“사회에 정보보호 인식을 높이려면 보안을 경영의 한 수단으로 고려해야 합니다. 차별화한 보안을 기업 경쟁력으로 승화해야 발전해야 합니다.”
김종현 전 KB국민은행 최고정보보호책임자(CISO)가 아주대 사이버보안학과 교수로 컴백했다. `정보보호 법제도와 보안정책`이라는 두툼한 책도 한권 썼다. 그는 2013년 8월 금융권 최초로 정보보호 담당 임원이 됐다. 지난 9월 아주대 사이버보안학과 교수로 자리를 옮겼다. 은행에서 정보보호 조직을 어떻게 이끌어갈지 고민하던 그는 이제 캠퍼스에서 학생을 훌륭한 보안실무 전문가로 키울지 고심한다. 그동안 강의한 내용을 모아 교재로 쓸 수 있는 `정보보호 법제도와 보안정책`으로 펴냈다. 금융현장에서 얻은 실무 경험이 그대로 녹아있다.
“보안은 정보 유출 걱정 없이 비즈니스 활동을 도와주는 고마운 `브레이크` 입니다. 사고 위험 없이 달리게 하는 고마운 브레이크가 바로 보안정책 입니다.”
김 교수는 `보안 경영`을 주장한다. 경영 마인드를 가지고 보안을 수행하는 보안 경영을 확산한다. “보안은 방어 수단이 아닙니다. 보안담당자는 `보안이 주도하는 사업(Business driven Security)`을 만드는 사람입니다.”
그는 CISO 재임 시절 직원들과 ICE 패러다임을 만들었다. ICE는 통합(Integration), 통제(Control), 교육(Education) 첫 자를 따서 만들었다. 단편 솔루션이 아닌 통합 시스템 보안을 추구한다. 보안정책을 지켜달라고 부탁하지 않고 통제한다. 정보보호 담당자가 모두 해결하겠다는 자세보다 직원 스스로 지킬 수 있도록 가르치는 보안 문화를 확립한다. ICE는 얼음처럼 냉정한 화이트 해커의 이미지도 표현한다.
김 교수는 “1998년 컨설턴트가 되고 전국 한국가스공사 지역본부를 돌아다니며 Y2K 버그를 추적했다”면서 “지금은 희대의 사기극이라고 비난받는 Y2K 문제가 심각한 사건 없이 넘어간 건 당시 높은 관심과 대응 덕”이라고 설명했다. 그는 “보안문제도 이와 유사하다”면서 “정보보호 사고가 나면 관심을 갖지만 조용하면 잊혀지기 쉬운 게 보안의 맹점”이라고 덧붙였다.
김 교수는 “보안담당자가 차별화한 보안으로 새로운 비즈니스를 창출하는 것을 궁극적인 전략으로 삼아야 한다”고 강조했다.
김인순 보안 전문기자 insoon@etnews.com
