보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[인터뷰] 누적 1억명 사용자의 ‘보안’을 지킨 SR 정보보안부

입력 : 2022-04-12 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
ISMS-P/ISO 27001 등 7개 국내외 정보보호인증 및 정보보호 관리실태 평가 2년 연속 종합 ‘우수’
인증 준비하며 도출되는 취약점 개선에 주목...정보보호 요구사항 취합 및 분석해 업무효율화


[보안뉴스 원병철 기자] 2016년 SRT 개통과 함께 지금까지 약 6년여 간의 짧은 시간동안 ISMS-P와 ISO 27001 등 7개의 국내외 정보보호 인증을 획득한 것은 물론 정보보호 관리실태 평가 2년 연속 종합 ‘우수’ 기록을 달성한 에스알(이하 SR)은 최근 ‘시큐리티 어워즈 코리아 2021’과 ‘국가산업대상 정보보안 부문 대상’을 수상해 대외적으로 보안의 우수성을 인정받았다. 불과 6년여의 시간동안 이렇게 유수의 성과를 올린 배경에는 바로 SR 정보보안부가 있다. 이에 <보안뉴스>는 누적이용객 1억명의 정보를 보호하고 SR의 보안을 지켜온 SR 정보보안부의 수장 황상덕 부장(CISO)과 김지훈 과장, 김인영 주임 등 세 사람을 직접 만나봤다.

▲국가산업대상 정보보안 부문 대상을 수상한 SR 정보보안부 황상덕 부장(가운데), 김지훈 과장(우측), 김인영 주임(좌측)[사진=SR]


SR과 정보보안부에 대해 간략하게 소개 주신다면
황상덕 부장
SR은 이용자의 서비스 선택권 확대와 합리적인 경쟁을 통한 철도산업 발전과 국민안전 및 편익 제고를 위해 2013년 12월에 설립된 SRT 고속열차 운영기관입니다. 우리 정보보안부는 경영인재실에 직속 편제되어 정보보안과 개인정보보호 업무를 담당하고 있는 독립조직입니다. 현재 총 3명이 근무하고 있고, 정보보안과 개인정보보호 관리체계 수립 및 인증 운영 관리, 공공기관 정보보호 관리실태 평가 대응, 정보보안 감사 및 교육 등을 주요 업무로 하고 있습니다.

독립조직임을 강조하셨는데요, 기존 조직과 어떤 차이가 있을까요?
김지훈 과장
독립조직의 장점이라고 하면 독립적 의사결정이 가능하다는 것입니다. 정보보안 업무는 직원 불편이나 업무 제약이 많아 보안정책을 수립하고 적용하기에 많은 어려움이 있습니다. 그래서 독립조직을 구성해 스스로 결정을 하고 시행할 수 있게 한다면 올바른 보안업무가 가능합니다. 반면, 의사결정에 의해 좌우되는 보안사고 등 부정적인 결과에 대한 책임이 크기 때문에 업무 부담이 많습니다. 그래서 보안업무를 수행할 때마다 올바르게 판단하고 신중하게 처리하려고 노력합니다.

타 기관에 비해 상대적으로 인원이 적다고 생각되는데요. 업무 수행에 어려움은 없나요?
김인영 주임
네, 정보보안부는 많은 업무에 비해 최소 인원으로 구성되어 있어 업무 피로도가 높습니다. 아무래도 공공기관이다 보니 정보보안 본연의 업무를 수행하기에도 바쁜데, 행정적인 업무도 많아 업무 수행에 많은 어려움이 따릅니다. 그래서 인력부족 해소를 위해 기획재정부에 보안인력 증원을 계속 요구하고 있습니다. 다행히 정보보안부 1년 이상 근무자에 대해 승진 포인트 가점이 있어 승진에도 많은 도움이 됩니다. 또한, 올해부터는 정보보안부 직원을 포함한 정보보호 우수 직원에게 표창장을 수여하는 등 정보보호 독려제도도 도입할 계획입니다.

황상덕 부장 하지만 정보보안부는 소규모 인원으로 구성된 조직이지만 작기에 강한 조직만이 가지는 차별점이 있습니다. 가장 큰 차별점을 꼽는다면 신속한 의사결정과 그에 따른 실행력입니다. 그 다음으로 많은 업무를 함께 하면서 생긴 ‘원팀(One Team)’이라는 결속력도 강점입니다.

부서원분들의 자기소개와 SR 정보보안부에서 근무하시게 된 계기를 간단히 부탁드립니다.
황상덕 부장
저는 금융회사에서 보안정책과 운영업무를 담당하다 이미 만들어진 시스템에서 보안운영을 하다 보니 해결이 되지 않는 여러 구조상의 보안 문제에 한계를 느끼게 되어 새로운 회사에서 새로운 보안체계를 구축해 보자는 뜻을 가지고 이직하게 되었습니다.

김지훈 과장 저는 IT 회사에서 방화벽 엔지니어로 근무하다 2017년에 SR로 이직후 정보보안 업무를 담당하고 있습니다. 이전 회사에서 방화벽 엔지니어로서 방화벽에 대한 기술적인 이해와 구현방법에 특화된 기술을 습득해 구축하는 일을 했지만, 방화벽 엔지니어가 수행하는 보안 시스템 구축뿐만 아니라 보안정책, 보안감사, 보안교육, 보안성 검토 등 더 넓은 범위의 정보보안 업무를 통해 더욱 성장하기 위해 이직하게 되었습니다.

김인영 주임 저는 SR에 신입공채로 입사해 수서역에서 역무업무를 담당하다 2020년 12월부터 정보보안부에서 개인정보보호 업무를 담당하고 있습니다. 저는 평소 정보보안부에서는 기술적인 업무만을 수행할 것으로 생각하고 있었는데, 내부공모의 공고문 내 정책업무를 수행한다고 강조하고 있어 지원하게 됐습니다. 다행히 개인정보보호 업무가 대부분 법률과 관련되다 보니 대학에서 행정학을 전공한 것이 큰 도움이 되었다고 생각합니다. 정보보안부에 근무하면서 전문 역량을 키우기 위해 ISO 27001 인증심사원 자격을 취득했고, 올해에는 CPPG(개인정보관리사) 자격 취득을 위해 공부 중입니다.

정보보안 업무에 남다른 애정이 느껴지네요. 세분의 이야기에서 업무 전문성을 위한 노력이 공통점을 발견할 수 있는데요. 그간의 노력에 대해 말씀해주실 수 있나요?
황상덕 부장
정보보안부원들은 광범위한 정보보안 분야에서 모르는 것은 공부하며 업무를 하다 보니, 자연스레 자격증을 취득하게 되었습니다. 저는 2016년부터 보안교육은 약 400시간 이수했고, 보안자격증은 인증심사원(ISMS-P, PIMS, ISO 27001, BS 10012, 정보보호준비도평가), 개인정보영향평가 전문인력, K-Shield 전문인력(모의해킹), CISA, CPPG, CCIE(Security) 등이 있습니다. 김지훈 과장은 2017년부터 약 215시간의 보안교육을 이수했고, 자격증은 ISO 27001 심사원, CPPG, CISA, K-Shield 전문인력이 있습니다. 김인영 주임은 1년 남짓 기간 동안 약 60시간의 보안교육을 이수했고, 자격증은 ISO 27001 심사원이 있습니다.

정보보안부의 그간의 성과를 보니 정보보안 인증을 7종이나 획득했는데, 특별한 이유가 있을까요?
김지훈 과장
정보보안 인증은 다양한 분야의 정보보안 전문가들이 다양한 시각으로 기관의 보안 취약점을 진단하기 때문에, 돈으로도 살 수 없는 큰 가치가 있다고 생각합니다. 대부분의 회사가 매년 많은 비용을 정보보안 컨설팅에 투자하고 있습니다. 정보보안부는 정보보안 컨설팅에 의존하지 않고 다양한 정보보안 인증을 획득하고 유지하면서 도출되는 취약점을 개선하는 것이 정보보안 컨설팅보다 효과가 크다고 판단해 정보보안 인증을 다수 획득하게 됐습니다.

▲SR 임직원 정보보호 교육[사진=SR]


공공기관 정보보호 실태평가에서 종합 ‘우수’ 평가를 받았는데 남다른 비결이 있나요?
김인영 주임
SR은 2018년부터 매년 12회 이상 공공기관 정보보호 실태평가를 받고 있습니다. 작은 조직에서 많은 업무량을 극복하기 위해서는 차별화된 방법론이 필요했는데, 정보보호 인증과 평가를 위해 준비하는 것 자체가 그 일환이라고 판단했습니다. 다수의 국내외 정보보호 인증과 공공기관 정보보호평가에서 요구하는 약 1,259개 정보보호 요구사항을 취합, 분석, 분류를 통해 업무 효율화 작업을 시작했고, 그 결과 약 38%(484개)의 업무가 감소하게 됐습니다. 이러한 업무효율화를 통해 공공기관 정보보호 실태평가에서 좋은 평가를 받을 수 있었습니다.

정보보호 공시제도가 의무화되기 전 공시를 수행하셨고, 공공기관 최초로 ‘핵 더 챌린지’에 참여하는 등 대외적인 정보보안 활동도 많이 하셨다고 들었습니다.
김지훈 과장
SR은 공공기관의 책무를 다하기 위하여 국민 알권리 보장과 기관의 정보보호 투자 노력을 알리고자 자발적인 정보보호 투자현황을 2년째 공시하고 있습니다. 그 결과로 국토교통부 산하기관 최초로 2년 연속 ‘정보보호 투자 우수기관’으로 지정되었습니다.

뿐만 아니라 SR은 공공기관 최초로 한국인터넷진흥원과 함께 전 국민이 홈페이지 보안취약점을 찾는 ‘핵 더 챌린지 2021’ 대회를 성공적으로 공동 개최해 홈페이지 안전성을 보다 강화했습니다. 2022년에는 한국인터넷진흥원의 협조를 받아 보안취약점 포상 제도를 상시 운영으로 확대할 계획입니다. 또한, 보안 취약기업을 대상으로 ‘정보보호 컨설팅 및 교육’을 2년 연속 무상 지원하고 있습니다. 2021년에는 총 4개사에 제공했으나, 2022년에는 10개사 이상으로 늘리고 보안 소프트웨어 공급까지 확대할 계획입니다.

내부에서의 임직원 보안의식 고취를 위한 활동은 어떤 것이 있을까요?
김인영 주임
SR은 매년 정보보호 법정교육을 3회 이상 시행하고 있고, 직원 위반사항에 대해 별도로 맞춤형 교육을 수시로 시행합니다. 또한, 매월 ‘사이버 보안진단의 날’을 진행하고, ‘월간 슬기로운 보안생활’ 소식지를 배포하고 있습니다. 아울러 매년 ‘정보보호 실천퀴즈대회’ 개최와 ‘정보보호 포스터’를 제작하고 있습니다. 그리고 임직원이 업무과정에서 보안문구를 숙지할 수 있도록 정보보호 마우스패드를 제작해 배포하고 있습니다.

지금까지 사이버 침해 및 개인정보 유출 등 보안사고가 없었는데, 정보보안 무사고의 가장 큰 원동력은 무엇인가요?
황상덕 부장
SR 임직원의 높은 정보보안 의식이라고 생각합니다. 뛰어난 보안정책을 수립하고 최첨단 보안장비를 구축한다고 해도 임직원의 보안 준수가 없었다면 무사고는 없었다고 감히 말씀드릴 수 있습니다. 이 자리를 빌려 SR 임직원분들께 감사의 말씀을 드립니다.

정보보안부가 생각하는 보안 사전에는 ‘완벽’이라는 단어는 존재하지 않습니다. 단지 ‘완벽’이라는 단어를 대체하는 ‘노력’이라는 단어가 있습니다. 정보보안부는 회사 정보보호 발전뿐만 아니라 대한민국 정보보호 발전을 위해 함께 ‘노력’하겠습니다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)