파이낸스 IT월드 인터뷰 | "부탁에서 통제로, 보안 인식 변화" KB국민은행 김종현 CISO

IT본부는 시스템 안정성을 강조하고 정보보호는 보안프로세스를 강조한다. 시스템성능을 강조하면 편리하고 빨라지지만, 보안프로세스를 강조하다 보면, 시스템이 불편하고 느려질 수 있다. IT와 보안이 이렇게 서로 목적이 다르기 때문에 이 둘 사이에 균형을 맞춰야 한다.

가령, 새로운 보안 프로세스를 추가할 경우 전체 시스템에 영향을 줄 수도 있어, IT부서의 입장에서 장애를 이유로 반대할 수 있다. 이제는 정보보호본부 소속의 보안담당자는 “보안강화는 필수이고, 장애가 나지 않도록 하는 것은 IT본연의 임무고 보안 사고를 예방하는 것이 필요하다”고 주장할 수 있어야 한다. 이렇게 주장하려면 사고 방식뿐 아니라 일하는 방식도 부탁하는 보안에서 통제하는 보안으로 바꿔야 한다.

CIO KR : 금융 IT보안만의 문제점은 무엇이라고 생각하나?
김 상무 : 제조업의 경우 서버가 모여 있고, IT센터가 집중돼 있어 관리포인트가 집중된 반면, 금융기관의 경우, 중요한 정보를 직접 취급하는 영업점이 전국 각지에 흩어져 있다. 제조업의 경우 PC가 공장역할을 하지는 않지만, 금융산업에는 PC에 고객 정보가 다 들어 있는 공장과 같은 존재이다. 즉, 금융산업에는 중요한 고객정보를 보호해야 할 관리포인트가 많고 광범위하다.

한편, 일반 기업은 보안이라고 하면 고객 정보만 보호하면 되는데, 금융은 고객정보뿐 아니라 금전거래정보를 보호해야 한다. 고객 정보를 빼돌려 2차 사고,, 즉 돈을 빼가는 것을 막는 것이 중요하다.

금융 IT보안이 타 산업보안에 비해 조금 나은 점이 있다면, 금융에서는 IT의 중요성이 상대적으로 높기 때문에 IT에 많이 투자한다는 것이다. 그리고 IT인력은 은행 인력의 5%로 맞추고 이 가운데 5%는 정보보호 인력으로 구성하며 IT예산의 7%는 정보보호 예산으로 편성해야 한다는 금융감독원의 557 규정 때문에 최소한의 보안투자가 확보되어 있다.

CIO KR : 그 동안 많은 변화를 이끌어 냈는데 그러기 위해서는 커뮤니케이션 역량이 중요했을 것 같다. 노하우가 있다면?
김 상무 : KB국민은행은 ‘스토리가 있는 금융’을 추구한다. 스토리가 있는 금융은 우리가 원하는 상품을 판매하는 게 아니라 고객이 원하는 상품을 판매하는 것이다. 그 과정에서 고객과 스토리를 만들어 가는 것이다. 이런 취지에서 정보보호본부는 ‘스토리가 있는 보안’을 구현하기 위해 매월 스토리 나눔마당을 운영하고 있다. 스토리 나눔마당에서 새로운 보안정책, 효과적인 보안교육방안에 대해 토론하고 의견을 나누고 있다.

경영진과의 소통을 위해, 경영진 간담회에서 월별 보안 이슈를 올리고 있다. 고객 정보 관련 출력물 현황이나 이메일 첨부파일에 고객 정보가 몇 건이 있었는지 등을 보고하고 새로운 보안 조치가 있을 때는 경영진간담회에서 이를 알려주고 있다. 가령 개념적으로 어려운 고객정보 유출방지시스템의 적용프로세서에 대해 경영진간담회에서 설명한다. 관리자가 승인하고, 고객정보가 암호화되는 과정을 안내한다. 이밖에 전체 본부 팀장들을 대상으로 보안 교육을 실시했는데, 오히려 교육생인 팀장들뿐 아니라, 교육을 하는 보안팀장들도 교육의 효과를 보며 만족스러워했다.

정보보호본부의 본부장과 부서원간의 벽을 허물려고 노력한 것도 있었다. 그러기 위해서 부서장뿐 아니라 업무담당자들과 빈번한 회의를 통해 직접 대화도 많이 나누며 열려 있는 토론 분위기를 조성했다.

CIO KR : 국내 최초의 금융 CISO라고 알고 있다. 금융 IT보안 관계자들에게 당부하고 싶은 말이 있다면?
김 상무 : 보안의 중요성은 커지고 있기 때문에 현재 보안 담당자들의 중요성은 높아지고 있다고 생각한다. 그렇다고, 보안담당자가 스스로 느끼는 비전이 명확해지는 것으로 보이지는 않는 다. 적극적인 보안활동을 위해 보안담당자들에 대한 비전제시는 CISO가 반드시 해야 할 일로 보인다. 보안 전문가가로 성장하면, 향후에도 경험을 살려 은퇴 후에도 은행을 위해 일할 수 있다는 비전이 중요할 것으로 보인다. 24시간 보안 관제가 필요하고, 보안전문가로서의 경험이 중요한데, 그 업무를 은퇴한 직원이 맡을 수도 있기 때문이다. 누구보다도 은행 업무를 잘 알기 때문에 더욱 유리할 것이다.

CISO로 성장하려면 비즈니스 마인드가 필요하다. 업무 전반에 대해 다른 임원과 이야기할 수 있으려면 보안뿐 아니라, 보안이 타 현업 부서에 미치는 영향에 대해서, 동시에 은행 영업프로세스에 미치는 영향에 대해서 이야기할 수 있어야 한다. 훌륭한 CIO는 IT의 중요성을 경영진들에게 잘 설명하는 사람이다. 마찬가지로 CISO도 보안이 비즈니스에 영향을 끼친다는 점을 경영진들에게 말할 수 있어야 한다. 비즈니스 대화를 할 수 있느냐 그렇지 않느냐가 앞으로 CISO의 자질에 중요한 요소가 될 것이다.

한편, 오는 5월 22일 한국IDG는 금융 IT의 화두인 보안과 SMAC(소셜, 모바일, 분석, 클라우드)를 집중적으로 소개하는 파이낸스 IT월드 2014를 개최한다. 이번 컨퍼런스에는 금융감독원, 은행, 보험, 카드, 결제서비스 등 다양한 금융권 전문가들이 대거 참석해 현재 및 향후 금융 IT핵심 이슈를 점검하고 실행 전략을 구상하는 자리가 될 것이다. (문의 : 02-558-6079, http://conf.idg.co.kr/conference/information?conference_seq=100) ciokr@idg.co.kr