Home > 전체기사

제121차 CISO포럼, “CISO의 가장 중요한 덕목은 전략과 리더십”

  |  입력 : 2022-09-20 17:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한국CISO협의회 주최로 더플라자호텔에서 개최...공공기관 및 기업 CISO들 대거 참석
오경수 제주미래가치포럼 의장 ‘공자의 군자론이 말하는 경영자로서의 CISO’ 주제로 강연
권준 보안뉴스 편집국장 ‘최신 사이버범죄 동향 및 주요 보안이슈’에 대해 발표


[보안뉴스 김영명 기자] 우리나라 주요 기업에서 보안을 총괄하는 정보보호최고책임자(CISO)들의 모임인 한국CISO협의회(회장 이기주)가 2개월만에 한 자리에서 만났다. 20일 서울 더플라자호텔에서 열린 ‘제121차 CISO포럼’에는 60여명이 참석해 최신 사이버보안 이슈와 CISO들이 가져야 할 덕목 등에 대해 공유하고 소통하는 뜻깊은 자리가 마련됐다.

▲(왼쪽부터) 이기주 CISO협의회 회장, 오경수 제주미래가치포럼 의장, 권준 보안뉴스 편집국장[사진=보안뉴스]


권준 국장, 제로데이 방어와 함께 원데이 취약점 패치에도 신경써야
이날 첫 번째 강연을 맡은 권준 보안뉴스 편집국장은 ‘[다크웹 인사이드] 최신 사이버범죄 동향 및 주요 보안이슈 Review’라는 주제로 발표했다. 권준 편집국장은 “사이버범죄 공격자들의 최근 트렌드는 자동 프로그램을 사용하는 기존의 수법을 넘어서 수동적인 기법의 사용이 늘고 있다”며 “먼저 개인적인 신뢰를 확보한 후 크리덴셜을 탈취해 정상적인 서비스를 활용하고 있다”고 최근 해킹 양상을 분석했다.

특히, 최근 사이버범죄 추세는 크게 볼 때 ‘프로’와 ‘아마추어’가 따로 똑같이 활동하는 양상을 띠고 있다고 말했다. 러시아와 우크라이나 간 전쟁이 지속되면서 러시아, 중국, 북한 등 암암리에 국가 지원을 받는 해커들이 활개를 치고 있으며, 마약 카르텔이나 범죄집단들이 사이버범죄 시장에서 활동하고 있다는 얘기다. 이와 함께 직접 해킹에 관여하지 않고, 침투만 해주고 빠지는 브로커 형식의 범죄와 함께 RaaS(Ransomware-as-a-Service, 서비스형 랜섬웨어)가 활성화되고 있다고 우려했다.

이와 함께 권준 국장은 해킹 기술을 제대로 갖추지 않은 아마추어 및 청소년들의 사이버범죄 활동도 증가하고 있다고 밝혔다. 그는 “해킹을 통해 정보를 탈취한 뒤 재판매하는 형태로 보안이 허술한 기업의 피해가 이어지고 있으며, 해킹 당사자의 청소년과 해킹 초보자들도 사이버범죄에 깊게 빠져들면서 프로와 아마추어가 공존하고 있다”며, “전체적으로 사이버범죄 건수가 늘어나는 추세를 보이고 있다. 경기 침체에 따른 암호화폐 가격 하락으로 박리다매를 노리는 등 사이버범죄가 증가하고 있다”고 설명했다.

특히, 지난해에는 총 1,543건의 제로데이 취약점이 발견됐는데, 문제는 패치가 된 원데이 취약점도 패치 등 사후조치가 제대로 되지 않아 꾸준히 악용되고 있다고 주의를 당부했다. 최근에는 입사지원서를 교묘하게 사칭한 랜섬웨어도 유포 중이어서 기업 인사 담당자는 더욱 관심을 기울일 것을 당부했다. 이밖에도 한국 기업을 주로 타깃으로 하는 귀신 랜섬웨어도 지금은 잠잠하지만, 다시 활동을 재개할 수도 있기 때문에 주의해야 한다고 권 국장은 지적했다.

또한, 랜섬웨어 조직에게 가장 큰 피해를 보는 국가는 미국이며, 피해 기업의 상당수는 제조업, 의료, 교통 분야 등 인프라를 마비시킬 수 있는 산업을 주로 공격해 피해를 극대화하는 것을 노리기 때문에 주의해야 한다고 말했다. 권 국장은 기업의 경우 주기적인 취약점 점검을 통한 취약점 패치에 만전을 기해야 한다는 말로 발표를 마무리했다.

▲제121차 CISO포럼 현장 모습[사진=보안뉴스]


오경수 의장, CISO에게 가장 중요한 덕목은 ‘전략과 리더십’
이어 오경수 제주미래가치포럼 의장은 ‘공자의 군자론이 말하는 경영자로서의 CISO’를 주제로 발표했다. 오경수 의장은 공자의 군자론과 리더십과의 관계를 △유붕방래(동지형 리더) △주이불비(친화형 리더) △화이부동(포용형 리더) △반구저신(책임형 리더) △군자락지(몰입형 리더) △군자불기(통섭형 리더) 등 6가지로 설명했다.

“CISO는 경영자라는 마인드를 가져야 한다며, 이런 측면에서 CISO가 가장 중요하게 생각할 것은 전략과 리더십”이라고 강조했다.

오경수 의장은 “CISO가 갖추어야 할 것 중 학이시습(學而時習)은 ‘학습형 리더’로 현재 자신을 꾸준히 업데이트하고 끊임없이 학습하는 것이 중요하다”고 말했다. 그는 또한 “유붕방래(有朋方來)는 동지형 리더로 사람과의 협력이 경쟁력이 되는 시대이기 때문에, 어떤 사람과 관계를 맺느냐가 매우 중요하다”고 언급하며 “대인관계를 유지할 때 3V, Visual(깔끔한 외모), Voice(맑고 힘찬 목소리), Vocabulary(상황에 맞는 적절한 키워드)를 고려해야 한다”고 말했다.

그는 이어 △주이불비(周而不比), ‘친화형 리더’로 파벌을 짓지 말고, 두루 친화하라 △화이부동(和而不同), ‘포용형 리더’로 화합하되 강요하지 않는다 △반구저신(反求諸身), ‘책임형 리더’로 CISO와 CEO들은 책임감이 있어야 하고 쉽고 재미있는 사례를 들어가며 보고하고, 일을 진행할 때는 해당 일의 책임자에게 모든 것을 맡긴 후, 믿고 기다리는 것이 중요하다 △군자락지(君子樂之), ‘몰입형 리더’로 머리로 아는 사람보다 가슴으로 좋아하는 사람이 좋고, 몸으로 즐기는 사람이 더욱 좋다 △군자불기(君子不器), ‘통섭형 리더’로 군자란 어느 한 음식만 담기는 그릇이 되어서는 안되고, 갇힌 곳에서 탈피해 새 그릇에 담는 노력을 해야 한다, 그리고 남의 비난과 칭찬에 연연해하지 말고, 내 마음에 불편한 것보다는 편안한 것을 선택하는 것이 필요하다는 등 군자론에 나온 12가지를 언급했다.

한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)