다. 굉장히 의미 있는 상향이다. 건전성 평가는 또 예금보험료의 차등지급 부분과 연계돼 있다. 현장 생각을 하고 있고 계속 관련 부서들과 얘기하고 있다. 6월말까지는 내용이 나올 것 같다. 작년 전자금융법이 굉장히 강화됐다. 작년에는 사고가 너무 민감해서 아무리 강화를 해도 수용하는 분위기였다. 이제는 버전업해서 조정할 것이다. 그래도 기본 구조는 다 갖췄다고 본다. 현재는 크게 만들었다. 밑에까지 들어가면 맞지 않기 때문이다. 밑 부분이 안 맞는다고 징계하는 게 아니라 반영해서 고쳐나갈 것이다. 황만성 기존 보안 업무가 IT 영역별로 단발적인 보안시스템 구축에 중점을 뒀다. 하지만 앞으로는 IT와 비즈니스를 전반을 넓게 조망하고 대응하는 정보호보관리체계와 로드맵을 만들어 보안정책과 보안시스템을 구축하고 운용해야 한다. 이행 여부의 지속적인 점검 등 변화관리가 필요하기 때문이다. 박태완 전적으로 동감한다. 외국금융기관에 있었는데, 국내와 비교해 보자면, 첫째 왜 감독기관이 하라고 해야 하는가, 둘째 왜 국민 편만 들어주는가에 대한 것이다. 외국에선 감독원의 법이 최소이고 그 이상 금융회사가 해야 한다는 식이지만 한국은 감독원의 법만 지켜주면 된다는 식이다. 또 국민들이 비밀번호를 단순하게 관리한 책임도 있는데, 이를 무조건 회사의 책임으로 돌리는 것도 바람직하지 않다. 앞으로는 고객이 똑똑해져야 한다. 인터넷뱅킹 사고가 난다고 해서 은행의 수익이 줄지는 않는다. 그러니까 안 하는 것이다. 화만 내고 실제로 조직에 마이너스 효과를 주지는 않기 때문이다. 하지만 불량식품 같은 경우는 음식 사고 터지면 다음날 당장 매출 떨어진다. 감독원이 대국민 홍보를, 비밀번호는 이렇게 하고, 이거 안하면 여러분 손해다, 이런 것을 해야 한다. 국민의 전체적인 보안 수준을 높이는 방안이 더 중요하다. 감독원만 애쓰는 것보다 나을 것으로 생각한다. 서춘석 그동안 금융기관이 정보보호에 대해서 등한시한 건 아니다. 감독원이 시키지 않아도 할 건 다 했다. 사실은 그렇지 않다. 사고가 터지니까 부각된 것이다. 인력 부족 때문에 소홀할 수 있었다는 점은 인정할 수 있는 부분이라 생각한다. 박태완 예전에 보안컨설팅을 나갔을 때 한 영국 친구는 한국 사람들이 ‘Me Too Policy’라는 말을 많이 한다고 지적했다. 법이 강제하니까 혹은 다른 곳에서 하기 때문이라는 이유가 많다는 것을 지적한 표현이다. 우리나라에 최신 솔루션이 출시되면 제품 팔러 가는 곳은 몇 곳으로 정해져 있다. 최초로 제품을 사는 데는 정해져있다. 다 보고 따라한다. 은행들이 자사 은행의 정책 방향에 근거해서가 아니라 다른 곳에서 어떻게 하는지를 보고 결정을 한다. 모난 돌 정 맞는 한국적 풍토와 금융기관의 보수적인 특성이 합쳐져서 그런지 모르겠다. 김홍수 작년 농협 사태 이후 보면 금융기관 전체의 문제가 아니라 개별 금융기관의 문제라는 데는 공감한다. 전자금융은 3시간 내로 복구하면 된다는 규정이 있다. 다른 금융기관도 마찬가지겠지만 최대한 시간을 앞당기도록 하고 있다. 우리도 1시간으로 하고 있다. 사실 IT 관련한 개발이나 시스템 구축 사업이 보안이 관련 안 된 데가 거의 없다. 우리가 제도화해 보안부터 확인해서 사전에 IT와 협의를 한다. 감독기관의 감독을 받지만 정확하게 인지하고 가야 되는 것은 맞다. 또 그 이상으로 해야 한다. 은행도 영속적으로 살아남아야 하는 곳이기 때문이다. “국내외 수준 비교시 전산화 수준을 평면으로 보는 것은 곤란” 김경수 아까 박태완 대표의 말은 편협한 생각이라고 본다. 실사를 가서 들었다는 그 말은 그 사람이 잘 모르고 하는 개인의 사견일 수도 있다. 실제로 인터넷뱅킹이 발전할수록 보안 부분은 할 게 많아진다. 과연 외국 기업들이 우리 수준까지 왔느냐를 살펴야 한다. 아직은 아니라고 본다. 그들이 규제준수 측면에서 우리보다 뒤져 있을 것이다. 작년, 그리고 재작년에 외국계 은행과 함께 호주 쪽에서 3일 동안 실사를 받아봤다. 우리 인터넷뱅킹 얘기를 하니까 그 사람들은 이해를 못한다. 도리어 그런 수준이냐고 반문한다. 그럼 그런 높은 IT 수준에서의 보안 문제하고 아래쪽의 보안 수준이 어느 쪽이 나은 것이냐 봤을 때 어느 쪽인가? 전산화 수준을 보지 않고 평면적인 수준에서 말할 수 없다. 박태완 제 말을 오해하신 것 같다. 국내 기업들에게 ‘왜 방화벽을 세웁니까’, ‘왜 보안카드 도입합니까’라고 물어보면 담당자들이 이런저런 취약성 때문이라는 말을 하는 게 아니라 다른 데서 하니까 한다는 말을 해서 드린 말씀이다. 김경수 그런 단편적인 사실로 국내 금융기관이 이렇게 가고 있다고 하는 것은 굉장히 위험하다고 얘기한 것이다. “IT의 고민은 보안과 성능의 이율배반적 상황” 서춘석 IT 하는 사람들의 가장 큰 애로사항이 뭐냐 하면 워낙 채널이 다양해져서 이거를 안 쫓아갈 수는 없는데 고객들의 편의성을 추구하다 보면 보호가 약해지고, 그렇다고 보안이 중요해지니 보호 쪽을 강화하려면 또 성능이 느려져서 편의성이 줄어드는 것이다. 이율배반적인 것이다. 감독원에서야 좀 늦어져도 보안이 중요하다 하겠지만 은행 입장에서는 고객들의 불만이 많기 때문에 상황이 똑같지 않다. IT 개발 부담도 골치 아프지만 다양한 종류의 기기를 수용할 수 있게 해달라는 요구도 골치 아프다. 다른 것들은 괜찮다. 예산 7%도 괜찮다. 그런데 인원 맞추는 게 너무 힘들다. 전체 임직원의 5%를 의무화했지만 이 공통분모가 항상 변한다. 그래도 IT 입장에서는 인원을 많이 확보하니까 좋긴 하지만 IT 중 또 5%를 정보보호 인원으로 구성하는 것은 어려운 일이다. 소수로도 할 수 있는데 머릿수를 채워야 하니까 부담스럽다. 이런 면에서 보면 인력 문제는 개선이 필요할 것 하다. 예산은 많이 써도 상관없다. 최한묵 처음 이 룰을 도입했는데 엄청나게 많은 이의 제기들이 들어왔다. 우리가 법을 만들 때 공청회도 하고 의견을 들어봤는데 마지막에 나온 말은 소속감이 없다는 것이었다. 한 대형 증권사에서 문제가 생겼을 때 IBM이 잘못이라는 얘기가 나왔다. 그럼 어느 정도 인원이면 가장 책임감 있고 소속감 있게 할 수 있느냐를 물어봐서 나온 수치가 5%였다. 그래서 나중에는 강제가 아니라 권고사항으로 빼버렸다. 그러나 앞으로 기업들이 이를 안 지키면 법으로 가겠다고 했다. 권고사항이긴 하지만 지키지 않을 경우 평가는 나빠질 수 있다. 서춘석 5%라는 수치는 맞는 것 같은데 융통성이 있어야 한다. 규모에 따라 차등을 뒀으면 좋겠는데 계속 일괄적으로 5%를 지키도록 하는 것은 곤란하다. IT 개발인력이 늘어나는 것은 괜찮은데 보안 인력이 일률적으로 5%로 늘어나니까 효율성이 떨어지기 때문이다. 최한묵 우리가 고민하고 있는 부분이다. 작은 규모라도 최소 5명은 두라는 입장이다. 그리고 큰 곳은 5%가 안 돼도 괜찮다 싶으면 그 이하로 해도 된다고 얘기했다. 그런데 시작 시점부터 방침을 공식적으로 뒤집으면 신뢰성 문제가 있는 것도 사실이다. 그러니 좀 기다려 달라. 곧 업데이트 하겠다. “사고 자체보다 사후 대책 위한 정보 공유 필요” 김홍선 개발 측면에서 봤을 때 소프트웨어 개발에 있어서 많은 문제가 생긴다. 개발에 있어서 설계 단계에서의 보안에 대한 부분이 없다. 여기서 막아줘야 제일 깨끗한 건데……. 물론 그렇다 해도 100% 완벽하지는 않기 때문에 취약점이 생길 수 있다. 최근 사이버공격은 진짜 위협적이다. 장기적이고 지능적이다. 아무리 인력이 많아도 악성코드를 분석할 수 있는 사람이 없으면 안 된다. 그런데 이것을 할 수 있는 사람이 우리나라에는 많지 않다. 몇 년을 두고 인재를 길러야 한다. 다른 나라도 그런 인력 부족하기는 마찬가지일 것이다. 사람 수도 중요하지만 사람의 능력도 중요하다. 관련 업무의 콘텐츠에 대해서도 좀 생각해보는 게 좋다고 생각한다. 현장에서 느낀 것 중 하나는 침해사고는 날 수 있는데 많은 기업에서 그냥 덮는다는 점이다. 우리가 포렌식을 나가면 IT 문제는 다 잡힌다. 미국은 포렌식 들어가면 모든 시스템을 정지(freezing)시킨다. 그러나 우리나라는 나가면 다 증거인멸을 위해 하드를 지워버린다. 그럼 맥락(context)이 없어지니 큰 허점(hole)이 생겨버린다. 문제 있으면 불이익이 생길까봐 협조도 안 한다. 따라서 허점을 발견을 못하면 다음 번 침해사고는 또 나올 수밖에 없다. 이런 것을 정부에서 정책적으로 세워줘야 한다. 침해사고는 어디서나 일어날 수 있다. 사고 자체를 두려워하기보다 그 이후를 대처 방안에 더 중점을 두어야 할 것 같다. 김영춘 우리나라는 경비 못한 것에 대해서는 혼쭐을 낸다. 그러나 잘한 것은 보상(incentive)이나 호의(favor)가 없다. 채찍만 쓸 게 아니라 보안을 잘했다는 것을 검증한다면 당근을 주는 것도 생각해봐야 한다. 박태완 법적으로 보안 전문가를 둬야 한다고 했는데, 개발자가 안시큐어코딩을 할 줄 알아야 한다. 누군가가 지적해주면 고치려는 분위기도 있다. 보안성 승인만 지나가면 된다는 생각을 하는데, 보안성 승인도 앞에서부터 하는 게 아니라 중간에 하기 때문에 다시 되돌아가서 해야 한다. 이 때문에 고치기가 어렵고 그냥 유야무야 넘어가는 문제가 생긴다. 신입사원 MS 오피스 교육을 시킨다고 하면, 오피스 안에도 보안 기능이 있는데도 교육을 소홀히 한다. 모든 사람이 보안 업무를 조금씩 가져가는 것은 매우 바림직하다. 한 사람에게만 몰아주기 때문에 문제가 되는 것 같다. 특히 개발자의 보안의식이 중요한데 시큐어코딩은 이런 것들까지도 가르쳐서 해야 하지 않을까 생각한다. 서춘석 그런데 은행의 개발자들이 과연 그 정도의 수준이 필요할까. 개발자가 그 정도까지 해야 하나 하는 생각을 해보면 은행업무 특성상 그 정도까지는 요구하지 않는다는 게 개인적인 생각이다. 또 하나 건의를 하자면, 요즘 핸드폰으로 피싱 사이트 만들어서 보안카드 입력하라고 하는 범죄가 성행하고 있다. 우리도 최근 10여 개를 해결했다. 문제는 피싱 사이트를 발견해서 폐쇄하는 데까지 걸리는 시간이다. 이 과정은 보통 5~6시간이 걸린다. 우리도 마찬가지다. KISA에 신고하면 내부에서 절차 거쳐서 통신사나 인터넷 업체 등에 보내서 폐쇄하라는 모든 과정이 그만큼 오래 걸린다. 그럼 그 5~6시간 안에 또 피해를 보고 있는 다른 사람들이 나온다. 때문에 즉시 조치할 수 있는 방법이 필요하다. 우리는 KT 등 통신사에 먼저 전화해서 막아 달라 요청한 다음에 KISA에 신고한다. 그니까 즉시 막을 수 있는 뭔가가 제도적으로 필요하다. 폐쇄까지 걸리는 6시간은 너무 길다. 최한묵 행정 절차상 폐쇄조치가 그렇게 돼 있다. 왜냐면 책임 소재 때문이다. 비정상적인 경우도 있어 이 같은 절차를 무조건 바꾸는 것도 쉽지 않다. 잘 쓰고 있는데 폐쇄 신고를 했을 때의 책임 소재가 걸려 있고 폐쇄돼 있는 몇 분 동안에도 피해가 엄청날 수 있기 때문이다. 선의의 피해자가 있으면 안 되므로 고객을 보호해야 한다. 그래도 다시 한 번 확인해 보겠다. 김종영 정보보호를 제대로 하기 위한 거버넌스 방안에 대해 말씀을 해 달라. “아웃소싱·자회사 아우르는 정보보호 거버넌스 필요” 황만성 CEO나 경영진 등은 정보보호가 얼마나 중요하냐 하는 것을 이제 다 알고 있는 것 같다. 다만 완벽한 보안이 과연 있느냐 하는 것이다. 그런 점을 이해해줄 필요가 있다. 은행도 나름대로 강화해야 하지만 각종 보안 대책을 쓰는 것은 당연한 것이다. 각 금융사별로 비즈니스와 조직의 특성이 있으므로 감독기관의 거버넌스 요구사항을 지키면서 조직에 맞게 분석해 최적의 거버넌스를 이끌어내는 게 중요하다. 특히 아웃소싱 및 자회사 등 비즈니스 파트너를 대상으로 한 정보보호 거버넌스를 연계하고 관리하는 것도 꼭 챙겨야 할 것이다. 김경수 작년 4월 발생한 사고 이후에 수많은 시스템을 도입하고 설치했다. 올해는 이런 것들을 좀 고도화하고 유지할 필요가 있다. 그런 부분에 중점을 둘 예정이다. IT 부서는 물론 관련 업무부서가 보안 의식이 있어야 하는 만큼 교육을 통해 고취시킬 것이다. 또 내부의 절차라든가 그런 것들만 준수하더라도 대부분의 사고는 막을 수 있다. 기본에 충실하면서 보안을 더 곤고히 하면 정보보호 거버넌스는 상당히 실현될 수 있지 것이라 생각한다. “창 막아낼 수 있도록 방패에 대한 관심과 지원 필요” 서춘석 장기적으로 보면 고민할 것은 정보보호 인력 담당의 동기 부여와 비전이다. 은행 내에서 보안 담당은 전문적이다. 그런데 IT도 전문적인데 그 안에 또 정보보호가 있어 이는 더 전문적이라는 것이다. 언젠가는 현업으로 나가게 되는데 그때 현업에서 어떻게 받아들이는가 하는 문제도 고민해봐야 한다. 정보보호 인력을 알아서 키우라는 게 아니라 시스템이 있어서 어떤 자격요건이 있고 그것을 신뢰할 수 있는 교육수준이나 자격 등 외부적인 것들도 필요하다는 것이다. 보안은 창과 방패의 싸움이다. 창은 계속 발전하는데 방패는 계속 현재 상태 또는 한 가지로만 갈 수는 없지 않은가. 때문에 교육에 대한 시스템과 과정이 있어야 한다. 솔루션도 많고 세미나도 많은데 세미나를 교육이라고 볼 수는 없다. 이것을 체계적으로 하는 게 필요하다. 사고가 났을 때 회사명은 다 가려도 좋으니 유형만이라도 알려주면 우리도 보고 짚어볼 수 있어 좋다. 하지만 다들 쉬쉬 한다. 우리도 마찬가지다. 그러한 부분들이 공유될 수 있는, 또 그런 사례가 나오면 뭔가 허점을 보고 발전할 수 있을 것이다. 이런 점에서 생각해볼 것이 있다. 예산이 7%인데 여기에는 하드웨어 솔루션 구입비만 있을 뿐 교육비는 없다. 인재개발부에서 담당하고 있는데, 교육비를 쓸 수 있도록 해주는 것도 좋은 방법이라 생각한다. 이런 교육은 또 동기부여도 될 것이다. 박태완 영국 금융기관에는 사람이름이나 은행명을 지운 후 사고사례를 공유하는 모임과 시스템이 있다. 어떻게 해야 잘 할 수 있을까 고민하기 위한 모임이다. 삼각형을 비유한 설명을 해보겠다. 맨 위에 감독(정보보안), 중간에 코치(담당자), 맨 아래 선수(직원)가 있다고 볼 수 있다. 문제는 맨 위에 있는 감독이 경기를 하려고 하는 데 있다. 즉 인식 제고와 교육을 구분하지 않고 교육을 하기 때문에 문제가 생긴다. 교육에도 용도가 있다. 인식제고용, 훈련용, 교육용 등으로 나눌 수 있다. 인식 제고는 이미 돼 있다. 방법론을 알고 습관화하는 게 중요하다. 보안팀에서 보안은 다 해줬다. 운전자가 벨트를 매지 않으면 사망하게 된다. 실천하는 능력을 갖고 있지 않으면 보안전담팀이 아무리 열심히 해도 보안은 해결하기 어렵다. 그래서 보안은 감독보다 선수가 더 중요하다. “보안은 감독·코치보다 선수가 더 중요” 김홍선 시스템적으로 말하면 임직원의 인식이나 훈련이 모두 중요하다. CEO가 직접 챙기면 그 조직은 확실히 좋다. 임직원이 어쩔 수 없는 경우, 즉 알지 못하는 사이에 감염되는 게 문제다. 아주 마이너한테 감염되는 경우도 있고 한계가 있다. 디바이스도 점점 다양화되고 있다. 미국도 시스템을 설치하는 것은 절대 하지 않으려 한다. 어느 나라 고객이건 다 싫어한다. 망에서 돌아다니는 파일이나 패킷을 전부 수집하면 가시성을 확보할 수 있다. 요즘에는 이런 기술도 계속 나오고 있다. 때문에 IT 측면에서 전반적인 가시성을 갖출 수 있는 시스템을 구축해 막을 수 있도록 하는 것도 필요하다. 김경수 전반적인 가시성을 갖춘다는 게 무슨 의미인가? 김홍선 어떤 액티비티가 들어오는지, 내부를 모니터링할 수 있는 것을 말한다. APT도 중간에 막을 수 있는 것이다. 가시성은 곧 전체 흐름을 보는 것이다. 수백 대 컴퓨터의 상태를 중앙 내부에서 한번에 흐름을 확인하는 것으로 이해하면 될 것 같다. “지키지 않는 곳 때문에 법 규제 불가피” 최한묵 보안교육이 상당히 큰 몫으로 돼 있다. 보안 예산을 보안 교육으로 대체할 수 있느냐는 질문이 있었다. 이번에는 기본적 인프라 구축을 주요 내용으로 했고 앞으로 새로운 버전으로 업그레이드 할 방침이다. 가끔 ‘IT는 야생마’라고 얘기한다. 어디로 튈지 모르기 때문이다. 그래서 계속 따라다니면서 관리해야 한다. 그게 자신 없으면 사표 내야 한다. 페널티 말고 인센티브 얘기들도 나온다. 그래서 캐리어패스 제도도 도입할까 생각하고 있다. 기본만 지켜도 충분히 막을 수 있다. 그런데 기본도 안 지키는 곳이 일부 있어서 법으로 자꾸 규제를 만드는 것이다. 김종영 오늘은 여기에서 간담회를 마치고자 한다. 오랜 시간 동안 좋은 말씀을 해주셔서 감사드린다.