[보안리더스] 정보보호에 눈 뜬 해킹당한 대학원생, 삼성카드→쿠팡→LGU+ 보안리더로

다섯 번째 보안 리더, LG유플러스 홍관희 CISO ② 인물 스토리

인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 삼성카드 최고정보보호책임자(CISO)와 쿠팡 최고개인정보보호책임자(CPO)를 거쳐 지난해 6월 LG유플러스 CISO로 취임한 홍관희 전무는 보안분야에서 다방면 경력을 갖춘 대표 정보보호전문가다.

CISO‧CPO 경력은 삼성카드에서 시작했지만, 그 전에도 넥슨·SK텔레콤 등에서 정보보안 업무를 수행했으며 한국인터넷진흥원(KISA)에서 각종 사이버 침해사고를 경험하며 경력을 쌓았다. 이뿐 아니라 글로벌 기업과 국내 보안기업에서도 활동한 바 있다.

20년 이상 보안업계 경력을 쌓은 홍 전무가 처음부터 보안전문가를 목표로 한 건 아니었다. 대학원생 시절 겪은 해킹 경험 후 보안분야에 관심을 갖게 됐다는 설명이다. 시간이 흐른 후, 이제 그는 해킹사고로 개인정보유출을 겪은 LG유플러스 보안정상화를 위한 구원투수가 됐다.

◆우연히 접한 해킹, “보안이 재밌더라”…LGU+ CISO로 오기까지

홍관희 전무는 <디지털데일리>와의 보안리더스 인터뷰를 통해 “미국에서 대학원생으로 컴퓨터 사이언스를 공부했을 때, 연구실 시스템이 해킹당한 적 있었다”며 “관리자 권한을 획득했다고 알려줘서 해킹당한 사실을 알았었는데, 다행히 피해는 없었지만 신기하고 흥미로웠다”고 회상했다.

대학원 시절 경험한 해킹사건 이후 홍 전무는 인터넷 커뮤니티까지 찾아가면서 보안에 관심을 지속적으로 드러냈다. 자동차 제조사인 포드 모터에서 IT 시스템 업무를 맡았는데, 보안분야도 조금씩 경험하게 되면서 ‘즐거움’을 느꼈다고 한다. 이후부터 본격적인 보안 커리어를 쌓게 된다.

홍 전무는 “보안이 재밌어서 하게 됐다”며 “KISA에서 일할 때 정말 재밌었다. 주로 침해사고 분석, 침해대응 협력 등을 했었다. 가장 기억에 남는 건, 싱크홀을 만든 것”이라고 전했다. KISA 싱크홀은 악성봇에 감염된 PC가 해커와 연결 시도 때 해커 시스템 대신 KISA 시스템으로 연결해 해커가 악용할 수 없도록 한다. 이후 홍 전무는 기업에서 정보보안을 실무에 접목하는 일을 해보고자 시스코, SK텔레콤, 넥슨 등을 거치게 된다.

사실, 홍 전무는 ‘같은 업’에서 근무하는 것을 지양한다는 원칙이 있다. 이에 LG유플러스에 오기 전 그는 단 한 번도 같은 분야 기업에서 근무한 적이 없다. 과거 SK텔레콤에 근무했던 홍 전무가 같은 통신업인 LG유플러스로 오게 된 것은 이례적인 일이다.

아무래도 홍 전무는 통신업을 이해하면서 보안정책 진단과 개선을 꾀할 수 있는 인물인 만큼, LG유플러스의 시급한 당시 상황과 맞물려 다시 통신업을 선택한 것으로 풀이된다. 다만, 홍 전무는 LG유플러스가 단순히 통신만을 위한 회사가 아니라고 말한다. 콘텐츠와 플랫폼 사업도 크게 이뤄지고 있는 만큼, 다른 분야도 경험할 수 있는 기회라는 설명이다.

홍 전무는 “LG유플러스는 통신도 있지만, 콘텐츠와 플랫폼 사업 영역도 크다”며 “(LG유플러스 개인정보유출 사고 후 영입된 지) 아직 1년도 되지 않았지만, 수년이 흐른 기분이다. 조금 더 빨리 합류했으면 좋았겠다라는 생각도 든다”고 말했다.

◆인력부터 늘리자…300명 이상 채용 인터뷰

그만큼, LG유플러스 CISO로 합류한 후 홍 전무의 일상이 빠르게 흘러갔다는 의미다. LG유플러스 보안정상화를 위해 그는 채용 확대부터 실시했다. 앞서, LG유플러스는 정부에 경쟁 통신사 수준의 보안 인력을 확보하고, 적극적인 투자를 진행하겠다고 약속한 바 있다.

홍 전무는 “LG유플러스 CISO로 온 후 300명 이상 인터뷰했다. 처음에 왔을 때 제가 속한 조직 인원은 26여명에 불과했는데 100여명 가까이 확대됐다”며 “현재도 계속 채용을 이어가고 있다”고 설명했다.

보안투자 규모는 매년 1000억원대 이상 3개년 실시할 예정이며, 올해는 LG유플러스 보안기반 역량 강화에 주력한다. 통합보안관제와 함께 개인정보보호 거버넌스 및 정보주체 보호 활동, 보안체계 현대화‧자동화 등을 꾀할 방침이다. <지난 기사 참조 [보안리더스] LGU+ 보안투자 3개년 계획, 홍관희 CISO에게 묻다>

보안 강화를 위한 인수합병(M&A)도 열려 있다. 다만, 지분 투자 등 형태도 될 수 있기 때문에 다방면으로 보고 있다는 설명이다.

한편, 홍 전무는 보안을 ‘기본’ ‘펀더멘털’로 표현했다. 리스크를 다루는 만큼 성과의 영역에 놓여있지는 않지만, 비즈니스의 조력자라는 인식 개선이 필요하다는 것이다. 기본이 무너지면 결국 전체가 무너지게 되니까 말이다.

홍 전무는 “보안은 한 번에 해낼 수 있는 게 아니게 아니다. 정해진 리소스와 여러 우선순위를 고려해 3년은 봐야 한다”며 “고객이 LG유플러스 보안 개선을 피부로 체감할 수 있도록, 대리점을 방문하는 디지털소외계층을 위한 정책도 고민 중”이라고 부연했다. 또, “통신시장이라는 제한된 시장 특성상 3사 비교를 하게 되는데, 추후엔 LG유플러스 보안만의 특색을 가져가고 싶은 마음이 있다”고 말했다.

◆홍관희 LG유플러스 CISO 주요 약력

▲2023년 6월 ~ 현재 : LG유플러스 사이버보안센터장 겸 CISO(최고정보보호책임자) / 전무

▲2020년 11월 ~ 2023년 5월 : 쿠팡 Sr. Director, CPO, Head of Security GRC / 전무

▲2014년 11월 ~ 2020년 11월 : 삼성카드 CISO, CPO, 신용정보관리보호인 / 상무

▲2012년 9월 ~ 2014년 11월 : (주)넥슨 / 정보보안실장

▲2008년 8월 ~ 2012년 9월 : SK텔레콤 네트워크 및 서비스 보안 / 매니저

▲2007년 4월 ~ 2008년 8월 : CISCO Systems / Senior Security Specialist

▲2003년 8월 ~ 2007년 4월 : 한국인터넷진흥원(KISA) / 선임연구원

▲2000년 5월 ~ 2003년 8월 : (주)이글루시큐리티 / 기술팀장

▲1997년 5월 ~ 2000년 4월 : Ford Motor (LD&I) / Technical Analyst & 2nd Level administrator

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -