[금융 CISO 만나다] 이만재 한화생명 상무 “혁신을 위한 보안…보안을 위한 혁신”
상태바
[금융 CISO 만나다] 이만재 한화생명 상무 “혁신을 위한 보안…보안을 위한 혁신”
  • 김선애 기자
  • 승인 2021.01.21 09:00
  • 댓글 0
이 기사를 공유합니다

디지털 금융 혁신 위한 보안 거버넌스 마련 … 보안, 전사 과제로 인식시켜야
보안조직 전문성 향상 위한 새로운 도전 적극 지지 … 금융보안 성장 위해 노력

[데이터넷] 금융산업은 그 어느 때보다 높은 혁신 요구에 직면해 있다. 디지털 트랜스포메이션을 통해 다가오는 포스트 코로나 시대에 대비해야 하며, 테크핀 혹은 핀테크라고 불리는 금융산업 개혁도 적극 나서야 한다. 이로 인해 급증하는 사이버 위협에 정교하게 대응해야 하고, 그 가운데에서도 고객 보호를 최우선 과제로 인식해야 하며, 규제 요구사항도 준수해야 한다.

IT 전문 매거진 <네트워크타임즈>와 IT 전문 인터넷 언론 <데이터넷>은 IT 기업 인포시즈와 함께 ‘금융 CISO를 만나다’ 시리즈를 준비했다. 이 기획을 통해 ‘혁신’이라는 거대한 파도 위에 있는 금융기관의 CISO가 이 과제를 어떻게 받아들이고 있으며, 어떤 해결책을 모색하고 있는지 알아본다. 기획의 첫번째 문을 연 CISO는 금융보안원 비상임이사와 한화생명 CISO를 맡고 있는 이만재 상무다.<편집자>

한화생명은 업계 대표적인 ‘퍼스트 무버’로 꼽힌다. 업계 선도적인 기술과 서비스를 가장 먼저 도입하고 성공시키면서 금융 혁신을 이끌어왔다. 한화생명은 디지털 보험사로 전환을 가속화하고 있으며, 다양한 디지털 기술과 서비스를 제공하고 있다. 또한 고객과 서비스의 보호를 위해 보안 투자에도 적극 나서 생보사 최초 ISO27001 인증을 획득하고 2019년 금융보안원 주관 금융정보보호 컨퍼런스 최우수상을 수상하기도 했다.

디지털 혁신 여정 속에서 보안 문제는 어떻게 해결했을까. 이 질문에 한화생명 CISO인 이만재 상무는 “혁신을 위해 보안을 소홀히 해도 안 되지만, 보안이 혁신의 발목을 잡아서도 안 된다. 보안만 생각하면 클라우드도, 재택근무도 도입할 수 없다. 그러면 가속화되는 산업변화를 따라갈 수 없고 경쟁에서 뒤처지게 된다”며 “보안조직은 혁신과 보안 두 마리 토끼를 모두 잡아야 한다”고 강조했다.

이만재 상무는 금융보안원 비상임이사로, 금융기관의 역할과 금융소비자 편의 제고를 위해 여러 정책 대안과 혁신 기술을 제안해왔다. 또한 금융권의 디지털 트랜스포메이션 여정에서 필요한 보안 정책과 프로세스를 만드는데 노력해왔다.

▲이만재 한화생명 상무(오른쪽), 탁정수 인포시즈 대표(왼쪽)
▲이만재 한화생명 상무(오른쪽), 탁정수 인포시즈 대표(왼쪽)

탁정수 인포시즈 대표와 이만재 한화생명 상무의 대담을 정리한다.

디지털 트랜스포메이션 위한 보안 정책 마련

■ 탁정수 대표= 한화생명은 선도적이고 혁신적인 기술을 앞서 도입하고 새로운 서비스를 선보이면서 업계 발전을 리딩해 왔다. 이 과정에서 새로운 보안 위협에 대한 도전, 강화되는 규제준수 의무, 내부 임직원과의 커뮤니케이션 등의 문제를 해결하기 쉽지 않았을 것 같다.

■ 이만재 상무= 디지털 트랜스포메이션의 특성상 사이버 위협은 숙명처럼 따라다닐 수밖에 없다. 당연히 기존 보안 거버넌스로는 변화하는 환경에 대응하지 못한다. IT 및 현업과 긴밀하게 소통하면서 뉴노멀 시대 비즈니스를 위한 보안 정책을 마련할 수 있도록 노력하고 있다.

■ 탁정수 대표= 새로운 보안 정책과 체계를 만들 때, CEO나 CIO를 설득하는 것이 어려운 일 아닌가.

■ 이만재 상무= CISO와 CEO·CIO가 갈등관계에 있어서는 안된다. ‘혁신’과 ‘성장’이라는 단일한 목표를 두고, 서로 어떤 문제를 겪고 있고 이상적인 해결책이 무엇인지 논의하면서 협력하는 관계를 만들어야 한다. 이를 위해서는 상호 신뢰관계가 형성돼 있어야 하며, 보안 이슈를 특정 부서의 책임이 아니라 전사 위험관리 차원으로 사고를 확장시켜야 한다.
예를 들어 한화생명은 전사 차원의 보안 관리 강화를 위해 상시 교육과 훈련, 캠페인을 진행하고 있다. 또한 금융보안에 대한 트렌드와 보안관리 중요성에 대한 내용을 정기적으로 보고하고 개선방안을 제안하면서 보안수준을 높이고 있다.

▲이만재 한화생명 상무는 “보안은 조직에 신뢰를 주어야 한다. 위협이 어떻게 증가하고 있으며, 이를 어떻게 대응해야 하는지 충분히, 이해하기 쉽게 설득해나가야 한다. 보안 조직과 경영진⋅임직원은 갈등 관계가 아니라 협력 관계에 있어야 한다”고 말했다.
▲이만재 한화생명 상무는 “보안은 조직에 신뢰를 주어야 한다. 위협이 어떻게 증가하고 있으며, 이를 어떻게 대응해야 하는지 충분히, 이해하기 쉽게 설득해나가야 한다. 보안 조직과 경영진⋅임직원은 갈등 관계가 아니라 협력 관계에 있어야 한다”고 말했다.

보안·현업 협조 이끌어내기 위해서는…

■ 탁정수 대표= 디지털 금융 혁신을 위해 새로운 보안 거버넌스를 수립할 때, 보안조직의 전문성을 높이는 것이 전제되어야 할텐데, 인력의 전문성을 향상시키기 위해 어떤 노력을 하고 있나.

■ 이만재 상무= 급변하는 환경 속에서 지속적인 성장을 이뤄가기 위해 직원 스스로 공부하고 성장 기회를 찾아야 한다. 예를 들어 클라우드를 도입한다고 했을 때, 발생 가능한 보안 위협과 대응 방안을 숙지해서 정책에 반영하도록 관련부서와 직원들을 설득하고 조율한다. 그 과정에서 합리적인 정책 방안을 도출할 수 있으며, 이를 업무에 적용해 운영하면서 지속적으로 개선해 모범적인 성공사례를 만들 수 있다. 물론 실패할 수도 있지만, 그 과정에서 얻은 경험을 다른 태스크에 반영해 더 나은 결과를 얻을 수 있다.
이 같은 노력을 몇 년 동안 꾸준히 한 사람과, 주어진 일만 착실하게 해 나가는 사람, 기업 입장에서 둘을 비교했을 때 어느 쪽이 더 성장속도가 빠를까? 상황에 따라 다르겠지만, 지금과 같은 혁신의 시기에는 여러 도전 과제를 수행해 본 사람에게 좀 더 기회를 줄 수 있을 것이다. 나는 직원에게 적극적으로 도전 기회를 주면서 전문성을 향상시킬 수 있도록 독려하고 있다.

■ 탁정수 대표= 조직을 이끄는 수장으로서, 허용 가능한 도전의 범위를 어떻게 결정하나.

■ 이만재 상무= 미래를 정확하게 예측할 수는 없으며, 특히 금융보안은 아주 빠르게 변하고 있기 때문에 허용 범위를 정확하게 잘라 말할 수는 없다. 그러나 금융업 특성 상 팀원이 도전 가능한 범위가 무한대로 확장되지는 못한다. 우선 자신이 해야 할 일을 하면서 컴플라이언스에서 용인되는 범위 내에서 시도해야 하기 때문이다. 주어진 환경 내에서 혁신이 가능한 범위를 찾는 것이 도전이라고 생각한다.

■ 탁정수 대표= 새로운 보안 정책을 마련했을 때, 현업의 반발도 무시할 수 없을 것 같다.

■ 이만재 상무= 보안은 신뢰가 중요하다. 보안 정책을 수립할 때, 어떤 행위가 어떤 이유에서 보안 위반인지 확실하게 설명해야 한다. 보안에 대한 신뢰가 쌓였을 때 비로소 사이버 리스크를 제거한 디지털 트랜스포메이션에 성공할 수 있게 된다.

▲탁정수 인포시즈 대표가 “디지털 트랜스포메이션 과정에서 경영진, 보안 조직, 현업 담당자를 설득하는 것이 쉬운 일이 아닐 것이다”라는 취지의 질문을 했다. 이에 이만재 상무는 “보안은 갈등을 일으키는 조직이 아니다. 보안이 신뢰를 보여주면 충분히 협력할 수 있을 것”이라고 답했다.
▲탁정수 인포시즈 대표가 “디지털 트랜스포메이션 과정에서 경영진, 보안 조직, 현업 담당자를 설득하는 것이 쉬운 일이 아닐 것이다”라는 취지의 질문을 했다. 이에 이만재 상무는 “보안은 갈등을 일으키는 조직이 아니다. 보안이 신뢰를 보여주면 충분히 협력할 수 있을 것”이라고 답했다.

안전한 클라우드 전환 대책 마련

■ 탁정수 대표= 한화생명은 금융기관 중 가장 먼저 하이브리드 클라우드를 도입하면서 금융 클라우드 발전에 모범 사례를 제시하고 있다. 2021년 중점적으로 추진할 사업과 목표는 무엇인가.

■ 이만재 상무= 한화생명은 금융기관 중 가장 앞장서서 하이브리드 클라우드 전환을 진행하고 있다. 퍼블릭 클라우드는 보안 문제를 해결하기 쉽지 않으며 책임공유모델에 따른 책임소재 공방에서도 자유롭지 않다. 국내 규제를 준수하면서 금융산업에 최적화된 클라우드 운영 모델을 만들어나가고 있다. 가장 완성도 높고 안전한 하이브리드 클라우드를 운영하면서 업계에 모범 사례를 전파할 것이다.

■ 탁정수 대표= 클라우드 도입 시 가장 고민되는 부분이 보안이다.

■ 이만재 상무= 클라우드 도입 시 보안만을 생각할 수는 없으며, 고객 보호와 새로운 디지털 금융 서비스를 위한 비즈니스 유연성, 임직원의 생산성, 규제준수 등 다양한 이슈를 검토해야 한다. 이 모든 조건을 충족하는 보안 체계를 마련하고 관련 시스템 도입을 검토하고 있다.

급증하는 위협 대응 위한 차세대 보안 구축

■ 탁정수 대표= 코로나19로 인해 많은 직원들이 재택근무를 하고 있다. 이 보안 문제는 어떻게 해결했나.

■ 이만재 상무= 한화생명은 코로나19 초기부터 규제에 따라 허용된 범위 내에서 재택근무를 시작했으며, 상시 재택근무가 가능한 직원 중 70%가 재택근무를 하고 있다. 재택근무 시스템은 금융감독원 가이드라인에 따라 구축해 성공적으로 운영하고 있다. 다만 VPN을 이용해 외부에서 업무망으로 접속해야 하고, VPN 연결이 되지 않으면 다른 업무를 볼 수 없게 해 업무 효율성이 떨어진다는 지적이 있다. 현재의 데이터 중심 망분리 원칙에 동의하지만, 직원의 안전한 업무 지원을 위한 제로 트러스트 관점의 접근 방식을 채택해야 한다고 생각한다.

■ 탁정수 대표= 금융권을 대상으로 한 랜섬웨어와 디도스 공격, 또 데이터 경제 시대 개막으로 인한 개인정보 보호와 활용 등 금융권의 보안 문제가 산적해 있다.

■ 이만재 상무= 업무 효율성을 높이면서 고객과 비즈니스를 보호하는 환경을 만드는 것은 보안조직이 가진 숙명이다. 비즈니스 변화가 빨라지면서 공격이 기하급수적으로 증가하고 있다. 이에 대응하기 위한 지능형 위협 탐지 기법을 개선하고 있다.
새로운 보안 기술 도입도 추진하고 있지만, 도입 전에 이를 제대로 운용할 수 있는 조건이 마련돼 있는지 먼저 살펴보고 있다. 기존에 운영하던 보안 제품과 유사한 관점에서 접근하면 중복투자와 관리 포인트 증가로 오히려 리스크가 높아진다. 또 업계 최고의 보안 제품을 도입했을 때 이를 제대로 사용할 수 있는 기반이 마련돼 있지 않으면 무용지물이다. 최근 글로벌 시장에서 주목하고 있는 사이버 기만 기술, 마이크로세그멘테이션 등 상대적으로 운영이 용이하고 과·오탐을 줄일 수 있는 기술을 검토하고 있다.
개인정보 보호와 활용에 대해서는 신중하게 접근하는 중이다. 데이터 3법이 시행되면서 더 많은 비즈니스 기회가 생기고, 타 업종과 결합으로 신사업 발굴에 도움이 될 것으로 보인다. 한화생명은 타사와 데이터 결합을 통한 새로운 서비스를 계획하고 있으며, 마이데이터 사업 진출 여부도 고민하고 있다. 무엇보다 데이터를 안전하게 보호해야 활용할 수 있기 때문에 정보보호 내실화에 집중하고 있다.

■ 탁정수 대표= 최근 보안업계에서는 AI, 자동화에 관심이 많다. AI 기반 보안 솔루션이나 SOAR와 같은 차세대 보안관제 솔루션 도입도 검토하고 있나.

■ 이만재 상무= AI 기반 보안 솔루션은, 몇 년 전에 면밀하게 검토하고 관련 제품을 도입해 성공적으로 운영하고 있다. 당시에는 AI 보안에 대한 개념이 생소했을 뿐 아니라 글로벌 시장에서도 완성도 높은 제품이 충분하지 않다. 현재 여러 솔루션이 ‘AI 보안’을 표방하고 있어 차세대 시스템 도입 시 검토할 계획이다.
장기적으로 SOAR를 추진하고자 하는데, 제대로된 SOAR를 운영하기 위해서는 여러가지 선행되어야 할 작업이 필요하다. 프로세스를 정비하고, 표준화⋅자동화하며, 다양한 플레이북 시나리오가 준비되어야 하고, 즉시 적용 가능한 유연성 등이 있어야 한다. 이러한 것을 사전에 재 정의한 후에 SOAR를 본격 추진할 계획이다.
SOC 업무의 대부분은 단순반복적이다. 이를 자동화 해 관제 업무를 줄인 후, 관제요원이 더 높은 수준의 보안 분석에 집중하도록 하면, 고급 전문가로 성장할 수 있다. 이 관점에서 AI를 활용한 자동화가 필요하다. 이를 SOAR로 발전시키기 위해 필요한 과제를 단계적으로 수행해 나갈 계획이다.

▲이만재 상무는 “보안이 혁신의 발목을 잡아서도, 혁신 때문에 보안을 소홀히 해서도 안된다. 새로운 비즈니스 환경을 보안이 어떻게 지원할 수 있는지, 고객 보호 및 임직원 생산성 향상과 규제준수 요건 마련 등의 문제를 언제나 고민해야 한다”고 강조했다.
▲이만재 상무는 “보안이 혁신의 발목을 잡아서도, 혁신 때문에 보안을 소홀히 해서도 안된다. 새로운 비즈니스 환경을 보안이 어떻게 지원할 수 있는지, 고객 보호 및 임직원 생산성 향상과 규제준수 요건 마련 등의 문제를 언제나 고민해야 한다”고 강조했다.

금융보안 혁신 성공 위한 선도적 역할 수행

■ 탁정수 대표= 오는 4월이면 금융보안원 비상임이사 역할이 끝난다. 그동안의 소회와 앞으로의 계획을 말해달라.

■ 이만재 상무= 지난 2년동안 금융권은 그야말로 혁신의 중심에 서 있었다. 너무 많은 것이 변했고 정책 기조도 바뀌었다. 금융보안원 비상임이사 역할을 하면서 생보사 뿐 아니라 금융산업 전체에 대한 보안 정책을 고민하고 여러 의견을 들을 수 있었다. 그 과정에서 금융보안에 대한 시야가 넓어졌다.
비상임이사로 금융기관의 역할과 금융 소비자 편의 제고를 위해 노력해왔는데, 앞으로 이를 더 발전시켜 금융보안원이 디지털 금융보안 트렌드에 부합하고, 데이터 3법 등 금융데이터 활용과 보호에 선도적인 역할을 수행하도록 지원하겠다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.