보안

시큐리티 월드 2015|"주요자산 2%에 보안을 집중하라"...이준호 네이버 CISO

이대영 기자 | ITWorld 2015.08.28
"드라마에서나 영화에서 보여주는 보안은 북한과 같은 적대국이나 핵티비스트들이 엄청난 해킹 기술을 써서 사건을 저지르고 이를 막아내는 등의 뭔가 멋있고, 중차대한 일이 벌어지는 것으로 인식되고 있다. 하지만 현실에서의 보안은 그렇지 않다. 초등학생이 불특정 다수의 PC를 해킹하고 초대형 보안 사고는 고도의 기술적 해킹이 아니라 사람의 문제가 대부분이었다."

이준호 네이버 CISO는 8월 27일 한국IDG가 개최한 시큐리티 월드 2015 기조연설에서 '보안트렌드 변화와 기업의 정보보호 전략'이라는 주제로 기업 현장에서의 정보보호와 전략, 그리고 실제로 정보보호 인력에게 필요한 행동 요령들을 소개했다.

이준호 CISO는 "기업을 공격하는 것은 최첨단 공격만이 아니며 지금까지 초대형 데이터 유출 사고를 지켜보면, 해킹 문제가 아닌 사람의 문제라는 것을 알 수 있다"며, "물론 사고가 발생한 기업에도 모두 보안팀이 있었고, 나름 보안통제를 잘 하고 있었다. 하지만 그 과정에서 중요한 것을 놓치고 있었다"고 말했다.

실제 대형 보안 사고들을 파악해보면 2014년 1월 신용평가업체 파견직원이 롯데, 농협, 국민카드 3사의 고객 정보 1억 400만 건을 USB를 통해 유출했다. 2014년 2월에는 공무원이 개인 및 기업정보 800만 건을 임의조회하고 개인정보 12만 건을 불법 유출했다.

2014년 3월에는 KT가 웹페이지 관리미비로 1,200만 명 고객정보를 유출한 바 있으며, 같은 달에 택배 기사가 382차례에 걸쳐 고객정보를 불법 판매한 것과 내부 직원이 경쟁업체 임직원 3,000여 명 개인정보를 불법 수집했다.

2014년 10월, 지자체 공무원들이 3년동안 연예인, 운동선수 등 개인정보 1,000여 건을 무단 열람한 사실이 밝혀졌으며. 2014년 12월에는 대출모집인이 영업을 위해 2금융권 내부직원들과 결탁해 USB로 300만 건의 개인정보를 불법 수집했다.

2015년 2월, 홈플러스가 고객 개인정보 2,400만 건을 고객 동의없이 보험사에 불법으로 판매한 사실이 드러났다.

이준호 CISO는 "보안 위협은 처음부터 끝까지 완벽하게 막을 수는 없다는 점을 인지하고 다만 공격자가 공격하는 걸 귀찮게 해 공격하는 걸 포기하게 만드는 것이 중요하다"고 말했다.

"하지만 실제 보안 업무에서는 작은 것 하나하나까지도 모두 통제하려고 한다. 특히 모두 중요하다고 얘기하면 나중에는 모두 중요하지 않은 걸로 생각하게 된다"고 충고했다.

그래서 기업들은 보호해야 할 대상과 보호의 우선 순위를 정하는 것이 무엇보다 우선 해야 할 일이며, 대상이나 우선 순위 선정 기준은 각 기업마다 모두 다르기 때문에 자사에 맞는 기준을 선정하는 것이 중요하다.

이준호 CISO는 "자동차 제조업체는 자동차 설계 정보가, 온라인 서비스 업체는 신규 서비스 정보가 최우선 순위 정보가 되듯이 우선 자사의 자산을 먼저 식별하고 등급을 나눠야 한다. 우선 보안 대상은 2%로 압축하고 나머지 98% 정보와는 별도로 구분해 아낌없이 보안에 투자해야 한다"고 설명했다.

"또한 하나의 기업을 보호하는 데에는 다양한 보안 영역이 필요한데, 기업마다의 업무와 상황에 따라 그 중요도가 달라지며 보안 업무는 이에 맞춰 다양한 역량을 가진 직원들로 구성해야 한다"고.

"무엇보다 기업의 보안 수준은 보안 부서의 기술 수준이 아니라 전체 임직원들의 보안 의식 수준"이라며, "보안은 보안 부서에서만 하는 것이 아니라 조직 전반에 걸쳐 내재화해야 하기 때문에 각 조직과 긴밀한 협업이 이뤄져야 한다"고 조언했다.

이를 위해서는 보안 부서는 임직원과 다른 부서를 설득시킬 필요가 있으며, 이 때 상대방의 이해 수준을 고려한 의사 소통을 해야한다고 주문했다. 예를 들어, 솔루션이나 제품 설명 시 전문 용어를 사용하지 말고, 상대방이 이해하기 쉽게 설명하는 것이 중요하다.

이준호 CISO는 "또한 보안 규정만으로는 임직원들을 통제할 수 없다. 자발적으로 보안 규정을 준수하도록 만드는 기업 문화가 가장 좋은 것이며 이를 위해서는 보안실수들을 징계하는 것이 아니라 경고하고 조언, 도와주는 길잡이 역할을 해야 한다"고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.