Home > 전체기사
김홍선 CISO “핀테크로 금융과 보안·IT 다리 놓을 것”
  |  입력 : 2015-06-16 10:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[인터뷰] 한국스탠다드차타드은행 김홍선 CISO

IT인프라·각 지점의 현장관리·경영 관점에서 보안강화


[보안뉴스 김경애] 한국스탠다드차타드은행 부행장이자 정보보호최고책임자인 김홍선 CISO. 그는 정보보안 전문 벤처기업인 시큐어소프트 창업자이자 보안1세대 전문가로 안랩에서 최고기술책임자(CTO)를 거쳐 최고경영자(CEO)를 역임했다.

그런 그가 한국스탠다드차타드은행 CISO로 변신한 이후 조직 내에서 보안강화는 물론 핀테크에 많은 관심을 기울이고 있다. 최근에는 대한민국의 신뢰와 안전 향상을 위한 정보보안 매뉴얼로 ‘어떻게 미래를 지킬 것인가’ 책까지 펴내는 등 다양한 활동을 펼치고 있다. 이에 본지는 그와의 인터뷰를 통해 CISO로서의 행보와 보안강화를 위한 노하우에 대해 들어봤다. 다음은 그와의 일문일답.


 ▲ 한국스탠다드차타드은행 김홍선 CISO


Q. 가장 신경쓰고 있는 은행의 정보보호 운영방안은 무엇인가요?

은행의 보안은 신용정보와 개인정보 때문에 높은 수준으로 관리될 수밖에 없다. 현재 정보보호 운영은 크게 △IT 인프라 강화 △각 지점의 현장관리 강화 △경영관점이라는 측면에서 바라보고 있다.  


IT 인프라의 경우 접근통제와 함께 관리적 요소를 강화하고 있다. 현재 감독기관의 규제 대상이라 해당 요건을 맞추는 작업을 진행하고 있다. 작년에는 IT 감사를 받는 등 전반적으로 정보보안 수준을 강화하고 있다.


현장관리의 경우 은행 각 지점에서의 현장업무가 어떻게 진행되며 작동하는지 면밀히 살펴보고, 정보보안 프레임워크를 짜고 있다.


경영관점 측면에서는 각 비즈니스의 책임자들이 모여 금융보안과 관련해 논의하고 여러 의견을 수렴해 정책을 만들어 실행하며, 관련 교육을 진행하고 있다. 또한, 모니터링을 통해 최고책임자인 CEO에게 보고하고, 경영진과 활발하게 토론하면서 최선의 방향을 모색하고 있다. 특히, 보안은 한군데만 뚫리면 문제가 될 수 있기 때문에 취약점이 어딘지 초점을 맞추는데 신경을 쓰고 있다.


Q. 금융보안에 있어 달라지거나 개선된 점은 무엇인가요?

외부에서 경험했던 여러 침해사고 사례를 잘 알고 있기 때문에 이를 바탕으로 내부의 문제점을 파악하고, 예측되는 사고에 대비해 개선하고 있다. 보안위협에 대해서는 내부적으로 이를 효과적으로 전달하는 데 주력하고 있다. 일례로 악성코드의 기능과 위험성에 대해 기술적인 용어보다는 비즈니스 용어로 바꿔 전달하고 있다. 그래야 경영진도 인식할 수 있기 때문이다. 이처럼 내부 의사소통을 중요시하고 있다.

Q. CISO가 된 이후 가장 큰 변화는?

보안업체 대표일때는 반 이상의 업무가 매출을 끌어올리는 역할이었다. 세일즈와 마케팅은 물론 R&D도 해야 했다. 하지만 CISO의 역할은 보안의 기술적인 측면을 어떻게 은행의 리스크를 최소화시키는데 접목할 수 있는지 연구해야 한다. 그 점에서 역할의 차이가 있다. 업무적인 측면에 있어서는 은행 업무를 명확히 이해해야 하고, 변화하는 트렌드를 신속히 파약해야 하는 일이 무엇보다 중요하다. 그런 측면에서 핀테크를 금융사업에 녹여내는 업무를 진행하고 있으며, 이에 따른 리스크를 줄여나가는데 중점을 두고 있다.  


Q. 은행에서는 보안업체 대표 출신인 CISO를 영입한 만큼 기대도 클 것으로 생각되는데 부담감은 없었는지?

처음엔 부담이 많이 됐다. 금융권과 IT 업종의 성격과 문화가 워낙 다르기 때문이다. 초반에는 적응하기에 바빴고, 애로사항도 있었다. IT는 리스크보다는 새로운 비즈니스 개발이 중요한 반면, 금융은 리스크가 가장 중요해 검증이 체질화되어 있기 때문이다.

하지만 이제는 업무에 잘 적응하고 있으며, 이를 바탕으로 최근 글로벌 트렌드인 핀테크에 관심을 두고 있다. 핀테크 사업을 하려면 IT와 금융을 알아야 하는데, 이를 연결해 주는 역할을 하려고 한다. 특히, 보안은 핀테크와 연관되어 있기 때문에 항상 함께 거론된다. 이제 보안은 뒷단에서 벗어나 비즈니스 모델로 나와야 한다. 특히, 전체를 아우르는 프로세스나 밸류체인(Value Chain)을 만들면 충분히 가능할 것으로 생각된다. 하지만 아직까지는 서로를 잘 몰라 못찾는 것 같다. 그러나 결국 같이 가야 하기 때문에 잘 조화시켜 나가야 한다.

Q. 금융권 정보보호에서 가장 중요하다고 생각하는 것은?

은행은 돈을 맡아서 보관하는 곳으로 신뢰와 직결된다. 특히, 모든 것이 IT와 연결되는 현실에서 데이터는 보호해야 할 최고의 가치이며, 보안은 모든 생활에 직결되고 있다. 따라서 보안문제를 사회, 산업, 경영 차원의 문제로 보는 것이 중요하며, 무엇보다 높은 보안의식이 요구된다. 또한, 국가안보 측면에서 접근해야 하기 때문에 글로벌 시각도 필수적이다.

Q. 위·수탁사는 어떻게 관리되고 있는지요?

개인정보와 관련된 위수탁 관리는 개인정보관리팀에서 1년에 두 번씩 진행하고, 일반적으로 아웃소싱 업체와 제휴업체는 벤더 매니지먼트팀에서 별도로 관리한다.위수탁사 관리가 매우 중요하다. 이제는 벤더 업체와 IT가 연결되기 때문에 보안문제가 발생할 수 있다. 따라서 계약 하나를 진행해도 IT 조직과 같이 보고, 보안정책과 모니터링을 통해 관리하고 있다.


Q. 보안 투자는 작년에 비해 늘었나요?

전체적으로 볼 때 이전보다 2배 정도 증가한 것 같다. 전체를 바라보면서 보안을 강화해야할 부분을 파악하고 보안수준을 끌어 올렸다. 프레임워크 수립은 CISO로 영입되기 이전부터 진행되고 있었다. 인프라 측면에서는 장비 추가 도입과 업그레이드를 진행하고, 물리적 망분리를 완료했다. 또한, 현장 PC와 스마트폰도 업그레이드했다. 보안조직 역시 이전보다 확대해 역할 분담을 보다 정교하게 할 수 있었다. 그룹에서 서포트를 잘 해줘서 전반적으로 수월하게 진행할 수 있었던 것 같다.


Q. 보안조직은 어떻게 구성되어 있나요?

보안조직은 CISO 중심으로 CISO 지원조직, IT 조직, 개인정보보호 조직 등으로 구분되며, IT 조직은 현장에서 일어나는 일들을 같이 체크하고 있으며, 은행을 잘 아는 전문가를 영입해 보안팀을 강화하고 있다. 또한, 글로벌 금융기관의 성격상 정보 공유와 컴플라이언스도 중요하기 때문에 관련 분야 전문가들이 함께 하고 있다.

 

Q. 한국스탠다드차타드 은행만의 특화된 보안문화나 캠페인에 대해 소개해 주신다면.

엘리베이터에서 보안 캠페인 동영상을 접할 수 있다. ‘보안이 즐거운 당신이 진정한 락스타입니다’는 슬로건으로 락(LOCK)락(樂)락(노래) 캠페인을 펼치고 있다. 이 캠페인은 직원들로부터 공모한 것으로, 애니메이션을 기반으로 DRM관리, 이러닝 교육 등을 진행하는 캠페인이다. 개인정보보호를 강화하기 위해 각 지점 담당책임자 OS를 대상으로 집합교육을 진행하고 있다. 이와 함께 현장에 있는 사람들이 스스로 점검하는 문화를 확산시키기 위해 정보보안 챔피언 캠페인도 시행하고 있다.


Q. 정부의 사후규제 전환 방침에 대한 견해는?

각 사업영역에 따라 달라질 수 있고, 책임질 부분이 많아지므로 고민되는 측면도 있는 게 사실이다. 글로벌 표준에 맞춰 전체적인 방향만 제시하고 책임을 부여하는 것에 대해 긍정적으로 생각한다.


Q. ‘글로벌 시장을 선점하는 원천 보안기술 개발’로 FDS(Fraud Detection System) 기술 개발을 추진하겠다고 밝혔는데
FDS에 대해 어떻게 생각하는지?

아직까지는 FDS 기술의 완성도가 떨어질 수밖에 없기 때문에 오탐을 줄여야 하고, 제대로 된 빅데이터 분석이 이루어져야 한다고 본다. 하지만 중요한 건 FDS로 무엇에 초점을 두고 보느냐에 따라 효율성이 달라질 수 있다는 점이다. FDS는 거래에 대한 이상탐지를 보는 것인데, 정상거래임에도 불구하고 차단을 하게 되면 더 큰 문제가 야기될 수 있기 때문이다.

보이스피싱 등 금융범죄 조직이 모든 상상력을 동원해 범죄를 저지르는 것처럼 방어에 있어서 사람의 경험과 지식이 무엇보다 중요하다. 얼마만큼 많고 다양한 경험과 지식을 담을 수 있는 플랫폼이 될 수 있느냐에 FDS의 성패는 갈릴 수 있다.


Q. 올해 계획과 앞으로 향후 조직운영 방안은?

내부적으로는 은행 현장을 많이 방문해 현장에서 벌어지는 일을 주의깊게 보면서 컴플라이언스와 감사 등 전체 통제를 유연하면서도 철저히 하는 데 주력할 계획이다. 정보보안은 무엇보다 정보력과 경험의 싸움이다. 이에 글로벌 라인업을 강화해 위협정보에 대한 정보공유를 확대할 방침이다. 글로벌 조직과의 연계를 강화하고, 관제센터와의 협업을 통해 위협에 대응하면서 은행의 보안수준을 글로벌 수준으로 끌어올리는게 목표다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향