[데이터넷] 금융산업은 국가기반산업으로, 집요한 사이버 공격을 받고 있다. 그래서 강력한 보안과 규제의 통제를 받고 있지만, 동시에 ‘혁신’해야 한다는 과제도 완수해야 한다는 난제를 안고 있다. 복잡한 문제일수록 기본부터 차근차근 시작하는 것이 중요하다. 코스콤 IT인프라본부장인 김계영 상무는 ‘기본과 원칙’을 지키는 것이 어려운 과제를 풀기 위한 시작이라고 강조한다. IT 전문 매거진 <네트워크타임즈>와 IT 전문 인터넷 언론 <데이터넷>, 그리고 IT 기업 인포시즈가 공동으로 진행하는 <금융 CISO를 만나다> 시리즈의 이번호에서는 김계영 상무와 함께 IT 관리·보안 조직이 직면한 과제와 이를 해결하는 방안에 대해 이야기했다.<편집자>

“아는 만큼 보인다”.

유홍준 교수가 ‘나의 문화유산 답사기’에서 조선시대 한 문인의 글을 인용하면서 명제로 내 건 문장이다. 이 문장만큼 ‘앎’의 중요성을 강조한 것은 없을 듯 보인다. 보안도 마찬가지다. 아는 만큼 볼 수 있고, 볼 수 있어야 대책을 마련할 수 있다. 강력한 규제준수 의무를 갖고 있으며, 지능형 사이버 공격을 받고 있으면서 ‘혁신’의 요구까지 받는 금융기관은 특히 더 ‘아는 만큼 보인다’는 말에 집중해야 한다. 준수해야 할 규제의 정확한 내용과 사이버 위협 트렌드, 그리고 혁신의 방향을 정확하게 파악하고, 모든 사항을 만족할 수 있는 대안을 만들어야 한다.

코스콤의 IT 인프라 본부장이면서 CISO를 겸임하고 있는 김계영 상무는 “해야 할 일을 정확하게 알고, 이 일을 이행하는 데 필요한 핵심 원칙을 분명히 하며, 정확한 방향을 세워야 한다. 그것이 복잡한 문제를 해결하는 방법”이라고 밝혔다.

‘집요한 사이버 공격, 까다로운 규제준수 요건, 경쟁에 살아남기 위한 혁신’이라는 난제를 안고 있는 중요한 금융기관에서 IT 인프라 운영과 정보보호 총괄을 맡고 있는 김계영 상무는 “풀기 어려운 문제일수록 기본에 충실해야 한다. 그리고 원칙과 방향을 제대로 수립하면 세부 이행 계획에 변수가 생겨도 충분히 대응할 수 있다. ‘유행이어서’, ‘다른 사람이 하니까’ 등의 이유로 사업을 끌어가서는 안된다”고 강조했다.

김계영 코스콤 IT인프라본부장과 탁정수 인포시즈 대표의 대담을 정리한다.

다양한 현장서 쌓은 풍부한 경험으로 IT관리·보안 총괄

■ 탁정수 대표= 코스콤과 IT 인프라본부에서 수행하는 주요 업무에 대해 소개해달라.

■ 김계영 상무= 코스콤은 자본시장의 중요 전산업무 개발과 운용, 해외 거래소 IT 인프라 개발·운용 등의 업무를 맡고 있으며, 클라우드·핀테크 등 금융산업 선진화를 위한 새로운 사업을 추진하고 있다. IT 인프라본부는 IT 인프라 운영과 네트워크·정보보호 및 데이터센터 관리 업무를 맡고 있다.

■ 탁정수 대표= 그간 다양한 사업부서에서 경험을 쌓은 것으로 알고 있다. IT 인프라와 정보보호 총괄 업무를 맡게 됐을 때 부담이 컸을 것 같다.

■ 김계영 상무= 올해 코스콤 재직 29년을 맞았다. 외국인 투자관리 시스템 구축·운영 업무를 시작으로, 해외사업부, 미래성장본부, 디지털인증사업단 등을 거쳐 IT 인프라본부를 맡게 됐다. IT 인프라 본부는 국내 자본시장에서 매우 중요한 증권거래 IT 인프라를 관리해야 하기 때문에 책임이 막중하다. 또 CISO로서 정보보호 정책도 총괄해야 해 무엇보다 보안이 중요한 금융기관 종사자로서 큰 부담을 가질 수 밖에 없었다.

저는 다양한 현업부서에서 경험을 쌓아와 현장을 잘 이해할 수 있어, 보안과 현업의 인식차를 줄일 수 있는 방법을 찾을 수 있다. 현업 생산성과 민첩성을 높여 빠르게 변하는 환경을 지원해야 하는 만큼, 안전하게 고객정보를 지키고 시스템을 운영하는 것이 중요하다. 둘 중 어느 하나도 포기할 수 없는 원칙이기 때문에, 두 원칙을 모두 지키면서 목표를 달성할 수 있는 효과적인 방법을 찾고 있다.

임직원 보안인식 변화가 가장 중요

■ 탁정수 대표= 복잡한 규제준수 의무와 지능화되는 보안 문제를 해결하는 방법은 무엇인가.

■ 김계영 상무= 코스콤은 금융위원회 산하 기관으로 전자금융기반시설이다. 또한 국가보안시설이면서 과학기술정보통신부가 지정한 중요정보통신기반시설이기도하다. 그만큼 까다로운 규제준수 의무를 갖고 있으며, 자본시장 발전을 위한 기초를 지원하는 코스콤의 역할을 생각하면 당연하다고 할 수 있다.

강력한 규제준수 의무와 사이버 공격 대응을 하다 보면 혁신을 통한 지속가능한 성장 전략을 마련하고 추진하는데 어려움이 있는 것도 사실이다. 규제를 지키고, 진화하는 보안에 적극 대응하면서 변하는 시장 요구에 맞춰 성장하기 위해 다각도로 노력하고 있다. 법 적용에 있어 현실적으로 어려운 부분은 금융당국과 적극적으로 소통하면서 규제 내에서 시도할 수 있는 노력을 진행하고 있다.

■ 탁정수 대표= CISO로서 특별히 중요하게 생각하는 원칙이 있나.

■ 김계영 상무= 모든 임직원의 보안인식 변화가 중요하다고 본다 보안은 아무리 강조해도 지나치지 않으며, 솔루션과 정책, 규제로 해결할 수 있는 문제도 아니다. 임직원과 협력업체 전체의 보안인식을 바르게 정립하는 것이 필요하며, 이를 위해 정기적/비정기적 교육과 캠페인, 인식개선 활동을 진행하고 있다.

물론 보안 솔루션을 도입하고 정책을 만들어 운영하는 노력도 지속하고 있다. 정보보호에 대한 과감한 투자를 단행하고 있으며, 비즈니스 속도에 영향을 주지 않으면서 보호할 수 있는 다양한 기술을 도입하고 있다.

코스콤은 클라우드, 빅데이터 등 신사업 개발에도 주력하고 있으며, 네이버 클라우드와 공동으로 금융클라우드 서비스를 제공하고, 사내 업무도 일부 클라우드로 이관하는 등 기술 변화에 따른 새로운 기술과 서비스를 이용하고 있다. 이 환경에서 규제준수와 보안 통제가 체계적으로 적용되도록 하는 것에도 관심을 기울이고 있다.

다른 조직과 적극적인 소통으로 전사 보안 수준 높여

■ 탁정수 대표= 보안·관리 업무는 현업 부서와 마찰을 빚을 수 밖에 없는 역할이다. 실무 조직이나 경영진과의 의견차는 어떻게 해결하고 있나.

■ 김계영 상무= 각자 맡은 업무 특성이 있기 때문에 갈등이 발생하는 것은 막을 수 없다. 각자 업무 책임관계를 명확히 하고, 외부 규제 및 내부 통제에 따른 보안규정을 정확하게 정리해 공유하며 이해시키는 노력을 지속하고 있다. 위기대응 프로세스를 가동하고 있으며, 정보보호 인식 교육 및 캠페인, 외부 협력업체 직원을 포함한 전사 임직원을 대상으로 다양한 교육과정을 운영하고 있다. 더불어 실제 업무에 있어서 비효율적인 부분을 제거하기 위해 위험평가를 통한 서비스 실효성을 검토하고 최적의 보안정책 적용과 업무 효율성 개선을 위해 노력하고 있다.

조직간 갈등 해결은 경영진의 노력과 의지가 절대적으로 필요하다. 임원회의 때 각자 직면한 문제와 해법을 구체적이고 상세하게 얘기하고 협조 방안을 도출하기 위해 노력한다. 구체적으로 코스콤은 CISO, 업무팀, 보안팀이 정기적/비정기적으로 모여 각종 현안에 대해 협의하는 정보보호위원회 제도를 운영하고 있다.

더불어 정기적으로 CEO에게 정보보호 활동보고서를 공유해 외부 침입 시도 탐지와 조치 건수, 사이버 보안 진단 결과 등 정보보호 관련 모든 활동을 알려 CEO의 정보보호 관심을 높이도록 노력하고 있다.

■ 탁정수 대표= 현업 담당자들과의 소통도 매우 중요할 것 같다. 특히 요즘 기업은 조직 구성원의 세대차로 인한 갈등을 겪고 있다.

■ 김계영 상무= 세대차는 어느 시대에서나 피할 수 없는 갈등으로, 서로 이해하려는 노력이 필요하다. 세대차는 업무를 진행하는데 영향을 주지 않는다. 리더나 구성원들이 업무 추진 시 확실한 원칙을 세우고, 업무 추진 시 발생할 수 있는 다양한 변수와 영향을 충분히 검토해 정확한 방향과 구체적인 실행 계획을 세워 실행하면 갈등이 발생할 수 있는 소지를 줄일 수 있다.

사업 수행의 목적과 이유를 분명히 하지 않고, ‘다른 조직에서 하기 때문에’, ‘유행하는 사업이니까’ 등의 이유로 진행하거나 원칙과 방향을 수시로 바꾸면 조직원의 신뢰를 잃고 표류하게 된다. 원칙과 방향이 분명하다면, 사업 수행 중 발생하는 돌발상황으로 세부 계획이 변경된다 해도 상황에 유연하게 대응하면서 합리적으로 풀어갈 수 있다.

인재 확보·인력 양성 위한 노력 지속

■ 탁정수 대표= 최근 사이버 공격이 국가 주요 기반시설에 집중되고 있어서 코스콤 역시 이에 대한 대응책이 필요할 것 같다.

■ 김계영 상무= 사이버 보안 대응을 위해 솔루션만큼 중요한 것이 내부 보안인식 제고와 전문가 풀 구성이다. 그래서 임직원 대상 정보보호 교육을 실시하는 한편 전문인력 양성을 위해 전문가를 채용하고 내부 전문가를 양성하는 활동을 지속하고 있다.

코스콤의 보안인력은 여러 해킹방어대회에서 좋은 성적을 거두고 있으며, 전사 시스템 모의해킹 수행도 자체 역량으로 수행하고 있다. 또한 보안 인력이 여러 분야에서 경험을 쌓고 업무 범위를 확장시키면서 성장할 수 있도록 지원하고 있다.

인재 확보만큼 중요한 것이 보안 체계를 수립, 운영하는 것이다. 코스콤은 시스템, 소프트웨어 등유무형 IT 자산 뿐 아니라, 사람과 프로세스 등도 리스크 관리 범주에 포함시키고 있다. 데이터, 시스템, 네트워크, 단말 등 각 영역별 IT 요소에 대한 기술적 보호조치 및 물리적, 관리적 보안 체계도 수립해 운영하고 있다.

보안 솔루션 구축과 운영의 효율화도 지능형 위협 방어에 필수적이다. 위협 방어를 위한 필수 솔루션을 도입해 운영하고 있으며, 금융ISAC 기능을 담당하는 금융보안원과 유기적으로 공조해 지능형 보안위협에 대응하고 있다. 직접 개발한 빅데이터 기반 지능형 보안관제 시스템을 운영하고 있으며, 머신러닝, EDR, UBA 등에 대해서도 기술검증 중이며 SOAR를 통한 보안 자동화 계획을 검토하고 있다.

■ 탁정수 대표= 직원의 전문성을 강조했는데, 후배들이 전문성을 가질 수 있도록 지원하는 것이 있나.

■ 김계영 상무= 회사에서는 직원의 성과에 대해 적절한 인센티브를 부여하고, 새로운 도전을 지원하는데 적극 나서고 있다. 그러나 모든 직원이 자신의 장점을 적극적으로 알려고 하는 것은 아니기 때문에 직원 스스로 성장할 수 있도록 동기를 부여하는 것이 필요하다.

또 직원 스스로 전문가로 성장하고자 하는 의지를 가져야 한다. 새로운 과제에 도전하되, 그 과제가 어떤 내용인지 정확하게 이해하고, 분명한 목적과 구체적인 실행방안을 만들어 추진해야 한다. 모든 도전에 성공하는 것은 아니지만, 시행착오를 겪으면서 성장할 수 있을 것이다.

현재 우리는 너무 빠르게 변하는 기술의 시대에 살고 있다. 지금 유행하는 기술이 조만간 사라지고 새로운 기술이 등장한다. 이 변화를 수동적으로 따라가기보다 적극적으로 변화에 동참하면서 전문성을 갖추는 것이 필요하다.

특히 보안은 앞으로 더 중요한 업무가 될 것이며, 향후 전망도 매우 밝다. 다만 한가지 분야에만 매진하기보다 여러 분야를 직·간접적으로 두루 이해하면서 사회와 기술 변화에 맞는 보안 전문성을 키워가기를 바란다.