금융산업의 IT기술이 빅데이터 기반으로 변화를 촉발하는 '데이터 자본주의 시대'를 열면서 금융 산업은 어떤 산업 분야보다 정보보호가 더욱 중요해졌다. 금융사들이 추진하고 있는 디지털 혁신이 성공하기 위해서는 무엇보다 안전한 금융보안 환경이 전제돼야 한다. CIOCISO매거진에서는 디지털경영을 선도하는 국내 기업의 CIO, CISO 인터뷰를 연재하고 있다. 김홍선 SC부행장(CISO)를 만나 사이버 보안의 방향과 주요 전략을 주제로 이야기를 나눴다.<편집자 주>

Q. 고객 데이터 보호를 위해 금융권이 가져야할 핵심 역량은 무엇인가요

이미 금융업은 ‘테크(Technology) 산업’입니다. 돈을 관리하고 처리하는 게 과거의 금융이었다면, 현재는 데이터가 전부라고 해도 과언이 아닙니다. 직원들의 도구는 시스템에 접속하는 단말기이고, 금융 프로세스는 알고리즘에 의해 처리됩니다. 만일 금융을 구성하는 시스템과 알고리즘이 신뢰할 수 없다면 어떻게 되겠습니까? 하루 종일 수행한 거래들이 거짓으로 판명되거나 조작되었다면? 상상할 수도 없는 공포입니다. 

저는 현재와 미래의 금융서비스에 있어서 가장 큰 리스크는 사이버보안과 프라이버시라고 생각하며, 이는 많은 글로벌 금융회사의 전략이기도 합니다. 따라서, 소프트웨어와 데이터 관리가 목적에 부합하도록 안전하게 운영하는 것, 그리고 이를 투명하게 모니터링하고 위협에 대응하는 조직체계가 핵심 역량이라고 생각합니다. 

Q. SC제일은행의 보안 정책의 주 방향과 강점은

RMF(Risk Management Framework)를 통해 가시성(visibility)과 거버넌스(governance)를 극대화하는 것입니다. 보안은 ‘경영의 문제’입니다. 보통 취약점을 조치하고, 보안솔루션을 설치하는 것을 보안의 주요 업무라고 생각하는 경향이 있습니다만 보안 위협은 비즈니스 전체를 보면서 가장 취약한 것을 파고듭니다. 직원에게 피싱메일을 보내고, 내부자가 공조해서 데이터를 접근하고, 프로세스의 허점을 노리고, 소프트웨어 운영에 개입합니다. 요컨대 내가 무엇을 가지고 있고(자산, asset), 어떻게 비즈니스 플로우가 흐르고, 어떤 위협시나리오가 가능한지에 대해 총체적으로 파악해서, 이를 정량화된 리스크관리로 예측 가능한 체계를 구축해야 합니다. SC제일은행은 2015년부터 사이버리스크 체계를 구축한 이후 계속 업그레이드하고 있고, 비즈니스 환경변화에 따른 리스크 완화 대책을 끊임없이 세우고 있습니다. 

Q. SC제일은행 보안부문 투자 중 최근 시도하고 있는 사업은

현재의 트렌드를 보면 클라우드와 마이데이터, 핀테크 융합처럼, 기존의 폐쇄적 운영에서 보다 개방적인 환경으로 이동하고 있습니다. IT 환경이 고정화된 틀을 벗어나기에 비즈니스에 입각한 입체적인 사이버리스크 관리가 핵심이 되는 이유입니다. 개방적 환경에서는 접근통제와 데이터 거버넌스가 가장 중요합니다. 

우선 계정관리 체계를 전면 재구축하고 있는데, 특히 특권 계정과 권한 통제를 보다 투명하고 세밀하게 프로세스를 만들고 있습니다. 한편 방대한 로그의 빅데이터 분석을 통한 상황분석과 자동화를 통해 인텔리전스를 제고하고 있고, 국내와 글로벌 커뮤니티에서 습득하는 위협정보의 신속한 공유와 시나리오별 대응 체계를 마련하고 있습니다. 공격의 루트로 이용되는 협력업체 거버넌스도 계속 강화하고 있습니다.

Q. 코로나19로 인해 금융사들도 재택근무를 도입하고 있습니다. SC제일은행의 재택근무 보안 전략은

보안 관점에서 재택근무의 핵심은 end-point 즉 단말이 신뢰할 수 없는 공간에 위치하고 있다는 점입니다. 물리적 통제가 불가능한 상태에서 내부 시스템 접근을 통제해야 합니다. 따라서, 단말기의 권한을 제약하고, 원격에서 접속하는 플로우를 세밀하게 설정해서 모니터링하는데 초점을 맞추어야 합니다. 최근 비즈니스 사용자들이 자기 노트북으로 직접 접속할 수 있도록 망분리 완화가 예고되었는데, 이에 대한 방향성과 전략도 세우고 있습니다.

Q. 정보보안이 디지털 금융의 핵심 과제로 대두되고 있습니다. 핀테크를 포함한 금융업 보안 담당자들에게 메시지 부탁드립니다

빅데이터나 AI와 같은 혁신기술로 인해 IT와 데이터관리의 영역이 수렴하고 있습니다. 더 이상 정보보안을 IT의 한 영역으로 국한해서 본다든지, 데이터관리는 일단 데이터를 수집한 후에 생각하자는 자세를 가진다면 문제의 핵심을 놓치게 됩니다. 핀테크에서 중요한 것은 비즈니스 모델입니다. 사이버보안은 비즈니스 모델을 잘 이해해서, 이것을 안전하고 효율적으로 구축하는 방향을 제시해야 합니다.

Q. 한평생 사이버보안 전문가로서 경영자의 길을 걷고 계신데요. 지금까지의 길을 돌아본다면

제가 박사학위를 받고 산업현장에 뛰어든 지 30년이 되었습니다. 돌이켜보건대 제 인생 커리어를 4개의 chapter로 나눌 수 있습니다. 첫 장은 삼성전자와 미국회사에서 IT 산업현장을 처음 체험했던 시기, 두 번째 장은 시큐어소프트라는 보안기업을 창업해서 코스닥 상장까지 시켰던 벤처사업가, 세 번째 장은 국내 최대 보안기업인 안랩의 CEO로서 매출 1000억을 돌파하며 240% 성장시켰던 전문경영인, 그리고 네 번째로 현재 글로벌 은행 부행장으로서 사이버리스크를 몸소 정착시키는 과정입니다.

솔직히 사이버보안으로 평생의 길을 가리라고는 생각하지 않았습니다. 그러나 오늘날 컴퓨터는 전산실에서 나와 전 세계인의 삶이 되었습니다. 디지털 문명의 시대에 사이버보안과 프라이버시는 사회에 직접적인 영향을 주는 영원한 과제가 될 것입니다. 과연 우리가 어떤 사회를 만들어 나갈지에 대해 보다 여러 분야의 사람들이 적극적으로 고민해야 합니다. 어쨌든 저는 사이버보안의 선택이 옳았고 어떤 면에서는 행운이라고 생각합니다. 무엇보다 이 세상의 안전을 지켜야 한다는 소명감이 삶의 보람이 되고 있습니다.

Q. 부행장님과 같은 길을 걷고자 하는 후배들에게 한 말씀 부탁드립니다

사이버보안은 경영의 문제입니다. 급변하는 기술와 위협 동향도 알아야 하지만, 궁극적으로 그것이 내가 몸담고 있는 조직에 어떠한 충격을 줄 수 있는 지에 대해 정량적으로 예측하고, 리스크를 경감하고, 회복력을 가지도록 이끌어야 합니다. 

특히 IT에 의해 전 산업이 디지털 트랜스포메이션을 진행하고 있는 시기에, 사이버보안 전문가의 역할은 나날이 중요해지고 있습니다. 리스크관리는 상상력이 받쳐주어야 합니다. 새로운 비즈니스 환경을 기회로 생각해서 사이버리스크를 창의적 아이디어로 맞서야 합니다. 디지털 트랜스포메이션을 적극적으로 주도하는 enabler로서의 멋진 커리어를 만들어 가시기를 바랍니다.