SK텔레콤은 지난달 사이버 침해사고와 관련해 다양한 정보보호 강화조치를 발표했습니다. 5년간 7천억원에 달하는 적극적인 투자로 글로벌 최고 수준의 정보보호체계를 갖추겠다는 내용을 담은 ‘정보보호혁신안’을 발표[글보기] 하였고, 이 자리에서는 정보보호최고책임자(CISO) 조직을 CEO 직속으로 격상해 책임과 역할을 강화하는 조직 개편을 예고하기도 했습니다.
이번에 뉴스룸에서는 SKT의 정보보안 혁신을 이끌어 갈 신임 CISO인 이종현 통합보안센터장을 만나 인터뷰를 진행했습니다.
Q1. CISO로 쌓아온 주요 이력과 경험, 성과에 대해 말씀해 주십시오.
SK텔레콤에 합류하기 전에는 아마존에서 디바이스와 서비스를 담당하는 사업부 디바이스 총괄 보안업무를 4년 여 동안 이끌었고, 그 전에는 삼성전자 무선사업부와 네트워크 사업부에서 정보보안 책임자로 근무하였습니다. 특히, 삼성전자 재직 시에는 안드로이드 생태계에서의 정기 보안 업데이트를 2015년 시작하였고 단말의 보안 업데이트에 대한 기준과 지향점을 바꾸는 기틀을 만들었습니다. 삼성전자 전에는 캐나다 브리티쉬 컬럼비아 주정부에서 국제 표준 기반의 정보보안 정책을 만들어 전 부처에 적용하고, 관리하며 운영하는 작업과 주 정부의 중장기 정보보안프로그램 수립 및 관리 업무를 맡았습니다. 이후 법무부로 이동하여 CISO 역할을 수행하였습니다. SK텔레콤에서 체계적이고 포괄적인 보안 운용, 기술적 보안 리더쉽의 구축 등에 있어 이런 경험이 실질적인 도움을 줄 수 있다고 생각합니다.
CISO는 기업과 고객의 정보자산을 온전히 지켜내는 ‘비즈니스 리더’
Q2. 기업의 CISO 역할은 무엇이고, 어떤 점을 중요하게 생각하시나요?
기업에서 CISO는 경영 성과와 직결되는 보안 의사결정 및 리스크 관리 등을 수행하고, 디지털, 클라우드, AI 등 신기술 기반의 혁신에 필요한 보안 고려 사항을 제시하고, 경영진의 의사결정을 돕는 비즈니스 리더라고 생각합니다.
세부적으로 보안 전략의 수립과 수행, 보안정책의 개발, 위험 평가 및 관리, 보안 기술의 도입과 운영, 사이버 공격에 대한 대응, 임직원 보안 교육 그리고 법규 및 규제 준수 등 많은 보안 관련 영역의 업무를 수행합니다.
이러한 CISO 업무 중에 기업의 시스템 및 디지털 자산을 보호하기 위해 정보보호 전반을 보는 시각과 정보 자산을 보호하기 위한 조직의 역량을 키워내 리스크를 최소화하는 역할이 중요합니다. 이 역할이 결국 기업 및 고객의 정보자산을 온전히 지켜내는 것이라 생각합니다.
Q3. 최근 국내외 사이버 위협 환경이 어떻게 변화하고 있다고 보시나요?
사이버 공격 기술의 발달과 함께 그 기술을 악용하는 행위 또한 고도화, 정교화, 지능화되고 있습니다. 그 예로 AI를 이용한 피싱, 스미싱, 사기 등이 급격히 늘고 있고, 자동화된 악성코드의 제작 및 이를 이용한 공격 시도가 증가하고 있습니다. 또한 암호화폐를 매개로 한 랜섬(Ransom) 요구 등도 급증하고, 공격자들은 해킹 툴이나 피싱 킷 같은 전문화된 범죄 도구를 생성하여 다크웹을 통해 대량으로 유통하기도 합니다.
빠르게 변하는 사이버 위협 기술 환경에서 우리는 이러한 공격에 대처하기 위해 공격자들보다 한발 앞서 기술을 이해하고 내재된 위험을 파악하여 꾸준히 대처 능력을 향상시키는 발빠른 대처만이 답이라고 생각합니다.
Q4. 성공적인 사이버 위협 환경 대응 경험을 소개해 주십시오.
제가 아마존에서 하드웨어 보안진단 및 기능을 개선한 사례가 있습니다. 아마존 디바이스에 사용하는 다양한 칩을 대상으로 모의 해킹하여 칩의 취약점을 제품 적용 전에 발견하고, 칩 공급업체와 협력하여 취약점을 제거해 아마존 디바이스에 사용하도록 한 것인데요. 이를 통해 해당 칩을 사용하는 수억 대의 IoT 기기에 존재하는 취약점이 블랙햇(BlackHat) 컨퍼런스를 통해 발표되었을 때, 아마존 디바이스는 이미 해당 취약점이 제거된 버전의 칩을 사용함으로써 사이버 위협 영향을 받지 않고 고객의 정보를 보호할 수 있었습니다.
이 경우도 공격자의 타깃이 시스템에서 하드웨어로 이동하는 것을 인지하고, 선제적으로 보안 활동을 수행하였기에 취약점이 발표되기 전에 조치를 할 수 있었습니다. 기술 동향의 파악 및 이를 이용한 선제적 대응이 효과를 본 경우라고 할 수 있습니다.
보안 거버넌스 강화 위해 보호-탐지-대응-복구의 전문화 시스템 구축할 것
Q5. SKT가 정보보호 강화를 위해 우선적으로 해야 할 것은 무엇인가요?
사이버 침해사고 발생 후 SKT는 CISO 조직을 CEO 직속으로 격상하는 한편 8월 1일부로 통합보안센터를 출범시켰습니다. 사고를 겪으며 우리가 강화해야 할 숙제는 보안 거버넌스의 강화입니다. 이를 위해 보안 운용의 보호-탐지-대응-복구 전문화 시스템을 구축해야 합니다. 이어 정보자산을 지키기 위한 보안 요소기술 구축 역량의 확보 및 구현 등을 수행하기 위한 조직을 통합보안센터 내에 구축하는 것입니다. 회사 내부 이동을 통해 통합보안센터에 합류할 비보안 인력을 재교육하여 보안 전력화하는 작업도 곧 진행될 것이며, 빠른 시일 내에 보안 전문역량을 확보하기 위한 외부 인재 영입도 진행하고 있습니다. 이런 체계적이고 포괄적인 노력을 통하여 SKT의 정보보호 혁신을 이루고자 합니다.
Q6. SKT CISO로서 가장 신경 쓰고 있는 부분이 무엇인지 말씀 부탁드립니다.
현재 SKT가 구축해야 할 보안 기능 및 역량은 단기간에 이뤄지는 것은 아니기에 1-2년 단위의 중기 구축 계획을 진행하면서도 그 시스템이 완성될 때까지 보완적인 작업들이 동시에 수행되어야 합니다. 이 두 개의 트랙을 모두 가동하면서 보안 능력 고도화 작업을 해야 하는 상황이라서 전사적인 대응이 무엇보다 중요한 시점입니다. 한달 여의 짧은 시간 동안의 경험이었지만, 저는 SKT가 우수한 인재와 문화를 보유한 기업이라는 것을 확인할 수 있었습니다. 이러한 저력이 현재의 위기를 이겨내고 보안이 강한 기업으로 도약하는 든든한 기반이 되어 줄 것이라고 믿습니다.
Q7. SKT가 고객에게 신뢰받는 보안 우수 기업으로 거듭나기 위해 어떠한 노력이 필요할까요?
저는 신뢰라는 것은 올바른 방향의 활동과 그에 따른 긍정적인 결과가 하나씩 쌓여서 형성된다고 믿습니다. 즉, 신뢰는 일정 시간을 관통하는 긍정적인 경험의 축적을 통해 형성되고 자라나는 것이라고 생각합니다. 보안을 통해 다시 고객의 신뢰를 얻기 위해서는 고객 정보를 보호하기 위한 올바른 활동들을 하나씩 전개하고 그 결과를 고객들에게 지속적으로 커뮤니케이션하면서 상호 긍정적인 경험을 쌓아 나가야 할 것으로 생각합니다. 구체적인 활동으로는 빠르게 조치할 수 있는 quick-win 활동도 있겠지만, 시간과 노력이 필요한 시스템의 구축, 프로세스의 개선, 이에 따른 임직원의 보안 마인드 제고 등이 병행되어 전사적 체질 변화가 진행되고 내재화되어야 할 것입니다.
사고 이전의 SKT는 수 십 년 동안 고객 만족에 기여하면서 신뢰를 쌓아왔습니다. 다시 말해 SKT는 고객 신뢰를 쌓아온 경험과 역량을 내재하고 있다고 생각합니다. 함께 고객 신뢰를 쌓아가기 위한 노력을 해 나가면 SKT는 다시 더욱 신뢰받는 기업으로 거듭날 수 있다고 생각합니다.
