선제적 입장에서 보안 위험 예방 하겠다
KB국민은행, 국내 처음 은행권 CISO 탄생… 여타 금융권 긍정적 효과 미쳐

국내 처음으로 은행에서 임원급 CISO가 탄생했다. KB국민은행 김종현 CISO가 그 장본인이다. 김종현 CISO의 이번 부임은 금융당국에서 발표한 CIO·CISO 분리 시책에 따른 대안으로 KB국민은행에서 발표한 사항이지만, 무엇보다도 은행 자체에서 보안에 대한 의지가 강력히 반영된 것으로 앞으로 많은 금융권에 긍정적인 효과를 나타낼 것으로 보인다.

방창완 편집국장 bang@ciociso.com

이번KB국민은행의 CISO 임명은 외부의 보안 컨설팅 전문 인력을 CISO로 초빙한 것으로, 보다 장기적인 목표를 가지고 객관적인 시각에서 보안정책을 수립할 수 있을 것으로 보여 행 내 보안 부서에도 상당한 긍정적인 효과를 불러올 것으로 보인다. 과거, 컨설팅 업체에서 다년간 보안 업무를 담당한 바 있는 김종현 IT정보 보안부 상무는 금융권에서 15년 간의 경험을 기반으로, 고객들에게 신뢰를 줄 수 있는 안전한 보안망을 갖춰나갈 방침이다.
김종현 상무는 “과거에 다양한 IT 컨설팅을 진행하면서 보안의 속성에 대해 많은 고민을 했다. 사고가 없을 경우는 ‘아무 일 없었다는 듯이’ 지나가지 만, 일단 사고가 터지기라도 하면 책임감이 밀려오는 것이 보안업무인 만큼 소명의식 없이는 추진하기가 쉽지 않은 업무”라고 지적했다. 사고라도 날라치면 가장먼저 이에 대한 책임을 묻는 것이 보안부서이다. 그렇다고 사고에 대한 위험성 때문에 지나치게 프로세스 부분을 구축하고, 보안의식을 강조하다보면 업무수행에 많은 불편이 따르는 것이 또한 보안업무이다.

김종현 상무는 과거에 보안 컨설팅을 진행하면서 어려웠던 점은 “경영진에게 보안의식과 보안이 비용이 아닌 경쟁력 강화를 위한 투자의 개념으로 설명하고, 설득하며, 실질적인 업무와 연계시키는 작업이었지만, 보안과 업무의 균형을 맞춰나가며 한가지 한가지 일에 대해 이해시키고, 설득하며 업무를 해결해 나가는 과정에서 많은 보람을 느꼈다”고 말 했다.
과거에는 보안만을 강조하다보니, 효율과 편리성 면에서 일정부분 포기하는 경향도 있었지만, 이제는 어느 정도 운영적인 측면을 감안해서 보다 전략적이며, 정책적으로 보안 거버넌스를 구축할 필요가 있다는 지적이다. 그는 보안에 있어서 실질적인 운영 방법은 선제적인 입장에서 현재의 상황을 분석하고, 현실적인 솔루션을 찾는 것이 중요하다고 강조했다.
단순히 보안에만 초점을 맞추는 것이 아니라, 현 상황을 제대로 직시하고, 객관적인 시각에서 바라보는(화이트해커 시각) 자세가 필요하다는 것이다. 업무를 객관적으로 바라보는 시각은 외부에서 다년간 컨설팅 업무를 수행한 경험 때문에 오히려 정확하게 볼 수 있다는 것이 김종현 상무의 설명이다. 보통 행 내에서 운영업무를 수행하다 보면 무엇이 중요하고, 무엇이 덜 중요한지를 파악하기가 어렵다.
객관적인 통찰력을 갖게되면, 분명히 운영 중에 개선점이 하나둘 씩 보이기 시작한다는 것이 그의 생각이다.
이에 대한 집중적인 연구를 통해 운영을 하면서 개선점을 찾고, 기존 업무를 아우르면서 하나둘씩 문제점을 해결해 나가는 지혜가 필요하다는 것이다. 단순한 개선사항이라면 끊임없는 시스템 투자만이 이뤄질 우려가 있 다. 따라서 기존에 운영되고 있는 업무 프로세스를 이해 하고, 기존의 리소스를 최대한 활용하는 전략이 필요하다는 것이다.

사람중심의 선제적 관리체계 이룬다

여기서 사람의 투자도 또한 중요한 부분이다. 무엇보다 보안 업무에 대한 긍지를 심어주고 선제적으로 위협에 대처할 수 있는 사람중심의 관리체계를 갖추는 것이 솔루션보다도 먼저 선결돼야 할 부분이다. 사람의 중요성을 반영하듯이 KB국민은행은 이번에 은행권에서는 최초로 전문 CISO를 도입하는 첫 사례를 남겼다.
이런 전문 CISO 영입은 보안에 대한 중요성을 인식한 행장 및 임원들의 강력한 의지가 반영됐기 때문이다. 업무 속성상 고객정보가 많은 은행의 경우는 고객에 대한 보호가 중요한 만큼 고객들이 믿고 거래할 수 있는 은행을 만들겠다는 행장의 의지가 담겨 있다. 따라서KB국민 은행의 보안조직은 행장직속으로 소속돼 있으며, 보안부서 인력들에게도 자긍심을 심어주는 계기가 되고 있다.
CIO와 CISO. 사실 서로 상반된 목표를 갖고 있는 두 개의 조직 체계를 어떻게 이원화해 나가면서 업무의 조화를 이뤄 나갈 것인가가 보안조직 프로세스를 효율화 하는데 관건이 될 것으로 전망된다. 김종현 상무는 보안 거버넌스 체계를 확립하기 위해서는 내부 보안 업무가 제대로 수행되고 있는지를 점검하고, 올바른 방향으로 이끌어나갈 수 있도록 유도해 나갈 필요성이 있다고 말했다.
이를 위해서는 행장 직속 체계인 만큼 기존의 IT뿐만 이 아니라, 전행적인 차원에서의 보안 거버넌스 체계가 이뤄져야 한다는 것이다. 이는 시스템을 비롯해 비즈니스 관점, 서비스가 모두 고려돼야 하며 공통된 시각에서 각 영역별로 조율해 나가는 지혜가 필요하다. 또한 보안 조직 외에 전행 차원에서 보안에 대한 의식이 일상화될 수 있도록 내재화하는 작업과 고객에 대한 지속적인 홍보가 필요하다는 것이 그의 생각이다.
그는 지난 9월 26일에 시행한 ‘전자금융사기예방서비스’를 예로 들었다. 인터넷 뱅킹을 이용할 때 보안카드 외에 추가인증 서비스를 추진하게 되면 고객들도 이런 서비스를 왜 시행해야 하는지를 잘 모른다. 불편한 점은 있겠지만, 고객의 예금을 보호하고, 안전거래를 위한 조치라는 점에 대해 홍보를 지속적으로 펼쳐나갈 필요성 이 있다는 것이다.

추가 인증서비스는 보통 PC인증서비스, 전화인증서비스, SMS 등으로 이뤄진다. 이런 추가 인증서비스는 현재 메모리 해킹으로 인해 현금이 출금되는 것과 혹시라도 고객의 실수로 인한 사고를 미연에 방지하기 위함이다. 본인에게 지속적으로 확인하는 이런 서비스는 당장 귀찮게 느껴질지도 모르겠지만, 사고를 미연에 방지한다는 측면에서 고객들이 이해할 수 있도록 지속적인 설득과 같은 노력이 필요하다.
스마트금융 부서나 채널담당부서에도 이를 제대로 인식 시킬 필요가 있다. 보통 추가인증 서비스는 홈페이지 구석에 위치에 있는 경우가 있어서 제대로 된 홍보가 필요하다. 이런 서비스를 실행하는 것이 당장은 불편하겠지만, 결국에는 모두에게 이익이 된다는 점을 알릴 필요가 있다.
김종현 상무는 우리나라가 한강의 기적 이후, 지속적인 경제성장을 이룬 시점에서 현재는 어느 정도 한 풀 꺾인 모습을 보이고 있지만, 이제는 지금까지 걸어온 길을 한 번 쯤은 되돌아 볼 수 있는 여유를 가진다는 측면에서 어찌 보면 긍정적 일 수 있다고 말했다. 새로운 성장 동력을 찾는 시점에서 기초를 튼튼히 할 필요가 있다는 것이다.

시스템 고도화로 선제적 대응

지난 3.20 사태와 같은 보안 사고처럼 사실 빈번히 사고가 발생하고 있다는 점을 미뤄본다면 지금까지 ‘성장 제일주의’관점에서 이제는 시스템을 견고히 하고, 고도화해 나가는 ‘시스템의 내재화’가 현 시점에서 필요하다는 것이다. 이를 위해 보안의 단초가 될 수 있는 거래로그분석도 중요한 요소가 될 수 있다. 김 상무는 기존의 거래 패턴을 파악해 사기 거래에 대한 징후를 파악하고, 이를 미리 고객에게 알려주는 선제적인 대응방안도 모색하고 있다. 거래로그 중에서 이상 징후에 대한 패턴을 만들고, 이를 룰화시켜가는 작업을 통해 기존의 서비스 활용도를 고도화하고 견고히 해 나가겠다고 말했다.
과거에 여러 보안 사태를 경험하면서, 지금은 보안에 대한 중요성과 보안의식이 이전보다는 많이 달라졌지만 아직까지도 실상 보안을 운영하는 부서는 업무의 특성상 ‘음지’에 속해있다. 국내 은행의 IT 부서에서도 보안영역은 전체 부서에서 소외된 감이 없지 않다. 하지만 이번 KB국민은행의 전문 CISO 선임을 통해 이런 시각이 점차 달라질 것으로 보인다.
CISO 임원의 등장으로 기존 보안담당 직원들의 위상도 한층 올라가고 있는 것이다.
임원회의를 통해 보안에 대한 공감대를 형성할 수 있는 시간이 많아진 것이다. 보통 경영진들이 IT에 대해 어려워하고, 실체를 파악하기가 쉽지 않은 만큼 CISO로서 보안의 핵심과 전략적인 방향을 이해시키는데 선봉적인 역할을 담당할 수 있을 것으로 보인다.
김종현 상무는 “보통 경영진들에게 IT를 제대로 소통시키는 것이 CIO 역할이라면, CISO도 다르지 않다. 더욱 어려울 수 있는 보안의 중요성을 쉬운 용어로 전달하고, 지속적으로 이해시키는 것이 CISO의 역할”이라고 말했다. 경영진들에게 보안에 대한 인식을 제대로 전달 한다면, 그만큼 보안부서의 역할과 방향에 대한 이해가 쉬울 것이며, 회사의 발전을 위해서도 보안업무를 추진하는 것이 그만큼 손쉬워 질 것으로 보인다. 따라서 그만큼 보안부서를 보는 인식이 예전과는 달라질 것이라는 것이 김 상무의 생각이다.

김 상무는 보안 거버넌스 체계 외에도 임원과, CIO, 직원 간의 원활한 커뮤니케이션을 강조했다. 일은 사람이 하는 것인 만큼, 효율적인 업무를 위해서는 직원과 보안의 핵심인 정보시스템을 책임지는 CIO 뿐만 아니라 임원들과의 정확한 소통이 필요하다는 것이다. 직원들에 게는 비전을 갖고 일에 매진 할 수 있도록 일 할 수 있는 환경을 만들어 주고, 전문성을 키우며, 이 전문성을 살려 향후 보안전문가로 활동할 수 있는 길을 열어 줄 필요가 있다는 것이다.
CIO와의 관계에 있어서는 같은 배를 탄 동반자적인 입장에서 공동의 목표를 갖고 서로 호흡을 맞출 필요가 있다는 것이다. IT 시스템을 보는 관점이 효율과 성능에 비해 보안으로는 다르지만, 인력 교류와 정기적인 회의를 통해 서로 간의 입장을 이해 한다면 소통이 충분히 가능 하다는 생각이다. 사실 기존에 보안업무를 담당했던 CIO라면 그동안 보안과 IT 업무 양쪽을 아우르면서 많은 고민을 했을 것이다. 두 이질적일 수 있는 업무에서 보안부분을 CISO에게 일임한 상태라면, 앞으로는 좀 더 편하게 일관된 업무를 볼 수 있으며 보안업무도 이해할 수 있다는 입장이다.
따라서 서로 상대방의 입장에서 고민할 수 있으며 각자 맡은 역할을 충실하게 이뤄낼 수 있을 것이다. 임원회의 측면에서는 본인이 컨설턴트 출신이기 때문에 경영진들의 마인드에 대한 경험이 있는 만큼 비즈니스적인 용어를 통해 ‘보안에 대한 의미’를 전달 할 수 있을 것이라고 강조했다.
현재 CISO를 고민하는 금융기업이 있다면 보안 전문가가 대안이 될 수 있다는 것이 그이 생각이다. 외부의 신선한 시각을 갖춘 전문가를 영입함에 따라 객관적으로 기업의 보안사항을 점검할 수 있다는 것이다.
보통 은행의 조직이 보수적일 수 있 기 때문에 내부의 상황을 제대로 보지 못할 수 있다. 향후 글로벌 뱅킹을 지향하는 기업이라면 미래를 위해서라도 이런 객관적인 시각이 필요할 것으로 보인다.
김종현 상무는 “보안정책은 은행 외에도 지주사 및 계열사 간에 일관된 시각으로 정책을 펼쳐나가는 과정이 중요하며, 이런 일관된 정책이 금융그룹의 가치관이 되고, 고객들로부터 지속적인 신뢰를 얻을 수 있는 밑거름이 된다” 고 말했다.

김종현 상무는 사실 IT는 시스템의 안정적인 개발을 목표로 하기 때문에 성과가 전면에 드러나지 않으며, 현업에서 서비스를 잘 받고 있다는 느낌을 주지 못한다고 말했다. IT가 현업에게 업무에 대한 이해를 제대로 심어줄 수 있다면 서로 간에 원활한 업무 협조가 가능해 질 수 있다. 과거에 IT와 현업간의 관계를 위해 RM 제도를 도입한 적도 있지만, 무엇보다 IT에서 상대방을 설득할 수 있는 서비스 마인드도 갖출 필요가 있다고 강조했다.
사실, 이런 마인드는 생각과 일정 제도만으로 이뤄지는 부분은 아니다. 어느 정도 현업에 대한 경험이 있다면 생각의 폭이 넓어질 수 있다는 것이 그의 견해다. 그가 생각하는 관계의 철학은 ‘상대방의 입장에서 생각하기’이다. 상대방의 경험을 통해 상대방의 입장을 조금이라도 알 수 있면, 그만큼 대화와 이해의 폭이 넓어질 수 있다는 것이 그의 생각이다. 또한 서로 필요한 부분에 있어서는 크로스 체킹을 통해 평소에 해결할 수 없었던 문제도 원만하게 해결할 수 있다는 것이다.

보안 허점, 피부로 느끼게 하는 것이 일차 목표

김종현 상무는 앞으로 내부적으로 보안의식을 고취시키는 것이 일차적인 목표라고 말했다. 화이트해커 관점에서 보안 취약점을 발견하고 이를 메일로 통보를 해 경각심을 고취시키고 보안에 대한 중요성을 일깨우는 작업을 추진할 계획이다. 가장 많이 사용하고, 빈번하 게 접하는 메일을 잘못 보냈을 때 이를 통지하고, 각인시키는 작업을 통해 실제적인 보안 허점을 피부로 느끼게 할 방침이다.
이와 함께 보안부서 직원들에게는 일하는 환경을 만들기 위해 적극 노력할 계획이다. 그동안 여러가지 이유로 임원들에게 전달되지 못했던 보안지원 사항들을 면밀히 파악해 필요한 부분에 대한 지원을 이끌어 낼 계획이다. 이런 활동은 보안부서 직원들이 자신들의 업무를 인정해주고 지지해주고 있는 임원이 있다는 사실에 만족감을 줄 수 있다. 또한 이는 자신감을 고취시키기 위한 정책적인 배려가 될 수 있다.
김 상무는 전체적인 보안조직의 인력, 운영 체계 확립을 위한 거버넌스 체계도 조만간에 확립할 계획이다.
거버넌스 체계 확립의 핵심은 ‘선제적인 보안관리 프로세스’를 만드는 것이다. 선제적인 보안관리만이 사고를 미연에 방지할 수 있고, 미래에 일어날 수 있는 돌발상황과 변수들을 일정부분 제어할 수 있기 때문이다.
이를 위해 보안을 위한 기초 분석 작업을 완료하고, 보안사고와 의심거래에 대한 패턴을 분석한 이후 이를 시스템화 할 생각이다.
김종현 상무는 “가상의 창을 먼저 생각하고, 일어 날 수 있는 모든 요소에 대해 대비하는 정책이 필요하다.
가상의 창을 고려한다면 방패를 강화하는 방법이 생겨 날 것이다. 따라서 위험요소에 대한 시나리오를 만들고 이를 다각적으로 방어할 수 있는 체계를 갖추는 것이 가장 효율적인 방법이 될 것”이라고 말했다.
현재 KB국민은행 보안부서는 26명 내외로 3개의 팀으로 구성돼 있다. 김종현 상무 취임 이후 보안의식이 한층 고무된 KB국민은행의 이번 사례가 여타 은행권에 미칠 파장이 적지 않을 것으로 예상된다. 내년 상반기가 지나는 시점까지는 CIO와 CISO 겸임을 분리해야하는 입장에서 은행권에서는 다양한 방법을 고민하겠지만, KB국민은행의 사례에서처럼 전문 인력을 통한 보안의식 고취와 사기진작 효과가 앞으로 업계에 긍정적인 선례가 될 것으로 보인다.