김병철 대신증권 전무/CISO

▲ 김병철 대신증권 전무/CISO

[컴퓨터월드] 최근 몇 년 간 크고 작은 정보유출 사고가 발생하면서 정보보호의 중요성이 점차 높아지고 있다. 특히 금융사들은 많은 고객 정보와 금융 정보를 보유하고 있기 때문에 정보보호에 만전을 기하지 않을 수 없게 됐다. 이에 금융당국은 전자금융거래법 개정을 통해 일정 규모 이상의 금융사들로 하여금 정보보호 전담 조직과 최고정보보호책임자(CISO)를 두고, 정보보호 수준을 강화할 것을 주문했다.

많은 금융사들이 전 보안업체 대표 등을 영입해 CISO로 선임하기도 했지만, 대신증권은 기존 최고정보책임자(CIO)였던 김병철 전무를 CISO로 선임하는 결단을 내렸다. 지난해까지는 CIO와 CISO를 겸직하며 대신증권의 IT 전반을 책임지던 그였지만, 올해부터는 CISO로서 대신증권의 정보보호를 강화하기 위한 활동을 하고 있다. 김병철 대신증권 전무를 만나 CISO의 역할과 정보보호 방안에 대해 들어봤다.


CIO에서 CISO로…정보보호 체계 강화
전자금융거래법 시행령 개정으로 인해 총 자산 10조 이상, 종업원 수 1,000명 이상인 금융사에서 CIO와 CISO의 겸직이 금지됐다. 이에 그 동안 대신증권에서 CIO 역할을 수행하면서 CISO 업무도 담당했던 김병철 전무는 올해 CISO로 보직을 바꿔 정보보호 강화를 위한 활동을 추진하고 있다. 김 전무를 포함한 10명의 정보보호팀이 조직됐으며, 예산도 규정 이상으로 확보하는데 성공했다.

김 전무는 올해가 CISO 체제 발족 원년인 만큼 너무 많은 욕심을 부리기보다는 차근히 준비해나가는 쪽을 택했다. 그 첫 번째로 김 전무는 정보보호팀이 신설 조직인 만큼 정보보호 체계를 강화하는 것에 주안점을 두고 있으며, 지난해 취득한 정보보호 관리체계(ISMS) 인증을 올해는 시스템을 좀 더 고도화시킨다는 계획이다.

또한 금융거래의 90% 이상이 전자금융거래를 통해서 이뤄지는 특성을 고려할 때 금융회사의 정보보호 전담조직의 역할은 매우 중요하다. 따라서 온라인 서비스 보안강화를 위해 이상거래 사전탐지를 위한 모니터링 체계 구축 및 홈페이지 보안성 강화 등을 진행하고 있다.

아울러 자체 정보보호 역량을 강화하고자 통합보안관제 시스템을 구축하고 있다. 지난해부터 많은 피해사례가 발생하고 있는 지능형 지속 위협(APT) 방어 체제를 도입해 사고를 사전에 예방할 수 있도록 준비하고 있다. 김 전무는 “새로운 정보보호 조직을 발족시킨 만큼 정보보호의 원년으로 선언하고 정보보호 점검 활동에 나서고 있다”고 설명했다.

선제적 대응 위한 정보보호 계획 필요
IT기술의 발전과 더불어 정보자산에 대한 위협이 점차 커지고 있다. 최근 발생했던 정보유출 사고를 살펴보면 정보유출로 인한 피해는 금융사의 생존을 위협할 정도로 파급력이 커졌다. 그렇기에 이제는 정보자산의 유출 또는 침해 사고가 금융사의 생존과 존폐를 위협하는 문제로 인식하고, 발생 가능한 위험을 사전에 파악해 이를 체계적으로 제거해 나가야 한다는 것이 김병철 전무의 주장이다.

김 전무는 최근 빠르게 성장하고 있는 핀테크를 예시로 꼽았다. 런던과 같은 금융 선진국에서는 이미 널리 이용되고 있으며, 곧 국내에서도 빠른 시일 내 활성화될 것으로 예상했다. 그러나 국내에서는 이에 대한 보안 수준은 아직까지 미진하다는 것의 그의 생각이다.

이에 김 전무는 핀테크와 같은 최신 기술 흐름에 선제적인 대응을 위한 보안 기술을 적극 검토 중이라고 밝혔다. 누구보다 발 빠르게 보안 수준이 강화된 양질의 금융 서비스를 제공하겠다는 각오다. 이후는 김병철 전무와 나눈 일문일답이다.

▶ CISO로 자리를 옮긴 이유는
2014년 12월까지 CIO와 CISO를 겸직, IT업무를 총괄 수행했지만, 정보보호 강화의 필요성이 대두되는 금융환경 변화에 따라 개정된 전자금융거래법 시행령에 의거 정보보호 전담 조직(CISO)을 맡게 됐다.

정보유출 사고를 살펴보면 기술적 보안 취약점 때문에 발생 하기도 하지만, 대부분이 외부직원 또는 내부 직원의 실수 등 사람에 의해 일어난다. 이런 내부적인 취약점으로 인해 정보유출사고가 일어나고 있기 때문에 업무 이해도를 바탕으로 회사 내 보안 수준을 높이는 역할이 매우 중요하다. 이에 따라 회사 차원에서도 내부적으로 IT및 비즈니스에 대한 역량을 가진 사람이 CISO에 적합할 것이라는 판단을 했고, 그 결과 올해부터 자리를 옮겨 CISO를 맡게 되었다.

▶ 전자거래금융법 개정안의 주요 내용은 무엇인지
2015년 4월 시행되는 전자금융거래법의 주요 내용은 금융보안 수단의 금융회사 자율적 결정, CISO 겸직 제한, 데이터 유출 행위 등 벌칙 강화, 안전성 확보 의무 불이행 시 과태료 부과 등 을 들 수 있다.

최근 국내 금융환경은 핀테크 산업 육성 등 금융과 IT의 융합화가 가속화되면서 금융권의 규제 패러다임이 의무 규제에서 자율 보안 형태로 변하고 있다. 따라서 핀테크 시대에 대비하기 위해서도 금융회사 스스로 보안 및 내부통제를 강화하여야 하고 공인인증서 및 보안프로그램 설치 의무 폐지 등 새로운 보안 환경에 대응할 수 있는 자율적 보안체계를 만들어 나가야 한다.

▶CISO 취임 이후 달라진 점이 있다면
지난해까지는 CIO와 CISO 겸직으로 경쟁력 확보에 필요한 비즈니스 혁신을 위한 IT 구현에 최우선 순위를 둘 수밖에 없었다. 따라서 정보보호는 IT구현에 필요한 보안기술을 지원하는 개념의 역할에 만족할 수밖에 없었다.

그러나 이제는 정보보호 전담 조직이 독립적으로 활동하게 되어 CIO의 업무 추진에 건설적인 견제를 할 수 있게 되었다. 우선순위가 뒤쳐졌던 정보보호 부분이 동등한 협업체계에서 작동 되도록 운영환경이 바뀌어 가고 있는 것이다.

시작부터 만족스러운 조직과 시스템을 갖추고 일하기는 쉽지 않다. 어떻게 하느냐에 따라서 조직의 위상과 역할이 조기에 안착할 수 있을 것이라고 본다. 앞으로는 정보보호가 IT를 지원하거나 보완하는 것이 아닌 회사 전체 비즈니스를 수행함에 있어서의 정보보호를 바라봐야 할 때가 온 것이다.

▶ 증권/선물CISO협의회 회장도 맡고 있다고 들었다
금융회사의 CISO 전담조직이 만들어짐에 따라 CISO 전담조직의 위상 정립과 정보보호업무 공유 및 정보 교류를 위해 지난 2월 24일 금융투자협회 산하에 증권·선물 CISO협의회를 설립해 출범했다. 현재 CISO협의회에는 55개 증권사와 7개 선물회사 및 한국거래소, 코스콤, 한국증권금융 등 유관기관이 함께 참가하고 있다.

CISO협의회는 금융투자회사의 ▲정보보호 시스템 구축 및 운영 ▲사이버침해에 대한 상호협력 ▲정보보호업무 조사 및 연구 등을 추진하면서 공동의 이슈 사항을 해결하고, 합리적인 대안을 마련해 금융투자 업계의 바람직한 정보보호 방향을 제시하려 하고 있다.

최근에는 협의회 산하에 실무반을 두고 액티브엑스(Active-X) 및 공인인증 의무 사용 폐지, 핀테크 시대에 대응한 보안기술 검토 등 보안기술 공동 연구활동도 추진하고 있다.

▶ CISO가 그 중요성과 달리 책임만 있고 권한은 없다는 평가다
고객의 신뢰를 중시하는 금융회사에 있어 정보보호를 전담하는 CISO의 역할은 매우 중요하다. 최근 CISO의 중요성이 강조되고 있지만 아직 책임과 권한이 명확하지 않다는 부분이 아쉽다. 실질적인 정보보호 조치를 수반하기 위해서는 전사적인 정보보호 활동이 매우 중요하다. 정보보호는 회사 전체 비즈니스와 동일선상에서 상호 보완적으로 추진돼야 하며, 이를 위해서는 회사정보자산의 중요성을 공유하고 CISO의 실질적인 권한을 확대해 정보보호 컨트롤타워로서의 역할을 맡겨야 한다.

▶ 진행하고 있는 정보보호 활동은
정보보호 시스템은 지난해 한국인터넷진흥원(KISA)으로부터 증권업계 최초로 ISMS 인증을 받았을 정도로 안정적인 수준까지 올라와 있다고 생각한다.

더욱 노력할 부분은 모든 임직원들의 정보보호 생활화다. 더 높은 수준으로 끌어올려서 침해사고에 대한 우려를 불식시킬 수 있도록 하는 것이 중요하다.

이에 대신증권에서는 정보보호 점검의 날을 매월 시행하고 있다. 이 날은 모든 임직원들이 업무를 중지하고, 개인의 책상부터 PC까지 보유하고 있는 개인정보를 점검한다. 유효기간이 지난 것들은 삭제하고, 계속적으로 업무에 활용해야 하는 것들은 관리대장에 기장해 책임자의 승인을 받아 별도 집중관리 할 수 있도록 하고 있다.

또한 정보보호 위원회를 신설하여 정보보호 추진계획, 정보보호 예산 확보, 정보보호 점검결과 보고 등을 수행하고 있으며, 이를 통해 전사적인 정보보호 활동이 체계적으로 수행될 수 있도록 하고 있다.

▶ 향후 계획은
많은 금융 정보와 고객 정보를 보유하고 있는 금융회사에서 정보유출이나 침해사고가 발생했을 경우, 그 피해는 상상하기 어려울 정도다. 정보보호 강화의 중요성은 아무리 강조해도 지나치지 않다고 생각한다.

정보보호 체계도 과거에는 사전 규제였지만 이제는 점차 사후 검증 체계로 바뀌고 있는 추세다. 이 같은 환경 변화에 따라 금융회사는 선도적인 정보보호 기술을 검토하거나, 핀테크에 대응하는 보안기술 지원 등 선제적인 대응을 할 수 있도록 움직이고 있다. 실제로 대신증권은 2015년을 정보보호 원년으로 선언하고 정보보호 활동을 위한 선제적 대응으로 보안수준이 강화된 금융서비스를 발 빠르게 제공하기 위해 움직이고 있다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지