“나에게 사이버보안은 인생 그 자체다.”

데일리시큐는 창간 10주년을 맞아 김홍선 한국스탠다드차타드은행 부행장(CISO)을 만나 특집 인터뷰를 진행했다.

김홍선 부행장은 서울대 전자공학과 학사, 석사, 퍼듀대 전자공학 박사 학위를 받고 1996년 1세대 보안기업인 시큐어소프트 설립, 이후 2007년부터 2013년까지 한국 최대 보안기업인 안랩의 CTO 및 대표이사를 거쳐 2014년 7월부터 지금까지 한국스탠다드차타드은행 부행장(SC제일은행 최고정보보호책임자) 직을 역임하고 있다.

김 부행장은 보안산업과 IT보안 현장 책임자로 30여 년간 몸 담아 왔다. 그의 인생 자체가 한국 사이버 보안의 역사와 함께 해 왔다고 할 수 있다. 이런 현장 경험을 토대로 최근 세번째 저서인 '보이지 않는 위협'을 출간했다. 이 책은 사이버 보안의 중요성과 당면 과제, 발전 방향에 대해 다양한 에피소드들을 들어 비전문가부터 전문가까지 누구나 읽을 수 있는 쉬운 언어로 미래를 준비하는 우리에게 명쾌한 메시지를 전달하고 있다.

◆보이지 않는 위협에 대응하려면…

그는 이번 책 출간에 대해 “5년 전부터 준비했고 코로나 팬데믹 때 시간적인 여유가 있어 본격적으로 집필하게 됐다. 비즈니스 전반적인 업무가 디지털 기술에 기반해 돌아가는 시대가 되면서 사이버 보안은 기술 문제를 넘어 이제는 경영 및 국가적 리스크가 됐다”며 “하지만 여전히 사이버보안이 중요하다고 말하고 걱정만 하지 우리의 당면 문제라고 생각진 않는 것 같아 답답함이 컸다. 근본적인 질문을 던지고 실체에 접근하는 것이 중요하다. 이 책은 기술 중심에서 벗어나 IT의 변곡점에 서 있는 우리들이 어떤 안목을 갖고 현재와 미래를 준비해야 하는지 함께 생각해 보기 위해 비전문가 뿐만 아니라 보안전문가 및 CISO, 기업 및 국가의 리더들이 볼 수 있도록 구성했다”고 소개했다.

기자도 이 책을 읽으면서 글로벌 및 한국과 관련된 굵직한 사이버 보안 사고의 디테일 한 부분도 쉽고 재미있게 이해 할 수 있었고 사이버 보안 문제를 어떻게 바라 봐야 하고 기업과 국가의 리더는 사이버 보안을 위해 무엇을 해야 하고 국내 보안산업이 발전하려면 무엇이 필요한지 등에 대해 깊이 생각해 볼 수 있었다.

그는 10여 년간의 은행 CISO 업무를 해오면서 많은 것을 배울 수 있었다고 한다.

우선 은행의 다양한 비즈니스를 완벽하게 파악하는 것이 중요했다. 이후 각 비즈니스별로 그에 맞게 보안 운영 체계를 만들고 특히 가장 중요하게 생각했던 부분이 바로 리스크 관리였다고 말한다.

김 부행장은 “2014년 당시 현 은행 CISO 면접을 볼 때 본사 면접관의 말이 아직도 기억에 생생하다. 금융산업은 돈을 관리하는 것이 아니라 결국 데이터를 관리하는 것이다. 그래서 CISO 역할이 너무도 중요하고 그 자리를 당신에게 맡기고 싶다는 말을 들었다”며 “이제 보안은 기술적으로만 접근할 것이 아니라 리스크 관리 측면에서 접근하는 것이 필요하다. 보안 통제는 리스크를 줄이기 위한 방편이고 위협 모델 프레임워크에 따라 방어 역량을 분석하고 총체적인 사이버 리스크 관리 체계(RMF)를 통해 가시성과 대응력을 높이는데 주력해야 한다”고 말했다.

◆체크리스트가 아닌 리스크 관리 체계로의 변화 필요해

그는 미국이나 EU와 비교해 한국의 규제 방식에 대해서도 언급했다.

미국과 EU는 문제를 스스로 찾아내고 해결하는 방식 즉 리스크를 파악해 관리하는 리스크 관리 체계를 통해 우리 기업의 정보 자산은 어떤 것인지, 각 자산을 겨냥한 위협은 무엇인지, 위협을 받을 때 비즈니스 영향은 어느 정도인지, 그런 위협을 막기 위해 어떤 보안 통제를 적용해야 하는지 스스로 도출해서 보안 수준을 높이는 방식을 사용한다.

반면 한국은 정해진 가이드라인을 준수하는 체크리스트 방식이다. 그래서 체크리스트에 없는 부분은 소홀히 하게 된다. 사고가 나도 가이드라인만 잘 따랐다면 책임 경감도 해준다.

김 부행장은 “한국의 체크리스트 방식은 IT 시스템에 대한 통제와 방어에 초점을 맞추고 있어 실제 업무 환경을 판별하지 못한다. 입체적으로 발생하는 위협을 포착하는데도 한계가 있다. 반면 RMF는 사이버 보안을 비즈니스 관점에서 총체적으로 바라보게 하기 때문에 입체적이고 실용적이다. 또 비즈니스에 초점을 맞추고 있기 때문에 발빠르게 적응해 나갈 수 있다. 사이버 보안을 RMF를 통해 지표화하는 것이 글로벌 표준이다. 한국도 이 부분에 변화가 필요하다. 이는 보안 산업 발전에도 영향을 미친다. 체크리스트 방식으로는 보안기업들이 아무리 신기술을 적용한 솔루션을 개발해도 팔리지 않을 것”이라고 지적했다.

그는 시각을 바꿔야 한다고 말한다. 공격자라면 무엇을 노릴지, 어떤 방향으로 접근할지 공격의 맥락을 예측하는 데 상상력을 총동원할 것을 강조한다. 특히 비즈니스와 리스크 중심으로 보안의 관점을 바꿔야 입체적이고 전방위적으로, 체계적으로 대응할 수 있다고 전했다. 이는 기업 뿐만 아니라 국가의 사이버 보안 체계에도 적용해야 보이지 않는 위협에 대응할 수 있다는 것이다.

그는 “너무 디테일한 규제는 보안을 경직 시킨다. 기업 스스로가 리스크 관리를 할 수 있는 역량을 키울 수 있도록 정책이 마련되는 것이 바람직해 보인다. 그렇다고 해외 체계를 무작정 따라 할 것이 아니라 각 산업과 기업 규모에 맞는 리스크 관리 체계를 구축하도록 정책을 만들어 나가는 것이 필요해 보인다”고 전했다.

◆보안 산업 발전하려면, 글로벌 스탠다드 따라야

이어 국내 보안 산업이 더욱 발전하려면 필요한 변화는 무엇인지에 대해서도 물었다.

그는 “보안은 이제 C레벨의 이슈다. IT 부서만의 문제가 아니라 경영 리스크 관점에서 보고 산업을 확대 시켜 나가야 한다. 그래야 산업의 파이를 키울 수 있다. 또 글로벌 시장으로 나가기 위해서는 확장성이 중요하다. 그러려면 글로벌 스탠다드에 맞춰야 한다. 보안 산업도 클라우드 기반에 초점을 맞춰야 한다. 정부에서도 하루빨리 클라우드 환경으로 전환 될 수 있도록 해야 하고 그에 맞게 보안산업도 변화해야 글로벌 시장에서 경쟁력을 갖출 수 있을 것”이라고 강조했다.

과거 20년 전, 10년 전 주력 보안 제품들이 여전히 한국 시장에서 주력 제품으로 인정받고 있고 큰 매출 비중을 차지하고 있다. 글로벌 보안기업들은 클라우드를 기반으로 새로운 제품을 출시하고 엄청난 규모의 성장을 이루고 있는데 한국은 여전히 한국 시장에서 크게 벗어나지 못하고 있다. 그는 클라우드로의 전환과 글로벌 스탠다드를 최대한 빨리 따라가야 한다고 말한다.

또 소프트웨어 개발 환경을 빌드업하는 것이 중요하다고 강조했다. 많은 보안 사고들이 안전하지 못한 소프트웨어 개발 환경에서 발생하는데 이 부분에 대한 솔루션 시장도 커져야 하고, 더불어 마켓 비즈니스 특성에 맞는 특화된 솔루션들이 많이 나와야 한다고 말했다. 은행에서 필요한 솔루션과 자동차 회사에서 필요한 솔루션들이 다를 수밖에 없기 때문이다.

추가로 C레벨과 보안 기업간에 소통이 중요하다. 그러기 위해서는 경영자 입장에서 이해하고 왜 그런 솔루션을 도입해야 하는지 설득할 수 있는 언어를 사용해야 한다는 것이다. 보안 업무에 종사하는 인력들도 이 부분이 상당히 중요하지만 보안 기업들도 C레벨 언어로 커뮤니케이션 할 수 있도록 해야 산업이 성장할 수 있을 것이라고 조언했다.

◆보안 인력, 양성도 중요하지만 출구전략도 마련해야

보안 전문 인력을 어떻게 확보해야 할지에 대해서도 의견을 물었다.

김 부행장은 “해외 기업들을 만나보면, 나이에 상관없이 왕성하게 활동하는 전문가들이 많다. 글로벌 보안기업들도 그렇고 은행 및 기업들도 CISO를 만나보면 상당한 나이에도 전문성을 갖고 있기 때문에 중요한 역할들을 하고 있다”며 “또한 보안인력 양성을 강화하는 것은 좋은 일이다. 한국에서도 잘 하고 있다. 하지만 아쉬운 부분은 출구전략이다. 학생들이 사회에 나와서 자신들이 원하는 기업이나 주요 정부 기관에서 전문 역량을 발휘하고 연봉이나 사회적 위치도 보장 받을 수 있도록 기반을 만들어 주는 것이 더 중요하다. 그렇지 않으면 아무리 좋은 인력들을 배출해도 다른 분야나 해외로 떠날 수밖에 없을 것이라고 생각한다”고 말했다.

보안인력 양성 시스템과 더불어 이들이 사회에 나와서 활동할 수 있는 양질의 기반을 마련하는 문제도 시급한 문제다.

◆산업 전체가 보안 산업의 영역

김홍선 부행장은 “인공지능 기술이 산업 전반에 스며들면서 소프트웨어 개발에도 엄청난 영향을 미칠 것이다. 이때 발생할 수 있는 문제가 바로 소프트웨어 공급망에서 보안 문제다. 모든 산업에 소프트웨어가 확산되면서 더불어 보안 문제도 이슈가 된다. 즉 보안은 전 비즈니스에 스며드는 산업이 되고 있다”라며 “산업 전체가 보안 산업의 영역이다. 우리가 부족한 부분은 무엇이고 개선할 점은 무엇인지 기업뿐만 아니라 정부에서도 발 빠른 대책을 마련해야 할 것으로 보인다. 이런 IT의 변곡점에서 주춤하다 가는 영원히 격차를 따라갈 수 없게 된다”고 말했다.

그는 예전의 사이버 보안 방식에서 벗어나 비즈니스에 초점을 맞추고 리스크 관리에 중점을 두는 보안 체계로의 변화를 강조했다. 디테일한 보안 규제 중심에서 벗어나 기업들이 리스크를 스스로 파악하고 상상력을 발휘해 보안위협에 대응해 나가야 한다고 말한다. 모든 분야로 보안 산업을 확대하기 위해 C레벨과 커뮤니케이션 능력을 갖추고 글로벌 스탠다드를 따를 것을 강조한다.

그는 끝으로 “사이버 위협은 막연한 공포의 대상도 아니고 범접하지 못하는 해킹 기술만의 문제도 아니다. 우리가 처한 냉엄한 현실이다. 디지털 세상의 질서를 제대로 세워 나가야 한다. 우리는 지금 역사적인 분수령을 맞이하고 있다. 구체적이고 실질적인 대책을 마련해 나가야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★