2015.01.07

신간 인터뷰 | "모든 C-레벨의 2015년 화두는 정보보안" 강은성 대표

박해정 | CIO KR
안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다.

다음은 강 대표와의 일문일답이다.

CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지?
강은성 대표(이하 강 대표) :
이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다.

CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면?
강 대표 :
이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다.

1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ사고ㆍ위기와 그에 대한 대응방법을 체계적으로 설명한 위기관리 영역, 5장에서는 정보보호 관련 법규와 그에 대한 대응 방안을 기업 관점에서 정리한 규제 대응을 다뤘다. 6장은 핵심 역량과 생활의 지혜라고 해서 정보보호책임자가 자신의 역량을 키우거나 실무적인 일 처리를 하면서 도움이 될 내용을 다뤘다.

CIO KR : 2009년에 <IT시큐리티>를 집필했는데, 그 때와 비교할 때 2014년 국내 정보보안에서 가장 큰 변화가 있다면 무엇인가?
강 대표 :
무엇보다도 금융회사, 통신회사 등에서 개인(금융)정보 대량 도난 사건이 발생하여 사회적으로 큰 문제가 되었다는 점을 들 수 있다. 미국에서도 타깃(Target)과 홈데포(Home Depot)에서 대규모 금융정보 도난 사건이 있었다. 모바일 악성코드가 크게 증가했다는 점도 눈에 띈다. 당시에서 모바일 악성코드에 관한 예상과 준비가 있었지만 국내에서는 안드로이드 스마트폰이 대세가 되면서 모바일 악성코드가 매우 많아졌다. CISO, CPO 등 기업의 정보보호책임자의 등장을 통해 보안 위험에 관한 기업 차원의 대응이 가시화되고 있다는 점 역시 큰 변화로 꼽을 수 있다.

CIO KR : 어떤 사람들이, 구체적으로 어떤 고민을 가진 사람 또는 어떤 업무를 맡는 사람이 이 책을 읽으면 좋을지 추천해 달라.
강 대표 :
누구보다도 CEO를 비롯한 기업 임원들이 많이 읽으면 좋겠다. 정보보호에 익숙하지 않은 분들이라도 이 책의 2장 정보보호 거버넌스와 4장 위기관리는 어렵지 않게 읽을 수 있고, 5장 규제 대응 중에서는 해당 기업에 관련되는 부문의 법규를 살펴 보시면 도움이 되리라 생각한다.

CISO, CPO, 정보보호팀장, 개인정보보호팀장 등 공식적 또는 실질적인 회사의 정보보호책임자는 중심으로 설정한 독자다. 많이 읽어 주시면 좋겠다. 또한 보안실무자나 IT, 법무, HR, 소프트웨어 개발 등 관련 부서에서 보안업무를 수행하는 분이 읽으면 회사의 정보보호 업무를 전반적으로 이해하는 데 도움이 되지 않을까 싶다.

CIO KR : 국내에 보안 관련해 다양한 위치에서 일하면서 여러 각도로 ‘정보보안 이슈’를 바라볼 기회가 있었을 텐데, 지난 경험으로 비춰볼 때 2015년 정보보안의 흐름에 대해 주요하게 보는 이슈나 트렌드가 있다면 무엇인가?
강 대표 :
이제까지 보안 트렌드는 주로 보안 공격 측면에서 다뤄져 왔다. 보안업체가 주로 발표하기 때문에 그러지 않았을까 싶다. 그보다는 방어 측면에서 보안 트렌드를 이야기하고 싶다. 첫째, 2015년에는 무엇보다도 이 책의 제목처럼 CEO를 비롯한 기업의 CxO가 기업 보안의 주체로 나서기 시작하는 해가 되리라 생각한다. 이미 보안 위험이 기업의 중대한 위험이 되어서 기업 차원의 대응이 불가피하기 때문이다.

둘째, 보안이 좀더 방어자 관점으로 흐르리라 생각한다. 이 책의 3장에 ‘공격 관점에서 방어 관점으로! – 관리체계와 중요자산의 보호’라는 제목을 붙인 것도 그런 이유에서다. 기업의 보안 위험을 최소화하기 위한 보안대책 중 보안솔루션으로 해결할 수 있는 부분은 제한적이다. 따라서 앞으로 IT 관리, 비IT부문의 정책 등 방어자 관점의 보안대책을 폭넓게 검토하리라 예상한다.

셋째, 2014년에 보안인력의 품귀현상이 생겼다. 2015년 역시 품귀현상이 지속될 것 같다. 이러한 현상을 계기로 많은 회사의 보안분야에 대한 대우와 업무 여건이 좋아져서 보안 인력이 좋은 환경에서 일할 수 있고, 정보보안이 사회적으로 좋은 직업으로 인식되는 계기가 되기를 바란다.

CIO KR : 앞으로 어떤 책을 집필할 계획인가?
강 대표 :
아직 계획을 잡은 것은 없다. 다만 TV, 휴대폰, 교통카드, 학교, 병원 등 IT를 빼 놓고는 우리가 생활할 수 없을 정도로 완전히 IT 기반의 사회가 되었고, 특히 본격적인 사물인터넷 시대가 되면 가정에도 많은 IT 제품이 들어오게 되는데요. 일반 국민에게는 아직 보안은 특수한 분야라 전문가가 알아서 해 주는 것으로 인식되어 있어서 우리 사회가 안전한 사회로 발전하는 데 장애가 되고 있다. 이러한 한계를 넘어서 개인이 자신의 정보자산을 지키겠다는 생각, 보안 공격은 범죄라는 인식이 있어야 우리 사회가 좀더 안전한 사회가 되지 않을까 싶어서 앞으로 기회가 된다면 보안 지식이 별로 없는 일반 국민이 편하게 보안에 관해 읽을 수 있는 책을 써 보고 싶다. ciokr@idg.co.kr



2015.01.07

신간 인터뷰 | "모든 C-레벨의 2015년 화두는 정보보안" 강은성 대표

박해정 | CIO KR
안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다.

다음은 강 대표와의 일문일답이다.

CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지?
강은성 대표(이하 강 대표) :
이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다.

CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면?
강 대표 :
이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다.

1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ사고ㆍ위기와 그에 대한 대응방법을 체계적으로 설명한 위기관리 영역, 5장에서는 정보보호 관련 법규와 그에 대한 대응 방안을 기업 관점에서 정리한 규제 대응을 다뤘다. 6장은 핵심 역량과 생활의 지혜라고 해서 정보보호책임자가 자신의 역량을 키우거나 실무적인 일 처리를 하면서 도움이 될 내용을 다뤘다.

CIO KR : 2009년에 <IT시큐리티>를 집필했는데, 그 때와 비교할 때 2014년 국내 정보보안에서 가장 큰 변화가 있다면 무엇인가?
강 대표 :
무엇보다도 금융회사, 통신회사 등에서 개인(금융)정보 대량 도난 사건이 발생하여 사회적으로 큰 문제가 되었다는 점을 들 수 있다. 미국에서도 타깃(Target)과 홈데포(Home Depot)에서 대규모 금융정보 도난 사건이 있었다. 모바일 악성코드가 크게 증가했다는 점도 눈에 띈다. 당시에서 모바일 악성코드에 관한 예상과 준비가 있었지만 국내에서는 안드로이드 스마트폰이 대세가 되면서 모바일 악성코드가 매우 많아졌다. CISO, CPO 등 기업의 정보보호책임자의 등장을 통해 보안 위험에 관한 기업 차원의 대응이 가시화되고 있다는 점 역시 큰 변화로 꼽을 수 있다.

CIO KR : 어떤 사람들이, 구체적으로 어떤 고민을 가진 사람 또는 어떤 업무를 맡는 사람이 이 책을 읽으면 좋을지 추천해 달라.
강 대표 :
누구보다도 CEO를 비롯한 기업 임원들이 많이 읽으면 좋겠다. 정보보호에 익숙하지 않은 분들이라도 이 책의 2장 정보보호 거버넌스와 4장 위기관리는 어렵지 않게 읽을 수 있고, 5장 규제 대응 중에서는 해당 기업에 관련되는 부문의 법규를 살펴 보시면 도움이 되리라 생각한다.

CISO, CPO, 정보보호팀장, 개인정보보호팀장 등 공식적 또는 실질적인 회사의 정보보호책임자는 중심으로 설정한 독자다. 많이 읽어 주시면 좋겠다. 또한 보안실무자나 IT, 법무, HR, 소프트웨어 개발 등 관련 부서에서 보안업무를 수행하는 분이 읽으면 회사의 정보보호 업무를 전반적으로 이해하는 데 도움이 되지 않을까 싶다.

CIO KR : 국내에 보안 관련해 다양한 위치에서 일하면서 여러 각도로 ‘정보보안 이슈’를 바라볼 기회가 있었을 텐데, 지난 경험으로 비춰볼 때 2015년 정보보안의 흐름에 대해 주요하게 보는 이슈나 트렌드가 있다면 무엇인가?
강 대표 :
이제까지 보안 트렌드는 주로 보안 공격 측면에서 다뤄져 왔다. 보안업체가 주로 발표하기 때문에 그러지 않았을까 싶다. 그보다는 방어 측면에서 보안 트렌드를 이야기하고 싶다. 첫째, 2015년에는 무엇보다도 이 책의 제목처럼 CEO를 비롯한 기업의 CxO가 기업 보안의 주체로 나서기 시작하는 해가 되리라 생각한다. 이미 보안 위험이 기업의 중대한 위험이 되어서 기업 차원의 대응이 불가피하기 때문이다.

둘째, 보안이 좀더 방어자 관점으로 흐르리라 생각한다. 이 책의 3장에 ‘공격 관점에서 방어 관점으로! – 관리체계와 중요자산의 보호’라는 제목을 붙인 것도 그런 이유에서다. 기업의 보안 위험을 최소화하기 위한 보안대책 중 보안솔루션으로 해결할 수 있는 부분은 제한적이다. 따라서 앞으로 IT 관리, 비IT부문의 정책 등 방어자 관점의 보안대책을 폭넓게 검토하리라 예상한다.

셋째, 2014년에 보안인력의 품귀현상이 생겼다. 2015년 역시 품귀현상이 지속될 것 같다. 이러한 현상을 계기로 많은 회사의 보안분야에 대한 대우와 업무 여건이 좋아져서 보안 인력이 좋은 환경에서 일할 수 있고, 정보보안이 사회적으로 좋은 직업으로 인식되는 계기가 되기를 바란다.

CIO KR : 앞으로 어떤 책을 집필할 계획인가?
강 대표 :
아직 계획을 잡은 것은 없다. 다만 TV, 휴대폰, 교통카드, 학교, 병원 등 IT를 빼 놓고는 우리가 생활할 수 없을 정도로 완전히 IT 기반의 사회가 되었고, 특히 본격적인 사물인터넷 시대가 되면 가정에도 많은 IT 제품이 들어오게 되는데요. 일반 국민에게는 아직 보안은 특수한 분야라 전문가가 알아서 해 주는 것으로 인식되어 있어서 우리 사회가 안전한 사회로 발전하는 데 장애가 되고 있다. 이러한 한계를 넘어서 개인이 자신의 정보자산을 지키겠다는 생각, 보안 공격은 범죄라는 인식이 있어야 우리 사회가 좀더 안전한 사회가 되지 않을까 싶어서 앞으로 기회가 된다면 보안 지식이 별로 없는 일반 국민이 편하게 보안에 관해 읽을 수 있는 책을 써 보고 싶다. ciokr@idg.co.kr

X