[보안리더스] 보안교육에 진심인 박영택 NS홈쇼핑 CISO “한 명만 뚫려도 사업 망한다”

열다섯 번째 보안 리더, 박영택 NS홈쇼핑 CISO ① 임직원 보안 의식 제고 활동

인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] “훌륭한 보안 솔루션을 아무리 많이 도입해도, 임직원 보안의식이 낮다면 대형사고는 발생합니다. 사소해 보이지만, 한 직원이 무심코 다운로드한 악성메일 속 첨부파일로 기업 전체가 위험해지는 것처럼요. 최악의 경우, 회사 존립에 영향을 줄 수도 있죠.”

박영택 NS홈쇼핑 최고정보보호책임자(CISO)는 최근 <디지털데일리>와 보안리더스 인터뷰를 통해, 임직원 보안의식 제고 중요성을 강조하며 이같이 말했다. 현재도 내부 임직원 부주의로 표적형 피싱메일 공격에 당하거나 랜섬웨어에 감염돼, 금전적 피해를 입은 사업체는 전세계 곳곳에서 발생하고 있다. 랜섬웨어 공격을 받아 폐업한 미국 세인트마가렛헬스 병원 사례처럼, 보안사고는 사업 존망을 결정하기도 한다.

박영택 CISO는 2020년 NS홈쇼핑 합류 후 반복적인 교육과 훈련을 통해 임직원 보안의식을 높이는데 집중해 왔다. 보안시스템 강화만큼 보안을 대하는 사람들의 태도 변화가 무엇보다 중요하다고 판단했기 때문이다.

박 CISO는 “회사에는 수많은 보안 관련 프로세스가 존재하고 이를 시스템으로 통제해 위험요소를 사전에 인지·예방하려 하지만, 어느 곳에서는 보안홀은 발생할 수 있다”며 “프로세스를 수행하는 사람에 초점을 맞춰 끊임없는 반복 교육과 훈련을 통해 제대로 실행되고 있는지 확인하고 있다”고 전했다.

◆끊임없는 악성메일 모의훈련, 5년만에 감염률 17%→0.2%

NS홈쇼핑은 매달 악성메일 모의훈련과 탐지대응 훈련, 모의해킹 등을 수행한다. 보안사고 사례 등을 반영해 실전과 유사한 환경을 조성, 피싱 메일 대응 능력을 지속적으로 강화하기 위해서다. 실제 상황 발생 때 프로세스를 준수할 수 있도록, 드러난 문제점들을 정리하고 보완활동과 교육을 통한 재발방지에 힘쓰고 있다.

5년 전만 해도 모의훈련 때 악성메일 감염률이 17%에 달했지만, 현재는 0.2%로 대폭 감소할 수 있었던 이유다. 지난 2023년엔 한국인터넷진흥원 사이버 위기대응 모의훈련에서 우수기업으로 선정되기도 했다.

박 CISO는 “많은 보안정책이 수립돼 있지만 그게 준수되고 있는지는 실제로 해보지 않으면 알 수 없다. 정해진 프로세스를 잘 준수하도록 반복훈련에 중점을 뒀고, 훈련을 통해 도출된 미비점을 보완하고 관련 내용을 유관부서에 숙지시켰다”고 강조했다.

이어 “모의훈련이 실제처럼 이뤄지기에, 처음엔 피싱메일인 줄 모르고 수십명씩 클릭하고 파일을 열어봤다. 부적절한 대응을 보인 직원들은 현재까지도 추가 대면 교육을 받는다”며 “이제는 많은 직원들이 의심되는 메일을 받을 경우 적극적으로 신고하고 있고, 어느 달엔 한 명도 걸리지 않기도 한다”고 덧붙였다.

NS홈쇼핑은 1년간 정보보호 활동에 많은 참여를 한 임직원을 포상하는 마일리지 제도를 운영하고 있다. 악성메일 의심 신고를 하거나 한국인터넷진흥원 ‘털린 내 정보 찾기(다크웹 유출여부 확인서비스)’, 정보보호 퀴즈에 참여하면 가점을 받는다. 반면, 매월 실시하는 악성메일 모의훈련에 감염되거나 클린데스크(ID‧비밀번호 메모지, 보조저장매체 방치여부 등 점검) 적발 때 감점된다. 이를 취합해 우수 임직원들을 선정해 상품권을 증정한다.

◆형식적인 교육은 그만…CISO가 직접 알려준다

반복적으로 매월 보안 교육을 하다 보니, 임직원들에게 작은 습관 변화가 생겼다. 출처가 불분명하고 조금이라도 의심되는 메일·메시지에 대해선, 함부로 열어보지 않게 됐다. 끊임없는 보안 훈련으로 자연스럽게 위험 요소를 감지하게 된 것. 정보보호 강화를 위한 기업문화를 갖추게 된 셈이다.

박 CISO는 “처음에 왔을 때 3~4시간짜리 인터넷 교육을 틀어놓은 모습을 봤다. 보안 담당자를 위한 교육을 일반 직원들이 받고 있으니, 다들 틀어놓기만 하고 자기 일 하기 바빠보였다”며 “아이디와 비밀번호를 써서 메모장이나 포스트잇에 써놓거나, 개인정보가 담긴 문서를 파쇄하지 않고 방치하거나, 의심되는 피싱메일을 열어보는 행위 등 기본적인 보안수칙 준수를 위한 교육이 필요하다고 봤다. 결코 많은 걸 요구하는 건 아니다”고 설명했다.

이에 박 CISO는 인터넷 보안교육 대신 신입사원을 비롯해 부서별 정보보호 교육을 직접 진행하고 있다. 개인정보 개념과 취급시 주의사항, 계정 관리, 클린데스크, 악성메일 유형·구분 방법 등을 가르친다.

그는 직원 한 명 한 명과 눈을 맞추며 보안이 왜 중요한지 설득하고 어떻게 대처해야 하는지 알리고 있다. 대표·임원 등 주요 경영진 대상으로도 매월 주요 정보보호 현안과 사건 사례들을 공유한다. NS홈쇼핑 대표조차 악성메일 신고에 적극 동참하고 있다는 후문이다. 박 CISO는 오는 2분기부터 파트너사 직원 대상 교육도 진행할 계획이다.

◆완벽해 보이는 보안 솔루션도, 사람이 제대로 쓰지 못하면 ‘무용지물’

이처럼 박 CISO가 사람 중심 보안 문화 정착에 힘을 쏟는 이유는, IT 전반에서 활동하며 축적한 과거 경험에서 비롯된다.

박 CISO는 1983년부터 2013년까지 한국IBM에 재직하며 다양한 고객 사례를 경험했다. 이 때 최신 보안 솔루션을 도입하고 우수한 보안정책을 세우더라도, 이를 제대로 활용하지 못해 보안위협을 겪는 곳들을 무수히 지켜봤다.

이와 관련 박 CISO는 “과거 경험을 비춰봤을 때 도입한 솔루션을 제대로 쓰기만 해도 훌륭하다는 점을 느꼈다. 일례로, 보안 프로세스와 절차는 무조건 지켜야하는데, 수많은 예외규정을 둔다”며 “예외는 있을 수밖에 없으나, 이에 대한 근거를 남겨야 한다. 원칙 없이 하나둘 열어주다 보면 대문이 열리게 된다”고 꼬집었다.

또 “화려한 솔루션이나 각종 대시보드보다는 주요 정책이 적용된 툴들이 제대로 작동하고 있는지에 대한 끊임없이 검증하고 보완해야 한다. 이를 통해 제 기능을 제대로 활용하고, 상황에 맞게 기계처럼 대처해야 한다”며 “정보보호는 많은 보안 솔루션과 방법론을 통해 강화해야 하지만, 전 직원이 지켜야할 보안원칙을 이해하고 준수하는 것도 핵심”이라고 제언했다.

<다음 기사에서 계속>

◆박영택 NS홈쇼핑 CISO 주요 약력

▲2020년~현재 : NS홈쇼핑, 정보보호최고책임자(CISO)

▲2014년~2019년 : 한국IBM, 아웃소싱 고객 영업본부장

▲2009년~2013년 : 한국IBM, IT비즈 딜리버리사업(시스템/보안 운영) 본부장

▲2007년~2008년 : 한국IBM, 항공산업 영업 본부장

▲2007년~2007년 : 한국IBM, 아웃소싱 고객관리본부장

▲2004년~2006년 : 한국IBM, 유지보수사업본부장

▲2001년~2003년 : 한국IBM, IBM본사(미국) 정보시스템관리 솔루션서비스 매니저

▲1994년~2000년 : 한국IBM, 정보시스템관리 솔루션서비스 영업 팀장

▲1989년~1993년 : 한국IBM, 시스템엔지니어, 금융고객 대상 서버관리/보안솔루션 지원

▲1983년~1988년 : 한국IBM, 시스템프로그래머, 정보보호담당

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -