인터뷰 | 네이버 이준호 CISO가 말하는 '보안'

CIO KR
하루가 멀다 하고 개인정보 유출 사건이 터진다. 사고 이후에 사이트 측의 대응에 실망해 사이버 망명가를 자처하며 유랑하는 모습도 흔히 볼 수 있다. 이미 ‘오픈소스’가 됐다며 개인정보를 방치하는 태도도 심심찮게 보인다.

무엇 때문일까? 디지털, 인터넷에 대한 의존성은 점점 커져가고 있는데 그에 대한 대비는 왜 점점 더 나빠지는 것처럼 느껴질까? 피해는 있는데 왜 보상은 없는 것일까?

갑갑한 현실은 각 기업의 보안 담당자 관점에서도 마찬가지다. 공격 방식이 나날이 진화되고 있는 가운데 이를 전부 감시하고 차단하기란 사실상 불가능하다. 보안 예산은 규제로 인해 마지못해 책정하는 듯 보인다. 보안이 중요하다고 하지만 이를 위한 위한 행동은 거추장스럽게 바라보는 시선이 뚜렷하다. 국내 최대 포털 기업인 네이버의 정보보호 총괄 책임자라면 어떻게 대답해줄까? 네이버 그린팩토리 빌딩에서 이준호 CISO를 만났다.

‘선택과 집중’
“모든 보안 위협 요소를 100% 막을 수는 없습니다. 하지만 작은 것까지도 모두 통제하려고 하는 경우가 많습니다. 모두 중요하다고 강조하다 보면 어떤 것이 더 중요한지 우선순위를 파악할 수 없게 됩니다.”

이준호 네이버 CISO는 먼저 식별과 분류의 중요성을 강조했다. 모든 것을 똑같은 강도로 통제하면 직원이나 사용자가 불편한 것은 물론, 결과적으로 정작 중요한 것을 놓칠 수밖에 없다는 지적이다. 유출되면 비즈니스에 얼마나 타격을 주는지, 유출될 가능성이 얼마나 되는지 등급을 정해 체계적으로 관리해야 한다고 그는 강조했다.

“기업 내 메신저 대화가 유출되어선 안 된다고 생각하면 어떻게 될까요? 결국에는 임직원의 사생활을 침해하면서 대화 내용을 엿볼 수밖에 없습니다. 포기할 건 포기해야 합니다.”

납득할 수 있는 지적이다. 보안 관련 이야기를 듣다 보면 사악한 네트워크 너머의 강력한 존재가 호시탐탐 허점을 노리고 아차 하는 순간 침투해올 것만 같다. 매사 신경을 곤두세워야 할 것 같은 위기감이 들다가 절로 지쳐버린다. 선택과 집중이라는 조언은 주의력이라는 관점에서도 유효하다.

“기업 내 소통도 같은 맥락에서 이뤄져야 합니다. CEO에게 ‘전부 다 지키겠다’라고 말하면 지키기 어려운 약속이 됩니다. ‘이것만은 반드시 지키겠다’고 약속하고 또 지켜내야 합니다. 전부 중요한 것으로 간주하면 정작 중요한 것들이 희석될 수 있습니다.”

보안 팀에 다양한 역량이 필요한 이유
이준호 CISO는 이와 관련해 보안 조직의 팀 구성을 재고해볼 여지가 있다고 지적했다. 효과적인 보안을 위해 정작 어떤 역량이 필요한지 따져봐야 한다는 설명이다. 기술 역량을 갖춘 사이버 전사만 모으려는 경향이 있는데 ‘그래서는 조직이 안 돌아간다’고까지 표현했다.

“보안 조직이 하는 일이 무엇일까요? 드라마나 영화에 나오는 것처럼 사이버 범죄자와 매일매일 전투를 벌이고 있을까요? 사실 모의해킹이나 취약점 점검 업무도 해야 하는 일들이기는 하지만, 각종 모니터링과 분석 업무, 법적 규제 대응, 대내외 커뮤니케이션 업무 등이 많은 비중을 차지하고 있습니다. 이를테면 여러 법령에 내부 직원 대상의 정보보호 교육을 의무적으로 시행하도록 규정하고 있습니다. 이러한 교육을 위해 교재를 만들어 교육하고, 네이버의 개인정보 취급 방침도 만들어야 하는 곳이 오늘날 보안팀의 역할입니다. 따라서, 다양한 분야를 섭렵하고 있는 통섭형 인재로 구성되어야 합니다.”

그렇다면 어떤 사람이 보안 업무를 의외로 잘 할까? 어떤 기준으로 보안 조직을 구성하고 운영하는 것이 효과적일지 물었다.

“그간의 경험으로 보면 비즈니스를 이해하는 사람들이 잘했습니다. 네이버의 경우 인터넷 서비스가 어떻게 돌아가는지 꿰고 있는 사람들이죠. 비즈니스에 대한 이해가 높아야 어떤 부분에 보안을 강화해야 하는지 알 수 있으며, 업무 효율을 저해하지 않으면서 정보 자산을 지킬 수 있는 안목이 생깁니다. 비즈니스에 대한 이해가 없는 보안은 조직에 융합되지 못하고 겉돌 수 밖에 없습니다.”

CISO는 컨설턴트
이준호 이사는 다음에서는 CIO 직책을, 네이버에서는 CISO를 맡았다. 그 이전에는 삼성테크윈(구. 삼성항공)이라는 제조사를 거쳤다. IT 인프라 및 전략을 총괄하는 CIO와 기업 보안을 책임지는 CISO는 서로 유사한 분야를 다루는 듯 보이면서도 갈등이 발생하기 쉬운 관계라는 점에서 그의 경력은 이색적인 동시에 의미가 있다. CIO, CISO에 대한 관점을 물었다.

“일부 업종에서는 갈등이 현재진행형으로 발생하고 있습니다. 하지만 그건 IT만 보니까 그렇다고 봅니다. CISO는기업의 보안 컨설턴트가 되어야 합니다.”

이준호 이사는 보안 조직이 해야 할 다른 일들이 무궁무진하다고 설명을 이어갔다. 제품/서비스 개발 부서와 제품의 보안 기능에 대해 협력해야 하며, 사내 시스템 운영과 관련해서는 임직원의 개인정보를 보호해야 한다. 커머스 서비스가 있는 경우라면 결제 과정 및 데이터 보호를 책임져야 한다. 각종 법무 및 규제에 대응하는 것도 보안 조직이 해야 할 일이며 경우에 따라서는 물리적 보안까지 담당한다. 고객 정보에 대해 무한 책임을 지는 것은 물론이다.
.
“이 모든 것을 보안 조직에서 전부 책임을 질 수는 없습니다. 기업 내 전반적으로 보안이 내재될 수 있도록 이해관계가 가장 많이 얽혀있는 CIO와 협업이 잘 이뤄져야 합니다. IT 장비나 기술을 두고 밥그릇 싸움을 벌이기에는 다른 할 일이 너무도 많습니다. 그저 강력하게 차단하고 불편한 인증 과정을 추가하는 것이어서는 안 됩니다. 네이버 로그인의 보안을 안전하게 보장해야 하지만 그러면서도 로그인을 쉽게 할 수 있도록 서비스 부서와 협력해야 합니다. 통제하는 조직이 아니라 보호하는 조직이어야 한다고 봅니다.”

시간과 노력이 필요한 ‘신뢰’
로그인 보안이 중요하지만 로그인을 쉽게 해야 한다는 말에 동의할 수 있다. 보안이 중요하지만 비즈니스는 더 상위의 개념이다. 하지만 불편을 최소화하는 것을 넘어 비즈니스에 일조할 수 있다면 금상첨화일 터다. 특히 네이버와 같은 포털 서비스 업체는 사용자의 신뢰가 핵심적이다. 각종 개인정보 유출 사건과 개인정보 무단 추적이나 활용 논란으로 시끄러운 요즘, 네이버의 보안 조직은 비즈니스와 어떻게 정렬돼 있는지 물었다.

“반대로 질문하겠습니다. 오늘 인터뷰하시는 분들은 어디 메일을 쓰십니까? 그 서비스 기업이 이메일을 들여다본다면 어떻게 하시겠습니까?”

반사적으로 ‘안 되죠’라는 대답이 나왔다. 하지만 다시 곰곰이 생각해보니 여러 곳의 이메일 및 메신저 서비스를 이용하고 있지만 그 중 어느 것도 완전히 믿고 있지 않았다. 심심찮게 터지는 개인정보 누출, 엿보기, 계정 도난 등을 감안해 적당히 사용하고 있었다. 따지고 보면 정부 또한 개인 정보를 업체에 요구하고 있지 않던가?

“신뢰는 갑자기 생기지 않습니다. 신뢰는 지속적인 소통과 노력에 의해 장기간에 걸쳐 생기는 것입니다. 결국은 꾸준히 행동하고 보여주는 방법뿐이라고 생각합니다.”

이준호 CISO는 네이버 프라이버시센터(privacy.naver.com)와 개인정보보호 블로그(privacyblog.naver.com)를 확인해 달라고 요청해왔다. 각종 네이버의 개인정보보호 노력, 인증 등에 대해 지속적으로 알리는 공간이라는 설명이다. 최대한 이해하기 쉽게 동영상 콘텐츠도 만들고, 사용자 약관 이지(Easy) 버전을 만드는 것 등도 관련 작업의 일환이라고 덧붙였다.

“이해하기 힘들게 만든다는 것은 소통하기 싫은 겁니다. 쉽게 작성해 소통을 촉진하고 신뢰를 쌓아갈 수 있도록 고민하는 것도 보안 조직의 업무라고 봅니다. 국내 최초로 개인정보 투명성 보고서를 발간했던 것도, 비용을 지불하며 외부 감사를 받는 것도 같은 맥락입니다. 100% 신뢰할 수 없는 것이 한편으로는 당연합니다. 하지만 투명한 태도를 견지하고 열린 소통 노력을 지속하는 것만으로도 의미가 있다고 봅니다. 비즈니스의 근간에는 신뢰가 있으며 신뢰에는 시간과 노력이 필요합니다. 결국 꾸준히 열린 자세로 소통하는 방법뿐이라고 판단하고 있습니다.”

이준호 CISO와의 인터뷰에 앞서 물어볼 것들을 정리했었다. 첨단 APT 동향이나 빅데이터 애널리틱스 보안과 같은 이야기가 많이 나올 것이라 생각했다. 하지만 이준호 CISO가 정작 강조한 것은 ‘기본’에 관한 것이었다. 최첨단 보안 장비를 갖춘 대기업이나 금융 기업에서조차 예상치 못한 보안사고가 일어나고 있는 것들을 보면, 정작 중요한 기본을 놓치고 있었던 것인지도 모를 일이다.

* 이준호 네이버 CISO는 2008년부터 CISO직을 수행한 국내 최장수 CISO중 한 명이다. 다음커뮤니케이션 CIO로 재직하던 2006년 한국CIO포럼으로부터 최연소 "올해의 CIO"로 선정 된 바 있으며, 포털 업계 최초로 보안전담 조직을 만들고 ISMS, ISO27001 정보보호 인증을 획득하였다. 2014년에는 제8회 아시아태평양 정보보안 리더십 공로프로그램(ISLA)의 선임정보보안전문가 부문 수상과 함께 제1회 대한민국 "올해의 CISO상"을 수상했다. 현재 한국CISO협의회, 한국CPO포럼의 부회장을 역임하는 한편 정부3.0추진위원회 전문위원으로 활동하며 정보보호 업계 발전을 위해 노력하고 있다.
ciokr@idg.co.kr