“하나/외환은행 보안시스템 통합, 통합은행 보안 기획, 외환은행 중국현지법인 설립 IT총괄, 은행 논리적 망분리 프로젝트, 외환 차세대 뱅킹시스템 구축, 금융기관 얼굴인증시스템 구축”…바로 지난해 12월부로 KEB하나은행 정보보호부 부장으로 퇴직하고 새로운 미래를 준비하고 있는 이병주 PM의 30여 년간 발자취의 일부다.

제2의 인생을 준비하며 새로운 문 앞에 선 이병주 PM을 얼마 전 인터뷰 하였다. 한 분야에 30년이란 긴 시간을 살아 온 사람의 내공은 어떤 분야든 언제나 남다르다.

#외환은행과 중국현지법인 설립

이병주 PM은 1992년 한국외환은행에 입사해 전산운영부 행원을 시작으로 정보시스템부, IT기획부를 거쳐 2007년부터 외환은행 중국현지법인 설립을 위한 IT시스템 구축 프로젝트 총괄업무를 맡으며 IT 및 정보보안 업무를 성공적을 마무리하고 2013년 한국으로 복귀했다.

이후 2014년 카드사 대규모 개인정보유출 사고가 발생하면서 IT정보보안부에서 3.10 금융분야 개인정보 유출 재발방지 대책 이행 업무 주관과 논리적 망분리 프로젝트 총괄, IT보안 기획 총괄 업무를 담당하게 됐다.

#외환은행과 하나은행 통합

이후 외환은행과 하나은행이 통합되면서 IT통합업무 중 보안통합업무를 총괄하게 된다. 보안시스템 통합 마스터플랜을 수립하는 업무였다. 이를 성공적으로 수행하고 2015년부터 KEB하나은행 정보보호부 팀장으로 재직했다. 이후 하나은행 ISO27001 및 ISMS 인증총괄, 정보보호본부 기획 및 보안정책 수립, 하나은행 통합 인증체계 수립, 얼굴인증시스템 구축 총괄 등 금융 IT와 보안 전 분야에서 역량을 발휘했다.

그는 “CISSP와 CISA, 정보시스템감리사 등의 자격증을 30대 초반에 취득한 것이 정보보안 업무로 자연스럽게 이끌었던 것 같다. 가장 기억에 남는 일들은 중국현지법인 설립을 위해 중국에 가서 IT/보안시스템을 구축하고 데이터센터 선정 등 금융기관에 필요한 모든 IT체계를 준비했던 일이다. 그리고 외환은행과 하나은행이 통합되면서 IT/보안 통합 프로제트도 총괄하게 됐다. 통합 이후 은행이 안정적으로 발전할 수 있는 IT보안 체계를 만들기 위해 엄청난 노력을 기울였고 그 과정에서도 많은 것을 느끼고 배웠다”고 소감을 밝혔다.

#두 은행 통합시, 더 발전적인 시스템 선택하는 것 중요

그는 두 은행이 통합할 때 해결해야 할 난제들이 많겠지만 특히 IT/보안 분야는 두 은행 중 장점과 강점을 냉정하게 판단해 더 좋은 시스템을 선택하는 것이 무엇보다 중요하다고 강조했다. 그래야 더 높은 수준의 IT보안체계로 발전할 수 있게 된다는 것이다. 편의상 한 은행의 시스템으로만 통합하게 되면 서로의 장점을 살릴 수 없고 자칫 하향 평준화될 수 있어 주의해야 한다고 말했다. 이런 관점에서 볼 때 하나/외환 통합은 양행의 장점을 살린 성공적인 프로젝트라 자평했다.

#조직의 보안 발전 하려면, CISO 보다는 CSO

대화가 무르익어가는 가운데, 그는 보안 분야에서 변화해야 할 부분에 대해 개인적인 생각들을 전했다.

바로 CISO라는 직급보다는 CSO로 가야 보안이 더욱 발전할 수 있다는 것이다.

CISO(정보보호최고책임자: Chief Information Security Officer)는 정보보안에 국한된 직책이다. 여기에서 벗어나 조직의 정보와 물리적, 기술적 보안을 통합해서 총괄할 수 있는 CSO(Chief Security Officer)가 필요하다는 것.

은행뿐만 아니라 많은 공공·기업들이 정보보안 부서와 물리보안 부서가 분리돼 있다. 은행은 보통 물리적 보안은 안전관리 부서에서 맡고 있다. 진정한 보안을 하기 위해서는 이 둘을 통·융합한 보안부서와 직책이 필요하다는 것이다. 네트워크, 엔드포인트, 출입통제, 팩스, 프린터, 모든 디바이스, 이동매체 등 전 분야에 걸쳐 보안체계를 구축하고 통합해서 관리하는 것이 필요하다고 강조했다.

그는 보안이 IT만으로는 한계가 있으며 더욱 넓혀 가야 한다고 말한다. 제품 위주만 생각하다 보니 폭이 좁아진다고 지적했다.

#CISO의 인사권과 예산권 강화…그리고 557 규정

한편 현재 CISO는 감독규정에 따라 은행장 직속 조직 형태로 구성되어 있으나 실제로는 정보보호 예산이 IT예산과 같이 편성되어 은행의 예산집행 우선 순위에 따라 정보보호 사업에 제한되는 경우가 발생하고 있다고 한다.

전자금융감독규정 제3장 2절 ‘557 규정’은 금융사 전체 인력의 5%를 IT 전문 인력으로 구성하고 IT 인력의 5%를 정보보호 전담 인력으로, 전체 IT 예산의 7%를 정보보호에 사용하도록 권고하고 있다.

557 규정은 금융기관의 정보보호 수준을 한단계 높이는 효과는 가져왔지만 다른 한편으로 보면, 보이지 않는 유리천장을 만들어 버렸다. 557 규정 준수 이상의 노력은 하지 않게 된 것이다.

그는 “557 규정은 금융기관의 정보보호 투자 수준을 높이는 효과가 있었다. 하지만 이 규정이 시간이 지나면서 오히려 족쇄가 돼 버렸다. 규정 이상의 투자를 꺼리는 현상이 발생한 것”이라고 전했다.

향후 지속적으로 확대될 비대면채널 구축과 지원을 위해 정보보호와 IT관련 인력과 예산이 증가가 예상됨에 따라 기존의 557규정보다 강화된 규정이 필요하며, 정보보호 강화를 위해 CISO에게 독립된 인사권과 예산권을 부여할 필요가 있다고 지적했다.

그는 또 “보안조직이 보안규정을 위반 한 직원들에 대한 징계 권한을 갖고 있어야 한다”고 말한다. 보안사고가 발생하지 않도록 하는 것도 보안조직이 할 일이고 보안사고 이후 이를 벌 할 수 있는 것도 보안조직이 갖고 가야 한다. 그래야 조직의 보안이 발전할 수 있다고 견해를 전했다.

#안면인식과 장정맥 등 바이오 디바이스 센싱기술로 해외 시장 진출 꿈

그는 퇴직 후, 세상의 변화에 맞춰 새로운 미래를 찾기 위해 분주하게 움직이고 있다. 사람들을 만나고 트렌드를 살피고 새로운 시장을 보고 변화를 거스르지 않기 위해 노력하고 있다.

그는 “그동안 은행에서 다양한 IT/보안 프로젝트를 수행해 왔기 때문에 현재 관련된 PM 업무를 하고 있다. 그런 가운데 계속해서 해외 시장을 모색하고 있다”며 “해외 시장에서 안면인식과 장정맥 등 바이오 디바이스 센싱기술 분야 시장 진출을 위해 관련 기업들과 협력을 진행하고 있다. 백단 보안 시장은 거의 포화상태다. 이제 유저 프랜들리한 범 시큐리티 시장이 열릴 것이다. 이를 준비하고 있다”고 전했다.

또 “인공지능(AI)에 대해서도 학습을 하고 있다. 보안과 비즈니스 관점에서 새로운 시장을 찾고 있다. 새로운 기술을 알아야 보안도 가능하다. 신기술을 모르면 보안에 접목도 힘들다. 실제 업무에서는 신기술 물결이 굽이치는데 이를 모르고 보안을 한다는 것은 불가능하다. 그래서 보안인력들은 두 배의 노력을 기울여야 한다고 생각한다”며 “보안은 기본이고 비즈니스, 어플리케이션, 차세대 신기술에 대한 이해는 필수가 됐다. 그럴 자신이 없으면 보안 분야에서 도태되고 만다. 숙명적인 것이다”고 말한다.

이어 보안에 몸 담고 있는 후배들에게 “요소기술만 알아서는 조직에서 성공하지 못한다. 기술이 조직에서 성공을 담보하지 않는다. 보안조직 인력들이 정말 열심히 밤 낮 없이 일하지만 그 과실은 다른 사람이 가져 가는 경우가 많다. 비즈니스에 대한 이해와 신기술에 대한 공부를 게을리 하지 말고 벨류있는 일에 집중하길 바란다”고 전했다.

30여 년간, IT/보안 업무로 쉼 없이 달려온 이병주 PM. 그가 생각하는 새로운 시장 진출에 기대를 담아 박수를 보낸다.

★정보보안 대표 미디어 데일리시큐!★