[CISO에게 '보안'을 묻다]김홍선 SC제일은행 부행장

[편집자주]사이버 보안 경계가 사라진다. PC, 모바일, 사물인터넷(IoT) 등 기기에서 시작한 초연결사회는 도시와 도시, 국가와 국가 연결까지 확장됐다. 4차 산업혁명, 디지털 트랜스포메이션 등 정부와 기업은 새로운 혁신을 준비하지만 사이버 위협도 어느 때보다 커졌다. 모든 것이 연결된 사회는 하나의 작은 취약점에서 시작해 전체를 위협한다. 기업 정보보안을 책임지는 정보보호최고책임자(CISO)에게 보안의 오늘과 내일을 물었다.

Photo Image

“모든 것이 연결된 사이버 세상에서 보안은 단순한 기술 공격이 아닙니다. 사회 문제로 접근해 해결책을 마련해야 합니다.”

김홍선 SC제일은행 부행장은 사이버 보안을 바라보는 시선을 바꿀 것을 제안했다. 시각을 바꿔야 보안 위협을 근본적으로 해결하는 데 한발 더 나아간다.

김 부행장은 “종이로 내부문서를 출력하더라도 이들 데이터는 PC 등 디지털 세상에서 작성되고 움직인다”면서 “CCTV 카메라, 자율주행자동차 등이 해킹으로 악용됐을 때 벌어지는 문제를 생각하면 사이버 보안은 더이상 기술이 아니라는 것을 쉽게 이해할 수 있다”고 말했다.

사이버 보안 위협은 기업 '리스크'라고 부를 만큼 심각하다. 올해 마이크로소프트(MS)가 발간한 '사이버 보안 위협 보고서'에 따르면 지난해 사이버 공격으로 국내 기업이 입은 직간접 손실액은 약 720억달러(80조원)로 나타났다. 한국 국내총생산 5%에 해당한다. 보안 위협도 랜섬웨어, 봇넷, 피싱등으로 다양해졌으며 지능형지속위협(APT)공격 비율이 높아져 대응도 쉽지 않다.

김 부행장은 사이버 보안을 실제 사업과 연계해야 한다고 설명했다. 김 부행장은 “처음 CISO로 부임했을 때 사이버 보안 기술에 대해 아는 사람은 많지 않았다”면서 “보안 강화를 이야기 하려면 취약점, 악성코드가 아닌 실제 은행 위협이 어떤 것인지 설명해야 하며 보안 기업과 해당 분야 전문가도 이런 변화가 필요하다”고 말했다. 이어 “단순 정보유출사고, 해킹이 아니라 '사이버 리스크'로 인식하고 CISO가 중심이 돼 위협을 통제해야 한다”고 덧붙였다.

Photo Image

사이버 리스크를 관리하는 방법으로 '균형'을 언급했다. '거버넌스(행정) 컨트롤'과 보안 기업 행정이 합쳐졌을 때 100% 사이버 위협 방어가 가능하다.

김 부행장은 “외부에서 침투하는 공격을 100% 막을 수 없지만 하나의 보안 정책이 뚫리더라도 전체를 통제하고 있다면 다음 보안 정책을 활용해 막으면 된다”면서 “몇 개 통제선을 두고 모니터링, 접속 컨트롤 등 보안 위협을 파악하고 있다면 완벽하지 않더라도, 치명적 위협은 막을 수 있다”고 설명했다.

사이버 공격이 타깃, 고도화 기법으로 발전하는 것에 대한 대비책 마련도 주문했다. 김 부행장은 “단순히 조직의 혼란을 가져오고 과시하는 해커는 끝났다”면서 “해커는 범죄 집단에 소속된 사람일 뿐 이들이 궁극적으로 노리는 것이 무엇인지 파악하고 근본 대비책을 마련해야 한다”고 말했다.


정영일기자 jung01@etnews.com


브랜드 뉴스룸