보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[PIS FAIR 2023] 토크콘서트 현장 중계 ‘CPO들의 개인정보 유출사고 극복기’

입력 : 2023-06-12 01:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
대규모 개인정보 유출사고 경험자에게 듣는 ‘개인정보 유출사고 극복방법’
누구나 겪을 수 있는 침해사고, 피해기업 비난보다 사고 이후 대응방법에 주목할 필요
개인정보 유출사고 경험 배워 더 나은 예방법과 사고 이후 수습책 마련해야


[보안뉴스 박은주 기자] 대규모 개인정보 유출사고를 겪은 전·현직 개인정보보호 책임자들이 한 자리에 모여 사고 경험을 공유하고, 보다 효과적인 예방책과 수습책을 고민하는 토크콘서트 시간이 제12회 개인정보보호페어 & CPO워크숍(PIS FAIR 2023) 행사 둘째날에 마련돼 참관객들의 큰 관심을 모았다.

▲토크콘서트 현장 모습 (왼쪽부터) 권준 편집국장, 이노베이션 아카데미 윤혜정 팀장, SK커뮤니케이션즈 이경아 팀장, 한국수력원자력 정기수 차장[사진=보안뉴스]


이번 토크콘서트에는 △한국수력원자력 정기수 차장 △SK커뮤니케이션즈 이경아 팀장 △이노베이션 아카데미 윤혜정 팀장(인터넷쇼핑몰 I사 前 CPO)이 참석했으며, △보안뉴스 권준 편집국장이 사회를 맡았다. 본격적인 토크콘서트에 앞서 패널들의 주제발표가 진행됐다.

먼저, 윤혜정 팀장은 ‘개인정보 유출사고 예방 차원에서 필요한 5가지 제언’에 대해 발표했다. 윤혜정 팀장은 2016년 사고 당시 상황을 설명하며 운을 뗐다. 그는 공격의 시작이 직원의 가족을 사칭한 피싱 메일이었다고 밝혔다. 가족여행 사진을 가장한 메일 내용으로, 해당 직원은 의심 없이 첨부파일을 다운로드했다는 것. 그 결과 악성코드가 내부 전파 과정을 통해 대규모 개인정보 유출까지 이어지게 됐다고 설명했다.

▲이노베이션 아카데미 윤혜정 팀장[사진=보안뉴스]

이어서 개인정보 유출사고 예방 차원에서 필요한 5가지 제언으로 △외부채널 통제 △정보보호위원회 구성 등 보안 조직 강화 △접근권한 통제 △시스템, 불필요한 공유 제거 △DB데이터 점검을 제시했다. 덧붙여 윤 팀장은 “생각하기는 쉽지만 지키기는 어려운 사항”이라며, “이러한 경험담이 개인정보보호 담당자들에게 도움이 됐으면 좋겠다”고 말했다.

두 번째로 SK커뮤니케이션즈 이경아 팀장이 ‘예측할 수 없는 보안사고에 대응하기 위한 전략’을 소개했다. 이 팀장은 “2011년 사고가 발생하고, 2018년이 돼서야 법적 책임까지 마무리 될 수 있었다”며 “생각보다 오랜 기간이 소요되는데, 이 과정에서 △수사 협조 △고객 대응 △언론 대응 △자체 분석 등 상당히 고된 업무를 처리해야 한다”고 말했다.

▲SK커뮤니케이션즈 이경아 팀장[사진=보안뉴스]

이 팀장은 보안담당자는 회사의 사업과 업무를 충분히 이해해야 하고, 회사 구성원들은 보안에 대한 동참과 소통이 중요하다고 강조했다. 또한, 업무 현장의 의견이 적극 반영된 보안정책을 마련할 것을 당부했다. 끝으로 이경아 팀장은 “모든 기업은 비즈니스와 보안 사이에서 갈등하게 될 것”이라며 “비즈니스에서 보안은 넘어야 하는 허들이 아닌 기초가 되기를 바란다”고 말했다.

마지막으로 한국수력원자력(이하 한수원) 정기수 차장의 발표가 진행됐다. 그는 2014년 한수원의 사이버테러 당시 초동조치와 30일간의 긴급대응상황에 대해 설명했다. 정기수 차장은 “공격자가 원전 가동을 중지하라는 협박을 이어가고 금전을 요구해왔다”며 “범죄자들은 사회혼란 목적의 사이버 심리전을 이어갔고, 10차례 자료 공개가 이어졌다”고 말했다.

▲한국수력원자력 정기수 차장[사진=보안뉴스]

정 차장은 “사고 당시에는 심리전이라 생각하지 못했다”며 사이버 테러를 겪고 나서 체득한 경험과 교훈을 통해 △협력회사의 보안수준 향상을 위한 노력 △사이버심리전에 대응할 수 있도록 사이버 위기를 회사 위기대응체계 범주에 포함 △보안운영 기반 마련과 안전한 원전 운영에 기여할 수 있도록 하는데 초점을 맞췄다고 말했다.

각 주제발표를 마치고 보안뉴스 권준 편집국장의 사회로 토크콘서트가 진행됐다. 권준 국장은 “우리나라 개인정보보호 및 정보보호 역사에 있어 커다란 변화를 촉발시킨 주요 사건들을 직접 경험하신 분들의 이야기를 듣는 귀한 자리”라며 토크콘서트의 시작을 알렸다.

보안 사건 이후 잘 대처했던 부분과 관련해 윤혜정 팀장, 이경아 팀장, 정기수 차장은 모두 ‘신속한 신고’라고 답했다. 빠른 신고 덕분에 정부를 비롯한 유관기관과의 긴밀한 협력이 이루어질 수 있었다는 설명이다.

반면, 아쉬운 점과 관련해서 정기수 차장은 “사이버 테러범들의 협박 사항에 대한 진위를 신속하게 확인하지 못한 것과 사고가 발생했을 때 가시성을 완전히 확보하지 못한 것”이라고 답했다. 윤혜정 팀장은 “사건이 벌어진 직후 보안사항을 점검하느라 법적인 부분을 체크하는 것이 늦어졌다”며 “법적인 대응 역시 신속한 협력이 필요한 부분”이라고 강조했다.

이어 권준 국장은 “당시에는 피해 기업에 비난이 집중되는 상황이었는데, 어떤 점이 가장 힘들었는지”를 물었다. 윤혜정 팀장은 “언론에서 문제 기업으로 낙인찍힌 상황에서 업무를 지속하다 보니 직원들의 사기가 떨어졌다”며 “수개월 동안 여러 기관에 걸쳐 대응을 이어가는 것도 쉽지 않았다”며 녹록지 않았던 당시 상황을 설명했다.

이경아 팀장 또한 “사고 이후, 보안 강화와 함께 사고 대응을 위한 노력을 이어갔음에도 사고가 벌어졌다는 결과만 보는 시선이 힘들었다”고 말했다. 정기수 차장은 “한수원에 대한 기사가 쏟아져 나오고, TV에서도 대대적으로 보도됐다”며 “당시에는 너무나 큰 심리적 압박감을 견뎌야 했다”고 토로했다. 이에 권준 국장은 “피해 기업을 향한 비난 섞인 시선이 이어지기보다는 대응 방식이나 향후 시사점에 집중하는 분위기가 필요하다”고 말했다.

패널들은 보안 사건 이후 가장 큰 변화가 무엇이냐는 질문에 ‘보안인식 강화’를 꼽았다. 정기수 차장은 “직원들이 PC에 조금만 문제가 생겨도 점검한다”며 “경영진과 협력사, 시민들까지 효율보다는 안전을 우선시하게 됐다”고 말했다. 윤혜정 팀장은 “조직 내 확실한 학습효과가 있었고, 어떤 비즈니스를 추진할 때나 보안사항을 먼저 고민하는 계기가 됐다”고 답했다.

끝으로 권준 국장은 고도화되는 사이버 공격과 북한 등 국가지원 해커조직으로부터 기업의 자산과 고객의 개인정보를 보호하기 위해 보안담당자가 지켜야 할 원칙이 무엇인지 질문을 던졌다.

윤혜정 팀장은 고도화하는 사이버 위협 속에서도 여전히 메일에 의한 공격이 주를 이루고 있다고 지적했다. 이어 “시스템 보안보다 관리하게 어려운 게 인적 보안”이라고 언급하며 “전 직원의 노력이 필요하다”고 설명했다. 이와 함께 “보안 교육이 온라인으로 진행되는 경우가 많은데, 주요 교육의 경우 오프라인 교육도 반드시 병행돼야 한다”고 말했다.

이경아 팀장은 “회사가 운영 중인 보안 시스템을 기술적인 결함이 없도록 관리하는 일과 직원들의 보안인식 제고가 중요하다”며 “신규 입사자나 협력업체를 대상으로 일회성이 아닌 장기적인 교육이 뒷받침돼야 한다”고 말했다.

마지막으로 정기수 차장은 “보안 정책을 적용하고 솔루션을 도입했다고 안심하기는 이르다”며 “보안 솔루션을 분석하고 통계를 냄으로써 운영 목적에 잘 맞는지 검토하는 시간이 필요하다”고 답했다. 이어 “보안사고 매뉴얼을 100번 읽는 것보다 1번의 실전훈련이 더욱 효과적”이라며, 실전을 가장한 대응훈련의 중요성을 강조했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)