Offcanvas

CIO / CIOK 인터뷰 / CSO / 경력관리 / 리더십|조직관리 / 소프트스킬 / 이직|채용 / 자기계발

인터뷰 | “한 조직의 CISO로 일한다는 것” 임홍철 이사

2023.03.16 Brian Cheon  |  CIO KR
나날이 고도화되는 사이버 공격, 비즈니스의 디지털화, 그리고 각종 정보보안 요건을 규정한 정보통신망법 등의 요인으로 인해 정보보호를 총괄하는 임원의 존재가 어느덧 익숙해졌다. 영리를 목적으로 비즈니스를 정보를 제공하거나 정보의 제공을 매개하는 조직 대다수에는 이제 정보보호 최고 임원인 CISO를 비롯해 개인정보 보호를 총괄하는 CPO(Chief Privacy Office) 등이 자리한다. 기업에 따라서는 민감한 위치정보를 책임지는 CLO(Chief Location Officer)가 있기도 하다.

그렇다면 보안 분야 커리어의 정점이라고 할 만한 이러한 보안 책임자는 어떤 이들일까? IT 분야, 또는 보안 분야의 전문성을 인정받아 유수 기업의 CISO가 되기 위해서는 어떤 역량과 경력이 필요할까? 그들은 무엇에 주목하고 어떤 일을 하고 있을까? 신세계 인터내셔널의 정보보안과 개인정보 보호를 책임지고 있는 임홍철 이사를 강남구 청담동에 소재한 사옥에 만났다. 
 
신세계인터내셔날 임홍철 CISO

개발자, 컨설턴트 거쳐 CISO로
“개발자로 커리어를 시작해 SI 분야에서 PM 직무를 수행했습니다. 이후 안랩에서 온라인보안솔루션 개발 업무를 담당했고 이후에는 솔루션 구축 엔지니어 리더, 보안 수석 컨설턴트 역할을 맡았습니다. 액센츄어 컨설팅 이사를 거쳐 신세계인터내셔날 CISO로 합류했습니다.”

임홍철 이사는 27년에 이르는 기간 동안 IT와 보안 분야를 두루 거친 인물이다.  그는 가장 오랜 직무였던 컨설팅 업무 과정에서 쌓은 커뮤니케이션 역량을 회사에서 높이 평가한 것으로 보인다며 이야기를 시작했다.

“당연한 말이지만 보안 분야에 있으면서 CISO를 해보고 싶다는 생각을 했습니다. 여러 기업을 대상으로 컨설팅을 하면서 보안에 대한 비전을 구축했고, 이를 실행해볼 기회를 기대했습니다. 사실 기업(또는 그룹)의 보안을 구상하고 실현해보는 꿈을 보안 전문가라면 누구나 가져볼 것입니다. 하지만 의외로 보안 현장에서는 도전 자체를 하지 않는 경우가 많습니다. 여러 이유가 있습니다.”

임 이사에 따르면 먼저 두려움이 있다. 익숙한 보안 개발/PM/컨설팅 업무라는 안전 지대를 벗어나 한 기업의 보안을 책임진다는 것이 꼭 장밋빛일 수는 없다는 설명이다. 임원이라는 직급의 불안정성뿐 아니라 CISO에 법적 책임을 묻는 오늘날의 관행도 한 이유가 된다.

“보안 분야에 계신 분들은 아시겠지만 CISO는 다른 분야의 임원과 달리 사고와 처벌에 굉장히 가깝게 위치합니다. 본인과 보안 조직이 아무리 열심히 해도 어느 순간 법 집행 기관의 포토라인에 서 있을 수 있다는 이야기입니다. 해외와 달리 우리나라에는 보안 담당자에게 책임을 묻는 관행이 아직은 꽤 있습니다. 보안전문가들끼리 이야기할 때 빠지지 않는 화제입니다.”

그는 실제로 기업의 심각하면서도 치명적인 보안 문제 대부분은 사실 해커 때문이 아니라 내부자로 인해 발생하곤 한다며, 이는 CISO가 기술 동향뿐 아니라 기업 문화, 비즈니스 전반에 대해 이해하고 구성원들과 지속적으로 소통해야 하는 이유라면서 말을 이어갔다.

“보안 엔지니어 업무에 매몰되어 있다면 CISO 직무를 제대로 수행하기 힘들 수 있습니다. CISO로서 요구되는 역량은 엔지니어가 아닙니다. 기술에 대한 전문성은 물론 보유하고 계속 학습해야 하겠지만 기획자 역할과 소통자 역할, 책임자 역할을 모두 해낼 수 있어야 합니다. 미리 교육을 받거나 본인 스스로 이러한 역량을 키워야 합니다. 많은 보안 전문가들에게 아쉬운 부분입니다.”

“보안팀은 컨설팅 조직이어야 한다”
대기업의 CISO가 될 수 있었던 이유를 묻는 질문에 임홍철 이사가 언급한 역량도 같은 맥락이었다. 그는 커뮤니케이션 역량과 IT 전반에 대해 폭넓은 경험을 가진 점이 주효했다며, 오늘날의 보안 커뮤니케이션이 주로 어떻게 이뤄지는 지를 언급했다. 

“조직의 정보보안 전문가들이 주로 상대하는 이들은 단연 IT 전문가분들입니다. 개발자, 유지보수 담당자, 기획자와 같은 분들입니다. 일반적으로 기업 IT 조직의 상황은 무척 빠듯합니다. 예산이 넉넉하지 않은 경우가 대부분이고, 기간은 대개 더 부족합니다. 보안이 중요하다는 점을 이들도 이해하지만 일정과 예산 측면에서 보안이 걸림돌이 되는 경우가 현실적으로 많습니다.”

임홍철 이사는 이때 중요한 것이 협의라고 강조했다. IT 조직과 우선순위를 놓고 다투다 보면, 결국 꼭 필요한 보안까지 확보하기 어려워진다는 지적이다. ‘안 됩니다’, ‘법이 그렇습니다’, ‘책임은 누가 집니까?’ 등의 대립적인 소통 방식은 결코 원하는 결과를 얻어낼 수 있는 접근법이 아니라고 그는 힘줘 말했다.

“그래서 CISO는 주요 파트너인 IT 조직이 어떤 일을 하는지, 어떤 식으로 일을 하는지 이해할 필요가 있습니다. 사내의 정치적 역학 관계도 고려해야 합니다. 무엇보다도 문제가 되는 상황에서 해법을 제시할 수 있어야 합니다. CISO 뿐 아니 매니저 직급 이상의 보안 전문가 모두에게 필요한 역량일 수도 있겠습니다.”

임홍철 이사는 기업의 보안 부문이 컨설팅 조직처럼 바라보고 움직일 수 있어야 하는 이유가 바로 이것이라고 언급했다. 기업 모든 업무의 모든 과제에 보안이 한 요소로 존재하는 오늘날, 보안 부문이 비즈니스의 걸림돌이 아닌 협조자로 인식되기 위해서는 일단 보안 부문의 변화가 필요하다고 그는 덧붙였다. 

“언제부터인지 현업이 질의하면 ‘무슨 법 몇 조 몇 항에 의해 문제가 되기 때문에 안 된다’는 식으로 답하는 관행이 일상화됐습니다. 현업의 질의나 요청에 전가의 보도처럼 법을 들먹이며 ‘예’와 ‘아니오’라는 답변해서는 안 된다고 봅니다. 같이 앉아서 상의를 하고 해답을 함께 도출할 수 있어야 합니다. 원하는 목표를 달성하기 위해서는 이렇게 절차를 바꾸거나 설계를 변경하면 된다는 방식으로 한 단계 더 들어간 답변을 제시할 수 있어야 합니다. 그렇지 않으면 상황이 개선되기 어렵습니다. 터놓고 말해서 IT 부문과 보안 부문이 강 대 강으로 부딪히면 대부분 보안 조직이 집니다.”

단 보안 부문의 변화만으로 해결될 문제는 아니라고 그는 지적했다. 보안 부문이 비즈니스 파트너로서 기업의 다른 조직들과 보조를 맞추기 위해서는 회사 또한 바뀌어야 한다는 전제가 있다는 설명이었다.

“보안이 제대로 기능하기 위해서는 먼저 초기 기획에서부터 보안이 참여할 수 있어야 합니다. 1차 2차 기획 때는 보안이 배제되어 있다가 뒤늦게 구색 맞추기식으로 보안을 참여시키는 접근법으로는 보안이 비즈니스 파트너가 될 방법이 없습니다.”

“이에 더해 비즈니스 및 보안 우선순위에 대한 명시적, 묵시적 합의도 빼놓을 수 없습니다. 일례로 간편성을 위해 보안의 일부를 희생하는 게 꼭 지양해야 할 시나리오가 아닙니다. 전체 비즈니스 시각에서 그러한 선택을 내릴 수 있습니다. 관건은 책임을 떠넘기는 것이 아니라 우리가 함께 결정했고 함께 대응한다는 전사적 합의입니다. 이러한 합의가 제대로 이뤄지지 않으면 보안 조직은 금지자, 방해자의 역할로 돌아서게 됩니다. 결국 회사 문화의 이슈라고 할 수 있겠습니다.”

임홍철 이사 스스로도 신세계인터내셔날의 보안 조직이 자문과 컨설팅 역할을 하도록 지향한다. 보안 부문의 구성원들에게 다양한 시각으로 볼 수 있고, 다양한 의견을 제시하며, 크게는 마스터 플랜을 그릴 수 있는 역량을 주문하기도 한다.

“과거 보안 기업에 있을 때 제안한 내용이 있습니다. 신입 컨설턴트를 채용하는 것이 아니라 다른 분야의 경력직을 대상으로 선발하자는 의견이었습니다. 모의 해킹 경력만 가진 사람은 공식대로 모의 해킹만 하는 경향이 있습니다. 컨설팅으로 시작하면 컨설팅 전문 도구의 엔지니어에 멈추는 경향이 있었습니다. 보안 커리어에 국한되면 점점 직급이 올라감에 따라 밑천을 드러내기 십상입니다. 다양한 영역의 다양한 지식을 쌓는 게 바람직하다고 봅니다.”

신세계 그룹의 보안 포탈 구축··· 오픈소스 보안과 패스워드리스에 주목 중
그렇다면 신세계인터내셔날이라는 패션 및 코스매틱 분야의 소비재 기업에 합류한 이후 임홍철 CISO가 주목하고 역점을 두고 있는 영역은 무엇일까? 그는 그룹 자원의 보안 아키텍처를 고도화를 언급했다.

“그룹의 전산 자회사라고 할 수 있는 신세계아이앤씨와의 접점이 큽니다. 보안 측면에서도 그룹 차원의 보안 정책을 많이 펼칩니다. 신세계아이앤씨를 통해 공동 IDC 센터를 운영하고 있기에 현재 기술적 측면에서 보안이 크게 문제가 될 소지는 없다고 판단합니다. 개인적으로는 그룹 차원의 보안 고도화 과제를 시도해왔고 조만간 성과를 기대하고 있습니다.”

임홍철 이사에 따르면 이 이니셔티브는 일단 시작은 된 상태이며 향후 그룹 차원의 정보 보안 포탈로 고도화될 예정이다. 그룹 내 여러 기업의 각종 보안 솔루션과 관련된 정보를 데이터 레이크 형태로 담아 분석하려는 시도다.

“개인적으로는 또 패스워드리스에 주목하고 있습니다. 오늘날 특히 실용적인 공격 기법은 크리덴셜 스터핑입니다. 수많은 개인정보가 이미 누출됐기 때문에 공격자들이 활용할 여지가 큽니다. 이 공격을 무효화시킬 방법은 이미 노출된 정보를 무효화시키는 것이며, 이를 위해 가장 적절한 방법이 패스워드리스라고 판단합니다.”

그는 오픈소스 보안에 대해서도 언급했다. 

“개발 작업에서 오픈소스가 지속적으로 사용되고 있습니다. Log4j 취약점과 같은 오프소스 취약성에 대한 적절한 조치가 점점 더 중요하게 대두될 것으로 봅니다. 오픈소스 사용 현황을 파악하고 표준화는 노력이 그룹 차원에서 논의되고 있습니다. 연내 본격화될 것으로 기대합니다.”

마지막으로 임홍철 이사에게 보안 전문가들에게 전하는 구체적인 조언을 부탁했다. 그가 줄곧 강조한 커뮤니케이션 역량과 파트너로서의 태도를 확보하기 위한 팁이 궁금했다. 보안 사고에 대한 공포심 자극하기, 법 규정을 전가의 보도처럼 활용하기 대신 무엇을 사용할 수 있냐는 질문이었다.

“저는 만남을 좋아합니다. 내 의도를 정확히 전달하기 위해서, 상대방의 의도를 잘 이해하기 위해서 만남을 넘어서는 게 없다고 보고 또 권장합니다. 회의라고 할 수도 있겠습니다. 문서와 이메일보다는 만남에서 오케이라는 말이 나온다고 봅니다.” ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.