은행 선택 시 보안 등급도 판단 기준 되어야

현장속으로/세미나 2011.07.21 08:22

올해 지난 4월에 잇달아 발생한 금융권 보안 사고는 국민의 재산에 직접 피해가 갈 수 있는 사건이라 심각성이 컸다. 얼마 전 삼성동 코엑스에서 열린 '2011 금융보안 그랜드 콘퍼런스'는 이 같은 금융 보안 문제를 다루는 자리였다. 

여러 발표 중 고려대 정보보호대학원 임종인 원장은 '사용자가 금융기관을 선택할 때 보안 수준 등급을 볼 수 있게 공시 제도를 만들어야 한다'고 제안해 눈길을 끌었다. 또한 그는 ‘금융 IT 정보보안 정책 방향’을 주제로 
개별 금융기관, 금융당국, 정부에서 각각 어떻게 대책을 마련해야 하는지를 짚었다. 이 중 많은 부분이 최근 금융위원회가 발표한 '금융회사 IT 보안강화 종합대책'에 반영되어 있다. 다음은 주요 내용.

보안의 중요성을 인식시킬 제도가 필요


농협 사건은 보안관리가 기술 측면뿐 아니라 관리 측면에서도 중요한 과제임을 보여준 사례이다. 즉, 우리의 과제는 보안의 기술적, 관리적, 물리적 측면을 어떻게 균형 맞출 것인가에 있다. 

현재도 보안 관련 법이 많이 있다. 즉, 보안 사고가 빈번히 일어난 이유는 법의 부재 때문이 아니라 제대로 지켜지지 않아서이다. 보안금융당국에서 관리 감독을 제대로 할 수 없었고 단기적인 성과를 요구한 것도 하나의 이유이다. 무엇보다도 보안을 비용이라고 보는 풍조가 금융보안 사고의 근본원인이다. 

보안을 하지 않을 시 CEO를 처벌한다, 책임지게 한다는 징벌 측면 외에 보안을 열심히 한 CEO에게 어떤 인센티브를 줄 수 있을 것인가도 생각해야 한다. 개인정보보호법에 따르면 개인정보 처리자가 보안 의무를 준수하고 상당한 감독을 게을리하지 않을 경우 개인정보의 분실, 훼손으로 인한 손해배상책임을 감경 받을 수 있다.

또한 보안수준에 대한 금융기관의 공시제도를 제안하고 싶다. 국민이 단순히 이자율만 가지고 보는 것이 아니라 보안수준이 몇 등급인지 살펴보고 금융기관을 선택하는 것도 필요하다.

보안총괄임원인 CSO, CISO가 실제로 부장, 팀장 정도의 낮은 직급이라는 것도 문제다. 직급이 낮다보니 리스크(risk)가 있어도  CEO한테까지 전달이 잘 안 된다. 그렇기에 CSO, CISO에게 전체 업무에서 감사 역할을 하고 아웃소싱 업체에 대한 전반적 관리를 하도록 권한을 줘야 한다. 다시 말하자면 CSO, CISO가 개별, 독립적 입장이 되어야 한다 것이다. 문제는 이러한 CSO를 길러내는 것이 어렵다. 하지만 지금부터 우리가 사회적 투자를 한다면 실행할 수 있는 부분이다. 시스템만 도입하는 것은 일시적 방책이지 진정한 해결책은 아니다. 우리가 해답을 몰라서가 아니라 해답을 실제로 시행하지 못하는 것이 큰 문제이다.

아웃소싱 부분도 살펴봐야 한다. 아웃소싱 자체가 문제 있다는 것이 아니다. 사고 발생 후의 실질적 대응도 아웃소싱 업체에만 맡길 정도로 아웃소싱에 너무 의존하는 상황이 문제다. 아웃소싱 업체들이 제대로 이행하고 있는지 여러 가지 방법으로 점검해야 한다. 특히, 아웃소싱 계약, SLA 계약 등 보안과 관련된 규정이 일부회사밖에 들어 있지 않다. 그러다보니 많은 보안 전문 회사들이 아웃소싱 계약을 맺어도 잘하나 못하나 티가 나지 않는다. 즉, 동기 유발이 되지 않는다. 이런 부분을 명확히 고쳐 제대로 된 보상이 이뤄져야 하며 개인정보보호와 관련된 대책이 마련돼야 한다. 또한 아웃소싱 업체의 전문성과 실력을 고려해서 선정해야 하는데 이에 대한 전문성을 가진 자체 직원이 없는 것도 문제다.

* 아웃소싱(outsourcing) :
기업 업무의 일부 프로세스를 경영 효과 및 효율의 극대화를 위한 방안으로 제3자에게 위탁해 처리하는 것을 말한다. 다른 의미로는 외부 전산 전문업체가 고객의 정보처리 업무의 일부 또는 전부를 장기간 운영·관리하는 것을 뜻하기도 한다.


개별 금융기관이 취해야 할 대응 방안

금융전산망 보안 강화에 대한 개별 금융기관이 취해야 할 대응은 다음과 같다. 계정관리, 전산장비 관리, 직원 관리 등 전사적 위험 관리 차원의 내부 통제 수행해야 한다. 앞에서도 말했듯이 보안 아웃소싱 관리를 개선해야 하며 최소한 IT 예산 대비 보안투자 비율을 10%이상으로 현실화해야 한다. 금융사고 발생 시에 사고의 원인을 자체적으로 분석해내고 능동적으로 대응할 수 있는 보안 인력을 갖추는 것도 중요하다. 보안조직의 독립성과 효과성을 보장하는 것도 필수적이므로 최고정보보호책임자(CSO)를 독자적 임원급으로 두어야 한다는 것도 대응책이다. 그 외의 진정한 신뢰를 줄 수 있도록 위험 커뮤니케이션을 개선해야 하고 사고 증거를 수집하기 위해 포렌식 준비도(Forensic Readiness)도 확립해야 한다.

금융당국이 취해야 할 대응 방안

금융당국이 취해야 할 대응 방안은 첫째, 전체 금융권 차원의 보안 거버넌스를 구축하는 것이다. 내부적으로 은행 쪽의 금결원(금융결제원), 증권 쪽의 코스콤 그리고 금융연구원이 있지만 개별적이며 협조체계가 서로 이뤄지지 않고 있다. 보안 사고가 생기면 민간분야에서 해결하는 것은 KISA(한국인터넷진흥원)이다. 하지만 KISA가 대응 및 해결을 다 할 수가 없기에 금융권이 효과적으로 일관된 대응을 할 수 있는 공동 대응 시스템 구축이 필요하다.

둘째로는 금융보안 전담 법적 기구를 설치하는 것이다. 이는 전체 금융권 보안 거버넌스 차원에서 금융보안연구원과 같은 금융보안전담기구를 법적 기구화하는 것이다. 셋째로는 금융기관의 보안수준에 대한 공시 시스템을 구축하는 것이다. 앞에서 언급했듯이 고객들에게 각 금융기관의 보안 투자 수준, 최고보안책임자 존재 여부, 보안위험관리수준 등에 대한 투명한 공시시스템을 제공하는 것을 말한다.

넷째는 보안 사각지대를 제거하는 것이다. 제2금융권을 포함한 전체 금융권 위험관리 차원에서 모니터링의 확대를 실태조사하는 것이 필요하다. 마지막으로 보안 검사 인력을 확충해야 한다. 그동안 검사가 부실하다는 점도 지적되었기 때문에 보안 검사 인력을 충분히 확보할 필요가 있다.


정부 차원에서 취해야 할 대응 방안

정부 차원에서도 금융 보안 강화를 위한 대응 방안을 해야 한다. 첫째, 금융보안인력을 양성할 수 있도록 지원하는 것이다. 다양한 위험에 신속하게 대응할 수 있는 전문성을 가진 인력이 해결책 중의 하나이기 때문이다. 둘째, 사이버 안보 강화 차원의 민관 협력을 강화하는 것이다. 금융권이 사이버테러의 주요목표대상이 되고 있는 상황에서 민관공동협력방안이 필요하다. 셋째, 금융권 정보통신의 기반시설을 점검하고 확대해야 한다. 이것은 필요조건이지 전체적인 문제 해결은 아니다. 시스템 및 기반시설을 확대하는 것은 일시적 방책일 수 있기 때문이다.

전체적으로 보면 개별 금융기관, 금융당국, 정부가 취해야 할 대응 방안은 다 나와 있다. 가장 중요한 것은 각 주체들의 의지다. 의지를 가지고 제대로 실행할 때 전체적 금융 서비스에 대한 신뢰가 반영되기 때문이다. Ahn 

대학생기자 류하은 / 강남대 경영학과 
 
거거거중지(去去去中知),  행행행리각(行行行裏覺)
가고 가고 가는 중에 알게 되고, 행하고 행하고 또 행하면서 깨닫게 된다.
- 노자의  <도덕경> -
제 글이 조금이나마 당신이 가는 그 길에 빛이 되었으면 좋겠습니다. 

 
 

댓글을 달아 주세요

  1. 2011.07.25 10:47  Address |  Modify / Delete |  Reply

    비밀댓글입니다

    • 하나뿐인지구 2011.07.25 11:55  Address |  Modify / Delete

      지하철 버스 할머니(아줌마) 이야기도 있었는데...
      ...
      저야 일반 2g폰 쓰고, 집에만 왔다갔다 하니, 별 문제 없지만...
      남자들 문제 많네요...여자 분들 주의...
      ...
      데이팅 앱(어플) 접속했다...성폭행...봉변...
      http://news.naver.com/main/read.nhn?oid=082&aid=0000303154

IT 세상을 지키는 보안 이야기 'IT 시큐리티'를 읽고

안랩人side 2009.05.31 09:53


유비쿼터스 환경이 점점 더 확산됨에 따라 우리는 컴퓨터와 인터넷을 통하여 원하는 정보에 접근하기가 훨씬 더 쉬워졌다. 쇼핑과 은행업무 등 일상생활 대부분을 인터넷으로 해결할 수 있기 때문에 인터넷은 더 이상 없어서는 안 될 존재이자 우리 생활의 일부로 자리잡았다.

이렇듯 우리 생활 속에서 인터넷 의존도가 높아져 가고 있지만, 정보보안에 대한 인식은 아직도 미흡하다. 국내 최대라고 자랑하던 한 쇼핑몰이 해킹을 당해 약 1000만 명 정도의 개인정보가 유출됐다는 사례에서 그 심각성을 알 수 있다. 이러한 큰 사건이 일어났음에도 시간이 지나면 언제 그랬냐는 듯 잊혀지곤 한다. '보안 불감증'이라는 말이 그래서 생겨난 것은 아닐까.

신간 'IT 시큐리티'는 이런 상황에서 정보보호의 기초 지식부터 최신 전문 지식과 정보보호 인력 양성에 이르기까지 생활 속의 정보보호를 쉽게 이해할 수 있도록 쓴 책이다. 저자인 강은성 SK커뮤니케이션즈 CSO(Chief Service Officer)는 22년 간 국방연구원, 삼성전자, 안철수연구소 등을 두루 거치면서 신기술 개발, 보안 소프트웨어 개발, 보안 분석 대응 등 다양한 경력을 쌓았다. 이론과 현장 경험을 바탕으로 우리 사회의 보안 문제를 다양한 시각에서 바라보고 폭넓은 대안을 제시했다.

이 책의 구성은 1부 정보기술과 정보보안, 2부 보안, 창과 방패의 영원한 대결, 3부 보안 전문가를 꿈꾸는 이들에게, 4부 소프트웨어, 보안, 정책으로 구성됐다.

1부에서 눈에 띈 것은 온라인 게임 보안에 대한 내용이다. 우리나라는 'IT 강국', '온라인 게임 강국'이라는 평가를 받는다. 우리나라 온라인 게임은  비약적인 성장 기반을 마련하며 세계 시장을 석권하고, 전체 문화 콘텐츠 산업의 45%, 세계시장 점유율 36%를 차지할 정도다. 이처럼 온라인 게임 시장이 확대되면서 게임 아이템 시장 또한 폭발적으로 증가함에 따라 금전 취득을 노린 웹 해킹, 악성코드, 트로이목마 등도 덩달아 증가하는 추세이며, 특히 '작업장'이라고 불리는 곳에서 이러한 행위들은 은밀하게 일어나고 있다고 한다.

이에 대해 저자는 "게임 아이템 시장에 대한 정부 차원의 통제가 필요하며, 개인정보를 보호하는 일은 보안 업계의 노력만으로는 해결될 수 없으며 정부와 국회, 관련 업계, 개인 등의 참여가 필요하며 총체적인 노력이 필요하다."라고 강조한다.

이 대목에서 많은 공감을 했다. 정부와 국회에서 국민들의 정보보호를 위해 제도와 법규를 정비하고, 관련 업계에서는 법규를 준수하고, 개인들이 동참한다면, "나의 개인 정보는 안전할까?"라는 불안감에서 해방될 수 있지 않을까 하는 생각이 들었다.

나는 특히 3부 테마에 가장 관심이 쏠렸다. 나의 꿈이 바로 보안 전문가이기 때문이다. 바다 한가운데서 멀리 보이는 등대를 본 것처럼 기쁜 마음으로 책을 읽어 내려갔는데, 대부분 처음 알게 된 내용이 많아 조금 놀랐다. 하지만 이제라도 알게 된 것에 감사함을 느꼈다.

저자는 보안 전문가가 되는 첫걸음은 보안 궁금증을 푸는 것이라고 말한다. "웹 쪽에 관심이 있다면, SQL 삽입(SQL injection) 공격, XSS(Cross Site Scripting) 공격이 어떤 건지 알아보는 것부터 시작할 수 있겠다. 좀 더 넓게 보려면 [10대 가장 심각한 웹 애플리케이션 보안 취약점(OWASP TOP 10)]을 찾아보는 게 좋다. 웹 쪽을 보면 자바 스크립트에 대한 공부가 필요함을 느끼게 된다. 자연스럽게 자바 스크립트를 공부하면서 그에 따른 보안 문제도 함께 공부해나간다면 재미있게 웹 보안을 공부할 수 있을 것이다."

보안 분야를 체계적으로 공부하는 방법도 소개했는데, 정보보호 자격증 시험의 과목을 살펴보는 것이다. 자격증을 취득하는 것과는 별개로 보안 공부의 체계를 세우기 위해서는 자격증 시험 출제 기준에 나오는 과목들을 한 번쯤 들여다볼 필요가 있다는 것이다. 그리고 대학에 있는 정보보호학과의 커리큘럼을 찾아보는 것 또한 보안 공부의 체계를 잡는 데 많은 도움을 준다고 한다.

정보보호는 한 기업 혹은 한 개인이 좌지우지하는 것이 아니다. 정부, 기업, 개인이 함께 노력해야 풀 수 있는 숙제인 것이다. "당신의 정보보호 마침표가 없습니다."라는 말이 있다. (정보보호 표어 부문 대상, 2008) 완벽한 정보보호는 없으며, 정보보호는 지속적으로 이루어져야 한다는 뜻으로 해석할 수 있겠다. 우리 모두가 정보보호의 마침표를 찍기 위해 지속적인 노력을 기울인다면 그토록 바라는 안전한 IT 세상을 만들 수 있지 않을까? Ahn

대학생기자 고명진 / 명지대 컴퓨터공학과
‘꿈이 있으면 행복해지고, 꿈 너머 꿈이 있으면 위대해진다.’ 보안전문가를 향해가는 그 발걸음은 행복하다. 하지만 그 행복에서 안주 할 수 없다는 생각이 들었고, 꿈 너머 꿈을 찾기 위해 ‘보안세상’에 동승했다.


댓글을 달아 주세요

  1. 미자라지 2009.05.31 21:12  Address |  Modify / Delete |  Reply

    멋지시네요^^
    컴맹이라 컴퓨터 잘하시는 분들을 보면 정말 부럽네요^^

    • 공돌이 2009.06.01 15:19  Address |  Modify / Delete

      아직 많이 부족해서
      열심히 배우려고 노력중입니다! ^^

  2. 사우스포 2009.06.03 09:17  Address |  Modify / Delete |  Reply

    IT 시큐리티라는 책 꼭 읽어 봐야겠네요 ~
    잘 읽고 갑니다.. ^_^

  3. go40004 2009.06.05 10:43  Address |  Modify / Delete |  Reply

    보안전문가를 향해!

  4. 광년이 2009.06.07 13:51  Address |  Modify / Delete |  Reply

    좋은 글 발보고 갑니다..^^ IT 시큐리티 라는 책이..

    비전공자들이 읽기에 쉽지는 않은 내용이었지만,

    이런 저런 생각을 많이 하게 해주었던 책으로 기억됩니다.

    • 공돌이 2009.06.08 09:55  Address |  Modify / Delete

      비전공자들이 보기에는
      다소 어려운 용어들이 있었겠네요 ^^
      감사합니다. ^^

SK커뮤니케이션즈의 강은성 CSO를 만나다.


지난 5월 중순 수요일 오후. 내리쬐는 초여름 햇살을 맞으며, 광년이는 서대문역으로 향하고 있었다. 안철수연구소에서 CTO를 지내고 현재 SK커뮤니케이션즈의 CSO로 있는 강은성 상무를 만나는 자리가 약속되어 있었다.

긴장한 탓일까. 처음에는 다소 어쩡정한 자세와, 긴장된 표정으로 인사조차 제대로 할 수가 없었다. 그러한 긴장을 풀어주시던, 강은성 상무의 한마디.
"싸이월드 해요? 제가 도토리를 좀 줄까요? "

나는 신난 목소리로 "네! 열심히 하고 있습니다!" 라고 대답하였고, 푸짐한 양의 도토리를 선물받을 수가 있었다. 그때부터였을까, 답답했던 긴장감이 풀리며 상무에게 궁금했던 내용을 질문하기 시작했다.


Q) 안랩을 떠나신 이후, 어떻게 지내고 계시는지요?

A) 처음 SK커뮤니케이션즈로 회사를 옮긴 후 맡았던 분야 역시 보안과 관련된 업무였답니다. 그러다 올해 2월 CSO(Chief Service Officer)를 맡아 현재까지 서비스 총괄 책임자로서 역할에 충실히 임하고 있답니다.

Q) 보안의 정의와 역할에 대해서 말씀해 주시겠습니까?

A) 보안은 사회적으로 꼭 구축해야 할 인프라입니다. 많은 사람들이 보안을 보험이라고 생각하고 있습니다. 문제가 터졌을 때만 그 시급성을 깨닫게 됩니다. 그러나, 보안은 사전에 철저한 준비해야 향후에 발생할 수 있는 피해를 최소화할 수 있는 것입니다.

Q) 수많은 분야 중에서 보안 업무를 선택하게 되신 동기는 무엇인지요? 그리고 후회는 없으십니까?

A) 처음 공부했던 분야는 컴퓨터 소프트웨어 쪽이었습니다. 관련 공부를 하다보니, 보안과 관련된 문제가 불거지게 되었습니다. 그 당시에 인터넷 지불 시스템, 개인정보의 유출 사고 등은 단연 업계의 화제거리였죠. 프로젝트에 참여해 업무를 진행할 기회가 있었고, 그 일이 계기가 되어 보안 관련 업무를 하게 되었답니다. 그리고, 적성에 맞으니까 현재까지 업무를 하고 있겠죠? 따로 후회는 하지 않는답니다.

Q) 보안 관련 시스템을 설계할 때, 가장 중요한 부분은 무엇이라 생각하십니까?

A) 제품에 대한 홍보, 서비스, 구현 등도 물론 중요하지만, 제가 제일 중요하게 생각하는 부분은 제품을 기획하는 단계입니다. 대부분의 회사는 기획보다는 제품의 구현에 많은 시간과 비용을 들이는데, 제대로 된 기획은 종합적인 프로세스의 비용과 시간을 줄이고, 기업에도 효율적인 작업 결과를 제공해줄 수가 있습니다. 현재 우리나라 대학의 교육 시스템은, 제품을 기획할 수 있는 단계보다는 제품의 구현만을 위한 반복적인 코딩 학습만 이루어집니다. 기업과 대학이 서로 프로젝트 제휴를 맺어 기업 입장에서는 우수한 인재를 확보하고, 대학 입장에서는 실무를 접할 수 있는 기회를 주어 이를 극복해 나가야 한다고 생각합니다.

Q) 스트레스를 푸는 상무님의 취미 생활이 있다면 무엇입니까?

A) 최근에 업무가 많아져 가족과 함께 하는 시간이 줄어들었습니다. 그래서 주말에 틈 날 때면 아들과 함께 자전거를 타거나, 가족과 시간을 보내는 데 사용하고 있습니다.

Q) 외부에서 바라보시는 안랩의 모습은 어떻습니까?

A) 외부에서 보면 보안 전문 업체로서 인지도가 상당히 높습니다. 이러한 이미지를 계속해서 잘 살려나가야 한다고 생각합니다. 경제가 어려워지자 많은 기업이 변화를 모색하는데,  이러한 때에 안랩은 새로운 사업을 추진하기보다는 기존 보안 관련 전문업체로서의 이미지를 더욱 확고히 굳히며, 자체 기술 개발에 노력을 해야 할 것입니다.


Q) 최근에 'IT 시큐리티'라는 책을 쓰셨는데 책 소개를 부탁드립니다.

A) 그 동안 벌어진 대규모 개인 정보 유출 사태를 보면서 이제 '정보보호'라는 관점에서 인터넷 서비스와  서비스 인프라를 바라봐야 하는, 발상의 전환이 필요한 때라고 생각했습니다. 우리 사회의 법률, 제도, 산업 투자, 기술, 개인과 사회의 인식 등 사회 전반에 대한 인식과 성찰을 한 단계 높임으로써 개인 정보를 존중하는 체계로 한 걸음 더 나아갈 수 있기를 바라는 마음과, 또한 보안전문가를 꿈꾸는 이들에게 조금이라도 도움이 되었으면 하는 마음에 책을 쓰게 되었답니다.

Q) 끝으로, 보안전문가를 꿈꾸는 대학생들에게 한 마디 해주신다면?

A) 많은 기업이 대학생들에게 실력보다는 많은 스펙을 요구합니다. 물론 남들에게 보이는 스펙은 중요하다 할 수 있을 겁니다. 그러나 그보다 더 중요한 것은 자기 분야에 대한 전문성입니다. 물론, 기업이 스펙 위주로 채용하는 현 실태에서 대학생들에게만 변화를 요구한다는 것이 무리한 부탁일 수도 있겠지만, 실력을 쌓으십시오. 그래야 여러분이 오래도록 자기 일을 할 수가 있답니다.


실력을 쌓으라는 강은성 CSO님의 말씀처럼 어려운 경제 여건에서도 자신만의
길을 꿋꿋이 걸어가는 모든 이들을 응원하며, 인터뷰에 친절히 응해주신 상무님께 감사의 뜻을 전한다. Ahn

대학생기자 김광연 / 중앙대 경영학과
꿈꾸는 당신을 위한 초석 Red-Bricks가 되어드리겠습니다. 제가 가진 열정과 노력으로 세상의 모든 일은 이룰 수 없지만, 무엇인가는 이룰 수 있을 것이라 믿으며 어제보단 오늘이, 오늘보단 내일의 모습이 더 나아짐을 꿈꾸며 오늘도 한걸음, 세상을 향해 발디뎌 봅니다.




댓글을 달아 주세요

  1. IT사랑 2009.05.29 07:43  Address |  Modify / Delete |  Reply

    좋은글 잘보고 갑니다. 한번쯤 만나뵙고 싶은 분이라는 생각이 듭니다.

  2. 공돌이 2009.05.29 10:47  Address |  Modify / Delete |  Reply

    IT 시큐리티를 읽고나서 한번쯤
    만나뵙고, 이런저런 이야기를 나누어보고
    싶더라구요. ^^

  3. RedBricks 2009.05.30 06:51 신고  Address |  Modify / Delete |  Reply

    CSO라는 직업이 정확히 먼지 궁금합니다..

  4. 도라에몽 2009.05.30 07:59  Address |  Modify / Delete |  Reply

    까악 상무님... 저도 도토리좀 주세요+_+