이혁중 제주항공 CISO(상무)는 포항공대 졸업후 현대차, 펜타시큐리티, 에스티지시큐리티, SK쉴더스(구 SK인포섹), 유넷시스템, 삼성SDS, 넥슨, 엔씨소프트 등 25년간 보안산업과 현업 정보보안책임자로 근무해 온 ‘보안통’이다.

데일리시큐는 최근 제주항공을 찾아 이혁중 CISO·CPO와 근황 인터뷰를 진행했다.

제주항공은 2005년 설립되어 항공운송부문, 호텔사업부문, 서비스부문, 항공운수보조 사업을 중심으로 비즈니스를 하고 있는 기업이다. 항공운송부문에서는 여객수입, 화물수입으로 구성되는 노선사업을 진행하고 있으며 2023년 3분기 탑승객 시장점유율은 국내선은 15.4%, 국제선은 11.0%에 달한다.

항공사업은 2020년부터 2022년까지 코로나 팬데믹 영향으로 어려움을 겪었지만 지난해부터 풀리기 시작해 점차 활기를 되찾은 분위기다.

제주항공은 정보보호 전담 인력이 9명으로 타 항공사 대비 적지 않은 보안인력 구성을 확보하고 있다. 또한 항공사에서 CISO를 임원급으로 지정하고 있는 곳이 두 곳에 불과한데 그 중 한 곳이 바로 제주항공이다.

올해 제주항공은 오피스망에서 발행하는 악성코드 대응 체계와 개인정보보호 관리체계 정비, 이상징후 모니터링 강화를 중심으로 한 굵직한 보안사업들을 진행중이다.

이혁중 CISO는 “지난해 EOS(End Of Service)로 교체 기한이 된 보안장비를 교체했고, 올해는 오피스망에서 발생하는 악성코드 대응 체계 구축을 진행중”이라며 “더불어 개인정보 관리 체계를 정비하고 업무망에 이상징후 모니터링 체계를 강화해 나갈 것”이라고 말했다.

◆”항공사 특수성에 맞는 개인정보보호 자율 점검 체계 협력해서 만들어갈 것”

특히 그는 지난해 11월 개인정보보호위원회 CPO 간담회에서 항공업계 개인정보 처리의 특수성과 항공사의 개인정보보호 자율규제를 강조하며 위원회와 항공사 CPO들의 긴밀한 협력을 이끌어 냈다. 올해 상반기 항공사에 특화된 개인정보보호 자율점검 내용들이 보다 구체화될 전망이다. 항공사들의 개인정보 처리 규모가 방대해 항공업계 전반의 개인정보보호 수준 향상과 인식제고가 필요한 상황에 적절한 방안을 제시한 것이다.

그는 “개인정보 국외이전 요건의 다양화, 국외이전 중지 명령권 신설 등 국외이전 제도 변경 사항 등 개인정보 국외이전 시 안전관리 강화 방안 그리고 항공보안법에 따라 방대한 개인정보를 확보하고 있어야 하기 때문에 항공사에 특화된 자율규제 마련이 필요하다. 국내외 항공사간 개인정보들이 연결되어 있기 때문에 항공사 한 곳만 개인정보를 잘 보호한다고 해서 될 문제가 아니다. 그래서 협력이 필요하다. 자율점검 강화는 이런 차원에서 강조하게 됐다”고 말했다.

◆항공사 만의 특화된 보안 이슈에 대한 대응에 집중

또 이혁중 CISO는 “보안만 강화하려면 무조건 막고 차단하고 못하게 하면 된다. 하지만 보안의 존재 가치는 비즈니스에 도움이 될 때 확보된다. 무조건 차단 위주 보다는 위협이 발생할 수 있는 부분에 집중해 이상징후 모니터링을 강화해 나갈 계획이다. 특정 솔루션에 의존하기 보다는 업무의 자율권을 주돼 핵심적으로 체크해야 할 부분에 대해서는 집중 모니터링해 나갈 것”이라며 “기기인증 등을 통해 직원들이 편리하게 일할 수 있는 환경을 만들어 주면서도 보안을 강화할 수 있는 방향으로 보안 체계를 만들어가고 있다”고 설명했다.

그리고 어뷰징 공격도 차단하고 있다. 국내 이용객들이 항공편을 예약시 해외 시스템을 사용하는 경우가 있는데, 이 때 과금이 발생한다. 여기에 대한 트래픽 공격으로 비용 손실이 발생하는 경우가 많아 이에 대한 보안 체계도 마련했다고 전했다.

한편 항공 예약시스템은 주로 메이저 해외 시스템을 대부분 사용하고 있다. 우리나라는 여권 정보를 암호화해야 하는데 해외 시스템은 암호화 적용을 하지 않는다. 이때 발생하는 해외 정책과 국내 정책의 충돌 등에서 발생하는 정보 유출 문제 등 민간 항공사가 개별적으로 처리할 수 없는 해외 규정에 대해 대응 문제 등을 관련 부처와 적극 논의하고 있다.

◆진화하는 IT 기술에 맞는 보안 정책과 CISO 역할 마련 되길

끝으로 이혁중 CISO는 “법으로는 CISO가 임원급이면서 대표에게 직보할 수 있도록 규정하고 있지만 어떤 기업은 CISO가 직보는 고사하고 대표 얼굴 한번 못봤다는 곳도 있다. CISO가 법에서 규정한 모든 권한을 행사하고 인사권과 관련 예산권을 모두 사용할 수 있는 조직이 몇이나 될까. 많은 기업들이 법 규정을 교묘히 우회하고 있는 실정”이라며 “법과 현실의 괴리가 많다. 이 부분이 CISO들의 현실적인 고민일 것이다. 앞으로는 이런 부분들이 점차 개선되길 바란다. 그리고 정보보호의 목표는 무작정 보호만 하는데 있지 않다. 현업에 대한 이해를 바탕으로 업무 효율성과 더불어 보안 강화 그리고 결국 자사 비즈니스에 도움이 되는 것이 목표여야 한다. 디지털 포메이션은 디지털 기술을 사회 전반에 적용해 전통적인 사회 구조를 혁신시키는 것이다. 이러한 진화하는 IT 기술에 맞는 정보보호 정책과 CISO의 역할 규정과 준수가 이루어질 수 있길 기대해 본다”고 말했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★