[인터뷰] 정희철 시스코코리아 CISO 어드바이저리(전무)
 |
이러한 분위기 속 정보보호최고책임자(CISO) 고민은 깊어지고 있다. 인공지능(AI)과 클라우드 시대가 도래하면서 IT 인프라 환경에 경계가 사라졌고, 어디서부터 어디까지 보안을 강화하면 될지 영역이 모호해진 탓이다. 이중부담도 커지고 있다. 정부는 보안 사고를 반복한 기업에 처벌을 강화하겠다고 경고했고, 동시에 사이버 공격자들은 AI 기술을 악용하며 위협 난도를 높이기 시작했다.
IT 업계에서 30년 이상 경력을 쌓으며 삼성생명 CISO를 역임한 정희철 시스코코리아 전무(CISO 어드바이저리)는 한국 보안체계의 최대 문제점인 '자산 관리'를 강화하는 것이 시작이라고 제언했다. 그러기 위해 기업 CISO가 회사 보안 수준을 파악하고 객관적인 체계를 갖춰 나가는 작업이 필요하다고 강조했다.
◆ 업무용 기기·영역 확대…"AI·클라우드로 성벽 무너졌다"
정 전무는 "CISO는 (자신이 속한) 기업 환경을 제일 잘 알고 있지만, 보안 수준에 대한 진단을 잘 하지 못하는 경우가 많다"며 "각 회사별로 자신에 대한 보안 수준을 진단하는 것이 첫 단계"라고 밝혔다.
한국은 표준과 인증을 충족하면 일정 수준 보안체계를 갖췄다고 인정해 주는 규제 체계로 움직이고 있다. 기업 CISO 또한 해당 규제를 충족하는 것을 우선순위로 두는 경우가 많다. 이와 관련해 정 전무는 "보안 수준이 총 4단계로 구성이 된다고 가정하면, 어떤 규제는 1단계 수준에 머물 수도 있다"며 "1단계만 충족하면 모든 것이 안전하냐고 물었을 때 '그렇다'고 답할 수는 것"이라고 말했다.
그러나 CISO가 보안 체계를 강화하는 과정에서 제약사항은 늘고 있다. 대다수 최고경영자(CEO)가 보안 투자에 대한 인식이 낮은 것은 물론, 차세대 기술이 IT 인프라에 도입되면서 보호할 영역 또한 늘어난 영향이다.
정 전무는 "과거에는 모든 업무가 회사 내에서 이뤄졌고 정보 유출을 크게 신경쓰지 않아도 되는 경계 보안 체계 만으로 충분했다"며 "그러나 지금은 성벽을 칠 수 없는 환경"이라고 진단했다. 이어 "이제 우리는 회사 네트워크에 접근할 수 있는 기기를 바깥으로 들고나갈 수 있게 됐고, AI·클라우드를 활용하면서 회사 관리 범위가 아닌 영역에서 사고가 발생할 가능성도 생겼다"고 부연했다.
일명 '쇄국정책'식 보안이 더이상 통하지 않는 시대가 온 셈이다. 정 전무는 "한국에서는 망분리가 매우 성공한 정책처럼 이야기되지만, 문제가 생긴 부분을 살펴보면 실제 보호해야 했던 영역을 신경 쓰지 못했다는 것을 알 수 있다"며 "꽁꽁 틀어막는 작업에만 신경을 쓴다면 실제 내부 중요 요인을 놓치게 된다는 의미"라고 설명했다.
그러나 국내 기업은 물론 공공기관 역시 IT 기본 재료인 '자산'을 제대로 관리하지 못하는 실정이다. 정 전무는 "자산 관리가 구조적으로 힘든 것은 사실"이라며 "한 회사에 직원 1만명이 있다면 기본적으로 PC도 1만대가 존재하고 여기에 엮인 서버도 수백대, 수천개가 존재한다"며 "산술적으로 매일 한 대씩 교체한다 하더라도, 1년에 365대만 관리할 수 있는 상황"이라고 전했다. 이어 "단순 기기를 넘어 가동 소프트웨어까지 관리해야 하는데, 폐기가 필요한 시스템이 무엇인지 관리자가 부재하진 않은지 살펴보기가 쉽지 않다"고 덧붙였다.
정 전무는 자산 관리를 운영 관점에서 바라볼 필요가 있다고 강조했다. 그는 "통합 자산관리 체계를 통해 실제 시스템 속성을 보여줄 수 있는 값을 기록하고, 시스템을 구축했을 때와 현재의 오차를 줄여 현행화하는 것이 중요하다"고 말했다. 이어 "보안 부서는 해당 자산 관리 시스템을 기반으로 공격이 들어왔을 때 영향을 받을 수 있는 시스템이 무엇인지 파악할 수 있다"며 "자산이 없으면 현황을 뽑아낼 수조차 없다"고 경고했다.
정 전무는 범정부 정보보호종합대책에 자산 관리 중요성이 담긴 점도 고무적으로 평가했다. 정부는 최근 통신사 해킹 사고를 계기로 주요 IT 자산에 대한 식별, 관리체계를 구축하도록 했다. 정 전무는 "추후에는 영세기업까지 관리 체계를 갖출 수 있도록 돕는 지원책도 필요할 것"이라며 "보안은 언제나 비용과 인력을 수반한다"고 꼬집었다.
 |
정 전무는 공격과 위협이 다양해진 만큼 보안이 조직문화로 자리잡아야 한다고 제언했다. 그는 "최근 '절대 신뢰하지 말라'는 취지의 제로트러스트 보안이 부상했다"며 "CISO뿐만 아니라 현업에서도 보안을 하나의 문화로 이해하는 움직임이 필요하다"고 밝혔다.
그러나 대다수 기업은 해킹·랜섬웨어·분산서비스거부(DDoS) 등 대형 사고가 발생해야 보안에 투자하고 있다. 정 전무는 삼성생명 사례를 이야기하며 "약 10년 전 카드사 정보 유출 사고가 발생하면서 업계 전반에 (보안이 중요하다는) 공감대가 형성됐다"며 "덕분에 관련 예산을 잘 받을 수 있었고 (현업 등) 저항도 상대적으로 적었다"고 되돌아봤다.
국내 공공기관과 기업에 보안 사고가 난 만큼 지금이 '골든타임'이라는 점도 언급했다. 여기에 정부가 종합대책을 추진하고 있어 보안에 투자하려는 CISO를 향한 비판 또한 비교적 적을 것으로 예상했다. 정 전무는 "최근 (사고에 따른) 과징금과 보상금에 대한 이야기가 활발해지면서, 보안에 대한 투자를 일부 수치화할 수 있는 부분도 생겼다"며 "그럼에도 최고재무책임자(CFO)를 설득해야 하는 과제가 존재하지만, 이러한 계기가 있을 때가 기회"라고 말했다.
정 전무는 보안 체계를 강화할 공감대가 형성되려는 지금, 전략을 고도화해야 한다고 강조했다. 그는 "제로트러스트는 접속하는 기기와 사용자가 '정상'인지 검증하고 이후 이상행위까지 철저하게 검증하는데, 그 일환으로 초세분화(마이크로세그멘테이션)도 중요하다"며 "마이크로세그멘테이션은 (자산을 세분화해) 한 곳이 뚫리더라도 피해가 번지지 않게 하는 전략"이라고 소개했다.
마이크로세그멘테이션을 갖췄다고 해서 모든 보안 체계가 완성된 것은 아니라고 이야기했다. 정 전무는 "AI, 클라우드가 등장하면서 예전에 볼 수 없었던 새로운 환경도 늘고 있다"며 "일례로 예전에는 운영체제(OS)가 있다고 하면 그냥 바로 올려 쓸 수 있었지만, 지금은 컨테이너가 있고 여기에 맞는 새로운 방어 체계가 필요하다"고 지적했다. 그러면서 "옛날처럼 방화벽을 앞에 세우고 방어를 한다면 한계가 있다는 의미"라며 "흔적을 추적하고, 공격이 예상되는 영역을 관리하는 작업을 꾸준히 해야 한다"고 강조했다.
▣ 정희철 시스코코리아 전무(CISO 어드바이저리)는?
정 전무는 30년 이상 IT 경력을 보유한 보안 전문가로, LG CNS에서 직장 생활을 시작했다. 시스코코리아 초창기 멤버로 10년 넘게 솔루션 엔지니어로 재직했다. 최근까지 삼성생명 CISO로 재직하며 보안 분야 전문성을 확보했다. 시스코로는 올해 3월 복귀해 보안 전략에 대한 고민을 토로하는 CISO들을 만나고 있다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.