[CISO에 '보안'을 묻다]최중섭 네오위즈 CISO

Photo Image

“보안팀이 모든 직원에게 직면한 사이버 위협을 막는 것은 불가능합니다. 직원에게 자유를 부여하고 위협은 공유하는 등 책임을 부여해 스스로 위협을 방지합니다.”

최중섭 네오위즈 최고정보보호책임자(CISO)는 보안 솔루션 등을 이용해 보안을 담보하는 것이 아니라 사람 개개인에게 책임감을 부여하고 스스로 보안에 나서도록 하는 것이 중요하다며 이처럼 말했다.

네오위즈는 개별 직원에게 보안 절차를 촘촘하게 만들고 강요하는 대신 스스로 자제하도록 한다. 웹하드, 악성 사이트 일부만 막고 그 외 영역을 모두 열었다. 대신 위협 등 평소와 다른 행위가 포착되면 반드시 보안팀에 알리도록 조치했다.

최 CISO는 “직원이 자유롭게 업무를 보고 네오위즈 보안팀에게 의심되는 메일 등 보안위협을 알리면 안정성을 확보하는 것이 우리가 갖고 있는 생각”이라면서 “직원 보안 위협 신고 등을 독려하기 위해 다양한 상품을 내건 이벤트도 상시 진행한다”고 말했다.

이어 “장비를 도입해 운영하거나 보안 소프트웨어(SW)를 별도로 개발해 운영하는 것도 중요하지만 결국 사고 대부분 사람에게서 발생하기 때문에 인력관리가 가장 중요하다”면서 “어떤 사이버 공격이 발생하고 있으며 어떻게 대응해 나가야 하는지에 대한 예방 교육을 정기·수시 실시한다”고 설명했다.

개별 직원 보안습관 확립뿐 아니라 네오위즈 내부 보안팀도 정비한다. 보안 전문성 강화를 위해 기존 정보보호실 아래 보안팀, 서비스보안팀 2개팀 체제를 개인정보보호팀을 더해 3개 팀 체계로 나눠 운영한다.

보안체계 확립은 여전히 숙제다. 다만 체계를 만드는 방안으로는 보안공급자와 소비자 간 '관계'에 대한 이해가 필요하다고 강조했다.

단순히 보안솔루션을 개발하고 이를 소비자가 도입하는 것에서 그치는 것이 아니다. 소비자는 보안위협에 대해 공급자와 의견을 나누고 위협에 공동 대응한다. 공생 관계를 만드는 것이다.

최 CISO는 “보안체계가 확립될 때까지 소비자와 공급자 간 의견교환을 지속하면서 시너지를 내야 한다”면서 “단순히 나만 보안을 잘해야겠다가 아니라 업계가 서로 모여 의견을 교환하고 공동대응 하는 동업자 정신을 만들어가는 것이 중요하다”고 덧붙였다.


정영일기자 jung01@etnews.com


브랜드 뉴스룸