Home > 전체기사 > 인터뷰
롯데카드 최동근 CISO의 정보보호대상 수상記
  |  입력 : 2018-02-06 08:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“직원의 보안의식 고취가 정보보호대상의 일등공신”
개인정보 통제시스템 만들어 특허...수탁사 계약부터 관리까지 도움


[보안뉴스 원병철 기자] 2014년 전국을 떠들썩하게 만들었던 카드3사 개인정보 유출사고 이후 카드사를 포함한 금융권은 유래 없는 보안 강화에 나섰다. 특히, 당시 사고로 이용자에게 부정적 인식을 준 롯데카드는 CISO를 새로 영입하고 보안을 강화하는 등 변화를 위한 노력을 아끼지 않았고, 지난해 2017년 정보보호대상을 수상함으로써 그간의 노력을 인정받았다.

▲롯데카드 최동근 정보보호부문장(상무)/CISO[사진=보안뉴스]

롯데카드의 3년간의 행보에는 최동근 CISO가 있다. 롯데정보통신의 CISO였지만, 그룹 정보보호위원회 간사를 맡았던 최동근 상무가 2014년 사고 이후 롯데카드로 자리를 옮긴 것은 그 당시 롯데카드의 간절함과 경험있는 CISO의 임명 의지가 그만큼 강했다는 것을 알 수 있다.

최동근 상무가 롯데카드로 와서 느낀 건 직원들의 정보보호에 대한 인식과 태도였다. “보안부서 직원을 제외하고는 대부분의 직원들이 ‘나랑 보안은 상관없는 이야기’라는 생각들이 배어 있더군요. 사실 지난 3년은 어떤 시스템이나 보안장비를 바꾸는 것 보다, 이러한 직원들의 보안인식을 바꾸는 데 노력한 시간이었습니다.”

최동근 상무는 전 직원을 대상으로 보안교육을 확대해 나갔다. 특히, 지방의 지점이나 계열사의 보안교육도 직접 했다. “아무래도 임원이 지점을 방문해 교육을 진행한다고 하면, 직원들은 왜? 라고 생각하게 됩니다. 보안교육을 임원이 직접 챙길 정도로 중요한가? 라는 인식이 심어지게 되죠. 게다가 제가 현장에 가면 PC에 있는 개인정보나 창고의 고객 카드 신청서 등을 한 번 더 정리하기 때문에 부수적으로 얻는 보안상 장점이 많습니다.”

사실 최동근 상무가 보안교육을 강화하고 직접 교육에 나선 건 그동안의 교육들이 너무 요식행위에 치우쳐 있었기 때문이다. 대부분 공지나 사내 게시판에 교육자료를 올린 후 직원들에게 확인하라고 통보하는 경우가 많았다는 것. 이는 다른 기업들의 CIO(CISO)들도 비슷했다. “굳이 CIO라고 지칭한 건, 대부분의 기업이 CIO가 CISO를 겸직하거나 업무를 겸업하는 경우가 많아서입니다. 이 때문에 보안교육에 있어서도 적극적이지 않죠.”

두 번째 조치는 직원들이 출근하여 PC를 켜면 부팅화면에 보안공지가 뜨도록 한 것이다. 보안공지에 보안사건·사고나 보안용어 등을 쉽게 설명해 직원들이 정보보호와 친근함을 가질 수 있도록 했다. 한 장으로 구성된 보안공지는 매일 내용이 바뀌며, 확인을 클릭해야만 다음화면으로 넘어갈 수 있기 때문에 반드시 한 번은 읽을 수 있게 만들었다. 지금까지 550여회가 넘게 진행되면서 직원들이 보안에 친숙함을 느낌과 동시에 보안교육을 해도 어느 정도 알아들을 수 있게 됐고, 기본적인 기업 정보보호 문화가 형성되는 계기가 되었다고 최동근 상무는 말했다.

최 상무는 다양한 경험을 거치면서 CISO에까지 오른 인물이다. 즉, 프로그래머로 시작했다가 SI와 시스템 엔지니어링을 거쳐서 보안운영, 보안컨설팅까지 경험했다. 이러한 경험들을 바탕으로 정보보호의 기본을 다질 수 있었으며, 이것이 CISO의 수행하는데 많은 도움이 됐다는 얘기다.

특히, 정보보안 업무를 담당하면서 알게 된 지인들과 스터디그룹을 만들어 관련 공부를 했던 게 많은 도움이 됐다고 최동근 상무는 설명했다. 2000년 전자상거래가 시작하면서 보안의 필요성이 대두됐지만, 막상 정보보호에 대해 배울 수 있는 길이 없었기 때문에 외국 서적을 번역한 자료 등을 회원끼리 스터디 했다는 것. 당시 맺었던 인맥들은 아직까지 보안업계 전반에 자리하면서 큰 힘이 되어주고 있다고 최동근 상무는 고마워했다.

또한, 2015년에는 수탁사 전수 검수를 실시했다. 검수 과정에서 발생한 문제점을 중심으로, 2016년 개인정보통제시스템을 구축하고 특허까지 취득했다. 롯데정보통신, 법무법인 율촌과 함께 보안업무는 물론, 법적으로 문제는 없는지 확인하면서 체크리스트를 만들 수 있었고, 이 체크리스트를 활용해 수탁사와의 계약부터 해지까지 보다 세밀하게 개인정보보호 위수탁 업무를 수행할 수 있었다.

마지막으로 지난 2017년 정보보호대상에 대한 질문을 꺼내자 조금 쑥스러워하며 “앞으로 더 잘하라고 주신 것”이라고 대답했다. “사실 이번 상은 타이밍이 좀 좋았습니다. 3년간의 정보보호 업무를 점검해보고 싶어 신청했는데, 좋은 결과가 나왔습니다. 우리가 중점을 두었던 보안에 대한 직원들의 인식제고나 정보보호 교육 등을 좋게 봐 주신 것 같습니다.”

보안은 100% 완벽한 것이 없고, 해도 해도 끝이 없다는 최동근 상무는 올해 상반기에 있을 롯데카드 모바일 앱에 대한 정보보호 구현과 수탁사에 대한 고민이 가장 큰 숙제라면서, 장기적으로는 보다 많은 기업들이 CISO를 두어 함께 고민을 나눌 수 있으면 좋겠다고 말했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)