finance 제 182호 (2020년 07월)

김홍선 SC제일은행 CISO “정보보안 강화해 ‘신뢰 플랫폼’ 만들 것”

기사입력 2020.06.25 오후 01:08

김홍선 SC제일은행 CISO “정보보안 강화해 ‘신뢰 플랫폼’ 만들 것”

[한경 머니=공인호 기자 | 사진 서범세 기자] 정보기술(IT) 산업은 속도와 혁신이 생명이다. 반면 금융 산업은 안정성에 기반을 둔 고객 신뢰가 명운을 좌우한다. 핀테크 혹은 테크핀으로 회자되는 ‘디지털 금융’은 이런 상충된 특성이 접목된 융합 기술인 셈이다. 정보보안이 디지털 금융 시대의 핵심 과제로 대두되는 배경이기도 하다.


다양한 고객 정보가 녹아든 디지털 데이터는 4차 산업혁명 시대의 원유로 인식되고 있다. 특히 국내 은행들은 예금 고객의 개인정보는 물론, 대출·송금·자산관리·신용카드 정보 등을 디지털화해 보관하고 있다. 방대한 고객 데이터가 은행의 핵심 자산이라는 말이 나오는 이유다. 하지만 잊을 만하면 터지는 대규모 정보 유출 사고는 정보보안에 대한 소비자들의 의구심을 좀처럼 불식시키지 못하고 있다. 여기에 케이(K)·카카오뱅크 등 인터넷전문은행과 토스, 뱅크샐러드 등 핀테크기업의 등장은 보안 사고의 잠재적 리스크를 더욱 심화시키는 요인이다. 최근 불거진 토스의 보안 사고 역시 금융서비스의 초점이 속도와 편리함에만 맞춰져 있기 때문이다.


이와 관련해 김홍선 SC제일은행 부행장(최고정보보호책임자, CISO)은 핀테크의 등장으로 많은 금융서비스가 단순해지고 간편해졌지만, 정보보안 리스크도 그만큼 비례해서 커지고 있다고 지적한다. 현재 김 부행장은 CISO 외에도 개인정보보호책임자(CPO), 신용정보관리보호인(CIAP), 개인정보관리책임자(PIMM) 등 4개의 직책을 맡고 있다. 은행 내 모든 정보 흐름의 시작과 끝을 관리한다고 해도 무리가 아니다.


그는 급변하는 IT 환경 역시 정보보안의 경각심을 키우는 요인으로 지목했다. 물리적 보안의 경우 건물 출입자의 동선과 반입 장비 등을 제한하는 것으로 충분하지만, 우리 주위의 IT 환경은 데스크톱 컴퓨터는 물론 노트북, 스마트폰, 태블릿PC 등 새로운 기기가 지속적으로 등장하고 있어 관리감독이 쉽지 않다는 설명이다. 또 모든 업무가 인터넷을 통한 협업이 중심이 되면서 유선, 와이파이(Wi-Fi), 5세대(5G) 등으로 네트워크 옵션도 갈수록 다양해지고 있다.
김 부행장은 <논어>의 ‘무신불립(無信不立)’을 인용하며 “기업이 제공하는 정보보안의 목적은 ‘디지털 사회에 새로운 신뢰 플랫폼을 만드는 것’이다”라고 강조했다.


그렇다고 지나치게 보안 측면만 강조할 경우 내부 비효율과 함께 소비자들의 불편을 초래할 수 있다는 점도 간과해서는 안 된다는 지적이다. 그는 “처음에는 단순히 정보보안 전문가를 채용해 보안 조직을 강화하면 된다고 생각했다”며 “하지만 IT와 은행업의 특성이 확연히 다르다는 점을 깨닫고 서로 다른 DNA를 지닌 인력의 융합이 필요하다는 것을 알았다”고 회고했다. 다음은 김 부행장과의 일문일답.


정보보안 전문경영인(18년)을 포함해 무려 23년 동안 IT업계에 몸담아 오셨습니다. 금융업을 선택한 배경이 궁금하네요.
“사실 6년 전 헤드헌터로부터 연락받았을 당시에는 다소 당황스러웠던 기억이 있습니다. 보안, IT 관련 경력이 전부인 제 커리어에 ‘금융’이 들어갈 것이라고는 전혀 생각해 본 적이 없었기 때문이죠. IT와 금융은 업종 성격도 다르고 조직 구성원들의 스킬셋(skill-set)도 차이가 있습니다. 게다가 제가 몸담아 온 IT 산업은 미국 중심인데, SC제일은행은 영국계라는 점도 생소하게 다가왔었죠. 하지만 오히려 이런 생소함이 새로운 도전으로 이어진 것 같습니다. 특히 금융업은 정보 자산의 규모가 워낙 방대해 다양한 공격의 타깃이 될 수 있습니다. 다른 어떤 산업보다도 최고 수준의 사이버 보안이 절대적으로 필요한 산업이죠. 여기에 ‘CISO’라는 새로운 직책 역시 저로서는 매력적으로 다가왔습니다. 누군가는 새로운 길을 가야 하고, IT 분야의 후배들로부터 롤 모델로 인식되는 것만큼 뿌듯한 일은 없겠죠. 실제로도 많은 후배들이 응원해 주고 있습니다.”


정보통신기술(ICT)의 급속한 발전으로 금융서비스 역시 디지털 전환이 빠르게 진행되고 있습니다. 은행 정보보안 최고책임자로서 어떤 관점과 전략을 갖고 계시나요.
“과거 IT는 전산실에서 시작됐는데, 전산실은 주로 조직의 업무를 지원하는 역할을 했습니다. 이후 개인용컴퓨터(PC)가 대중화되면서 정보화가 됐고, 비대면 거래가 늘어나면서 오늘날 은행의 대부분 업무는 컴퓨터에 의해 돌아가고 있죠. 최근 부쩍 많이 회자되는 ‘디지털 전환(Digital Transformation, DT)’은 단순히 IT 역량의 강화만을 의미하는 것은 아닙니다. 아예 IT를 중심에 놓고 비즈니스를 재구성하는 차원인 거죠. 이를테면 그동안 은행들은 영업점을 통해 고객 접점을 형성했고, 이를 보완하기 위해 디지털 채널을 추가했습니다. 그런데 지금은 모바일뱅킹을 통해 많은 신규 고객이 유입되고 거래되는 건수도 압도적이죠. 이런 환경에서는 아예 디지털 플랫폼을 중심에 놓고 전체 비즈니스 모델을 새로 구성해야 합니다. 이미 통신과 방송 산업이 같은 길을 걸어 왔죠. 금융의 디지털 전환 역시 기존 업무 프로세스를 개혁해서 디지털 기반으로 모든 업무가 흘러가도록 해야 합니다. 이처럼 디지털로 이뤄지는 모든 영역에는 사이버 보안이 필수적이죠. 따라서 단순히 전산 시스템을 보호하는 차원에서 벗어나 비즈니스가 안전하게 돌아갈 수 있도록 보안 개념이 비즈니스 곳곳에 스며들어야 합니다.”


그동안 SC제일은행의 정보보안 및 시스템, 인력구조 측면에서 어떤 변화와 개선이 있었는지 설명해 주신다면.
“규제 측면에서는 금융감독 규정에 따라 모든 은행은 IT 조직(CIO)과 정보보안 조직(CISO)을 분리해야 합니다. 처음 입행 당시만 하더라도 조직은 구분돼 있었지만, 사람도 적고 독립적인 운영이 쉽지 않던 시절이었습니다. CISO의 역할과 위상을 정립해 가야 했죠. 당시에는 단순히 정보보안 전문가를 채용해 보안 조직을 강화하면 된다고 생각했습니다. 하지만 IT와 은행업의 특성이 확연히 다르다는 점을 깨닫고 서로 다른 DNA의 인력의 융합이 필요하다는 것을 알았죠. 지금은 나름대로 전문성을 가진 사람들의 팀워크가 이뤄지고 있고, 은행 내에서 사이버 리스크와 개인정보보호를 주도하고 있습니다.”

김홍선 SC제일은행 CISO “정보보안 강화해 ‘신뢰 플랫폼’ 만들 것”

IT 전문가로서, 그리고 금융기관 정보보안 전문가로서 일하면서 정보보안의 중요성을 절감한 에피소드나 어려웠던 문제 해결의 사례 등을 소개해 주신다면.
“지금은 정보보안과 관련된 내부 통제와 리스크 관리가 주요 업무이지만 과거에는 보안 위협에 직접적으로 대응하는 일이 주된 역할이었습니다. 한때 게임업체들이 해커들의 주요 표적이 됐는데, 온라인 게임의 경우 셧다운 조치가 어려워서 서비스를 진행하면서 해커의 공격을 막아 내는 게 굉장히 힘들었습니다. 해킹 중인 것을 알면서도 보이지 않는 적들을 상대하는 일은 묘한 기분이 들게 하죠. 물론 은행과는 전혀 다른 환경이지요. 한번은 대기업 계열의 디자인회사로부터 피해 신고가 들어왔는데, 내부에서 활용되는 기기들이 워낙 많고 다양한 데다, 내·외부 유·출입 인구도 많아 애를 먹었던 기억이 있습니다. 결국 해당 회사의 가장 중요한 자산인 지적재산권에 초점을 맞춰 해킹 피해를 최소화할 수 있었죠.
다소 오래된 에피소드긴 한데 특정 지방자치단체에서 해킹 피해 신고가 접수된 적이 있습니다. 당시 해커 출신마저 해킹과 관련된 어떤 흔적도 찾지 못해 애를 먹었었죠. 심지어 다녀간 로그 기록마저 없어 충격을 더했는데, 알고 보니 패스워드가 ‘1234’였더군요. 정상적인 경로로 들어와서는 ‘잘 다녀간다’는 게시글까지 남기고 유유히 사라진 겁니다. 지금은 그런 사례가 거의 없지만 내부 보안 관리의 중요성을 실감케 하는 사건이었죠.”


업무 속도(효율성)와 정보보안은 반비례한다는 인식이 있는 것 같습니다. 정보보안 강화로 불편을 호소하는 내부 목소리도 있는 것 같은데.
“2시 반의 보안과 3시의 보안은 완전히 다르다는 얘기가 있습니다. 네트워크 설정이 바뀔 수도 있고, 건물 내부로 반입된 직원들의 노트북과 PC가 네트워크에 연결되는 등 갖가지 변수가 있기 때문이죠. 결국 사이버 보안은 업무 효율성에 마찰(friction)을 줄 수밖에 없습니다. 일반인도 어느 정도 불편함의 생활화를 인정하는 시민의식이 필요하죠. 일부에서는 불편하다는 이유로 정보보안을 안일하게 다루는 경향이 있는데 이는 지극히 위험한 태도입니다. 정보보안의 최종 목적은 고객과의 신뢰 구축이기 때문이죠. 특히 금융사의 경우 신뢰를 잃으면 전부를 잃는 것이나 다름없습니다. CISO가 고객 지향적 마인드를 가져야 하는 이유이기도 하죠. 다만 정보보안 통제는 고객은 물론 직원들에게도 영향을 줄 수밖에 없는 만큼 내·외부의 목소리를 경청하고 소통하려는 자세를 갖춰야 합니다. 좋은 기업문화는 적극적인 소통에서 나온다는 말도 있죠. 내부 불만이 높다고 커뮤니케이션을 두려워해서는 안 됩니다.
그렇다고 무턱대고 타협해서는 더더욱 안 됩니다. 정책의 기본 틀은 유지하되 운영의 묘를 살려야 한다는 얘기죠. 이를테면 기술 용어를 경영의 언어로 바꾸고 ‘위협’을 ‘리스크’로 전환해 설명해야 합니다. 각종 위협의 기술을 끝까지 파고들면서 그 기술을 비전문가에게 쉽게 이해시켜야 합니다. 다른 한편으로는 우리의 사업 목적과 핵심 자산에 대한 이해를 바탕으로 보안체계를 구축하는 것도 필요합니다. 이를 토대로 외부의 비정상적인 접속을 막고 필터링, 모니터링 할 수 있다면 좀 더 유연하고 굳건한 보안 체계를 확립할 수 있지 않을까요.”


일반 고객과 비교해 특히 고액자산가들의 경우 자신들의 정보 유출에 대한 민감도가 클 수밖에 없습니다.
“그렇습니다. 은행의 경우 고액자산가들의 개인정보가 많아 각별한 주의가 필요합니다. 과거 유사한 사례가 골프장 해킹사고인 것 같네요. 10년 전 얘기지만 당시 골프장 컴퓨터들이 해킹의 표적이 된 적이 있습니다. 전체 규모는 적지만 유출될 경우 치명적인 정보가 많다는 점에서 해커들의 표적이 된 거죠. 같은 맥락에서 은행 프라이빗뱅킹(PB) 고객들 역시 개인의 자산 규모부터 신용 정보, 사생활 관련 정보까지 담겨 있어 특별한 관리가 필요합니다. PB 고객들의 경우 상대적으로 비대면 이용이 적다는 특징이 있더군요. 이런 정보의 경우 접근에 대한 통제 및 권한 관리가 무엇보다 중요합니다. 결국 개인정보보호의 성패는 내부 보안의 통제 방식과 외부 위협에 대한 가시성을 어떻게 확보해 나가느냐가 가장 중요하다고 할 수 있겠죠.”


핀테크업체들의 공세가 거셉니다. 기존 은행의 경우 규제 중심의 ‘기울어진 운동장’에서 경쟁한다는 볼멘소리도 있습니다. 양쪽을 모두 경험한 전문가로서 어떻게 판단하시나요.
“사실 핀테크업체들은 기술적 혁신뿐 아니라 디지털 환경에서 고객들과의 접점을 파악하는 데 탁월합니다. 혁신에 대한 그들의 열정은 존중받아야 마땅하고 개인적으로도 응원하고 있습니다. 그러나 ‘기술’만으로는 비즈니스를 완성할 수 없습니다. 혹시 모를 현장의 문제를 직시하고, 겸손한 자세로 풀어내려는 자세가 필요하죠. 금융은 기본적으로 규제 산업입니다. 탈(脫)규제의 규모가 커지는 순간 어김없이 금융위기가 발생했다는 것을 역사는 입증하고 있습니다. 무작정 규제 완화만을 주장하기 전에 그로 인한 리스크를 철저히 관리할 수 있는 방향부터 제시해야 하지 않을까요.”


코로나19 사태로 촉발된 언택트 트렌드가 우리 주변의 모든 것을 바꿔놓고 있습니다. 부행장님이 생각하는 포스트 코로나 시대의 대응책이 궁금하네요.
“많은 사람들의 기대와 달리 코로나19는 당분간 사라지지 않고 고착화될 것 같네요. 코로나19 사태로 인한 가장 큰 변화는 ‘사회적 거리 두기’가 아닐까 합니다. 이 과정에서 우리는 사회적 연결(social connecting)을 제공하는 IT를 다시 바라보게 됐습니다. 그렇다면 앞으로도 우리는 최종 커넥션인 IT가 항상 연결돼 있어야 하는데, 사회적으로는 ‘사생활(privacy)’과 ‘감시(surveillance)’의 선택을 명확하게 할 때가 된 것 같습니다. 우리나라는 중동호흡기증후군(MERS, 메르스) 사태를 계기로 감염예방법을 도입해서 추적조사를 잘할 수 있었는데, 개인정보가 아닌 바이러스의 움직임을 추적한다는 목표는 명확합니다. 다른 나라에서 한국의 프라이버시 문제를 지적하는데, 우리는 질병을 퇴치한다는 사회적 컨센서스가 있었습니다. 프라이버시는 국가마다 문화와 운영 형태가 다를 수 있습니다. 앞으로도 바이러스는 언제든 반복될 수 있고 개인에 대한 사회적 격리가 필요한 상황이 올 수 있습니다. 이런 부분에 대해서도 사회적 공감대를 바탕으로 한 체계 구축이 필요해 보이네요.”


정보보안에 있어 개인들의 책임 역시 강조하셨는데 그 배경과 실질적인 실행 방안을 소개해 주신다면.
“유럽 여행을 가 보신 분들은 느끼셨을 텐데 공공화장실을 찾는 일이 무척 어렵습니다. 다소 엉뚱하게 들릴 수 있겠지만 코로나19의 피해자가 많은 곳, 특히 미국, 영국, 프랑스, 이탈리아, 스페인 등 서구 국가가 많은데 이들 지역은 공공화장실을 찾기 어렵다는 공통점이 있습니다. 물론 사견이기는 하지만 화장실과 바이러스의 연관성을 완전히 배제하기는 어렵다는 생각이 들더군요. 코로나19의 감염을 피하려면 마스크 착용과 함께 손을 잘 씻어야 하는데, 정작 이를 위한 기반시설이 부족한 거죠. 마찬가지로 악성코드를 막기 위해서는 백신을 항상 최신 버전으로 유지하고, 의심스러운 애플리케이션을 다운받아서는 안 됩니다. 생활 속 방역처럼 이런 노력이 정보보안의 기본입니다. 이른바 사이버 위생과 개인정보 관리는 디지털 시대를 살아가는 모든 시민의 덕목이라고 생각합니다.”


이른바 융합 시대에 IT와 금융의 결합은 가장 각광받는 비즈니스 분야입니다. 미래의 금융 비즈니스를 염두에 둔 후배들을 위한 조언이 있으시다면.
“다소 극단적으로 들릴 수 있겠지만, 앞으로 모든 분야의 취업을 위해서는 코딩 능력이 필수라고 생각합니다. 코딩을 알게 되면 일단 우리가 접하는 대부분의 소프트웨어의 작동 방식을 이해할 수 있습니다. 과거와 달리 기계어를 직접 배우지 않더라도 온라인 코딩 교육만으로 쉽게 이해할 수 있죠. 사실 앱스토어의 경우 지난 1990년대 초반에 나온 기술입니다. 이후 스마트폰이 출시되면서 해당 기술이 본격적으로 대중화된 거죠. 적어도 코딩을 알게 되면 이런 프로그램들이 어떻게 만들어지고 동작하는지 깨달을 수 있습니다, 그리고 인공지능(AI), 센서, 빅데이터 등과 같은 새로운 기술과 기기의 등장 과정에서 새로운 사업 아이디어를 발굴해 낼 수 있습니다. 제가 맡고 있는 정보보안 분야도 마찬가지죠.
최근 일부 대기업들의 경우 임원 승진을 위해서는 코딩 교육을 필수로 이수하도록 한다는 소식도 들리더군요. 개인적으로 매우 바람직한 방향이라는 생각이 듭니다.”

김홍선 SC제일은행 CISO “정보보안 강화해 ‘신뢰 플랫폼’ 만들 것”

김홍선 부행장은…
서울대 전자공학과 졸업 후 미국 퍼듀대에서 컴퓨터공학 박사학위를 취득했다. 이후 텍사스주립대 연구원, 삼성전자 컴퓨터사업부 선임연구원 등을 거쳤으며 정보보안 전문 기업 시큐어소프트를 창업해 국내 기업 최초로 손정의 펀드(소프트뱅크코리아) 투자를 이끌어 내기도 했다. 2007년 안랩의 시큐어소프트 인수 이후에는 최고기술책임자(CTO)에 이어 최고경영자(CEO)를 역임하며 안랩을 명실상부한 종합보안 전문 회사로 성장시켰다. 2014년 7월
SC제일은행 부행장(최고정보보호책임자, CISO)으로 부임해 근무하고 있다.


[본 기사는 한경머니 제 182호(2020년 07월) 기사입니다.]


당사의 허락 없이 본 글과 사진의 무단 전재 및 재배포를 금합니다.

입력일시 : 2020-06-25 15:48

  • 한경BUSINESS 페이스북
  • 한경MONEY 페이스북
  • 한경MONEY 인스타그램
  • 한경BUSINESS 포스트
  • 한경BUSINESS 네이버뉴스