김홍선 SC제일은행 부행장 “금융 CISO, CPO·CIAP 겸임 이슈 고민 필요”

“디지털 혁신을 추구한다는 것은 소프트웨어 기업이 되는 길을 연 것이다. 이 길을 택했다면 디지털 보안을 내재화시켜 디지털 혁신을 처음부터 안전하게 정착시키는 방향으로 구축해야 한다.”

김홍선 SC제일은행 부행장이 디지털 혁신이 가속화되는 환경에서 금융사를 포함해 기업들이 추구해야 하는 보안의 방향성을 이렇게 제시했다.

김 부행장은 20여년 전 시큐어소프트라는 보안스타트업을 창업했고 보안업체인 안랩의 최고경영자(CEO)를 역임한 보안업계 전문가·경영자이자, 5년 넘게 SC제일은행 정보보호최고책임자(CISO)를 맡아 역할을 수행하고 있다. 이제 국내 최장수 금융사 CISO가 됐다. 김 부행장은 지난 2014년 7월 SC제일은행에 부임했다.

지난 10일 ‘정보보호의 날’ 기념으로 금융보안원이 개최한 금융회사 최고경영자 초청 세미나에서 김 부행장은 주요 시중은행장을 비롯한 금융사·핀테크 기업 대표와 임원 등 관계자 200여명 앞에서 ‘디지털 혁신과 CISO의 역할’을 주제로 강연했다.


김 부행장은 “이제 정보보안은 경영리스크 이슈다. 정보보안·정보보호 보다는 사이버리스크 관리라고 표현해야 한다”고 지적했다.

또한 “디지털 혁신은 피할 수 없는 방향”이라며 “소프트웨어를 통해 끊임없이 디지털 혁신을 하는 과정에서 신뢰성을 잃거나 조작될 경우 금융위기가 올 수 있다. 사이버위협은 상당히 심각한 수준으로 커지고 있기 때문에, 이제는 모든 내부 경영체계를 사이버리스크 관리체계로 만들어 운영해야 한다”고 주문했다.

그 방안으로는 “보안의 핵심요소인 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 이 세가지 지표를 바탕으로 사이버리스크 관리체계를 운영해 다양한 위협에 대응할 수 있어야 한다. 사이버보안과 프라이버시가 기저에 모두 스며들어야 한다”고 제시하면서 “그래야 최고의 보안수준과 신뢰성과 안정성이 확보된 금융기관을 만들 수 있다”고 말했다.

김 부행장은 “사람과 내부 프로세스와 기술의 결합으로 이뤄지는 사이버리스크 관리체계를 운영할 수 있는 리더십은 CISO에 있다”라면서 CISO 역할의 중요성도 강조했다.

지난 2012년 금융당국이 CISO 제도를 도입하고 이어 CIO와 CISO 겸직을 금지해 독자적으로 업무를 수행할 수 있도록 한 것과 관련해 “CISO는 IT조직의 보안팀에서 분리되는 것이 맞다”라면서 “이 점에서 한국은 전세계에서도 선도적인 역할을 했다”고 평가했다. “5년 전 SC제일은행에 합류했을 당시 SC그룹 70여개국에서 유일하게 국가에서 공인된 CISO였고, 이후 미국 등 다른 나라도 CISO 제도가 들어섰다”는 설명도 덧붙였다.

김 부행장은 “CISO처럼 통제하는 역할을 담당하는 부서가 비즈니스 부서와 한 조직에 있긴 어렵다. 만일 상하 관계에 있다면 더 심각한 상황이 될 것”이라는 의견도 나타냈다.

CISO의 역할에 대해선 먼저 “CISO는 전문성을 갖고 기업의 문제를 들여다봐야 한다”고 말하고 “권한을 갖고 보안통제와 실행, 보안위협관리, 모니터링 등을 지속적으로 수행해야 한다”고 설명했다.

금융사 CISO들이 업무를 수행하는데 있어 나서는 현실적인 이슈도 언급했다. 김 부행장은 “개인정보보호와 신용정보관리 업무, 즉 개인정보보호책임자(CPO)와 신용정보관리책임자(CIAP) 역할을 동시에 갖고 있는 경우가 많은데, 이 부분은 재고될 필요가 있다”고 지목하기도 했다.

그는 “금융 CISO들이 가장 어려워하는 것이 신용정보관리 업무다. CIAP의 업무 범위와 법적 책임이 매우 크고 IT보안의 영역이 아닌 것도 있기 때문에 본연의 역할보다 많은 부담을 안고 있다”라면서 “물론 두 역할을 함께 해 시너지를 내는 경우도 있기 때문에 각 조직에 맞게 역할의 재배치가 필요하다”고 덧붙였다.

CISO의 자격과 자질에 대해 논하기에 앞서 김 부행장은 본인의 경험담을 소개하기도 했다.

“나의 인생에서 은행 부행장으로 일할 것이라고는 상상도 못했다. IT와 보안만 알지 금융은 몰랐기 때문이다. 인터뷰할 때 배석한 그룹 사람에게 이렇게 얘기하면서 물어봤다. 담배회사 출신이라는 그는 이렇게 말했다. 은행이 갖고 있는 것은 돈이 아니라 데이터라고. 은행은 정작 돈은 별로 많이 갖고 있지 않고 데이터만 있다고 했다. 그렇기 때문에 나같은 사람이 필요하다고 하더라. 이렇게 영역은 넓어지고 있다. 중요한 것은 CISO로서 조직 전반에서 무엇을 봐야하는가이다.”

김 부행장은 CISO의 자질에 대해 보안 전문성과 IT에 대한 해박한 지식과 경험, 그리고 조직장악력을 꼽았다. “조직을 장악해야 영이 설 수 있다”며 “CISO가 조직에서 권한을 갖지 못하면 일을 할 수가 없다. CISO의 직급이 무엇보다 중요하다”고 강조했다.

CISO 임기도 일정기간 보장돼야 한다는 점도 빼놓지 않았다. 그는 “보안이슈는 1~2년 내에 해결될 수 있는 것이 아니다”라며 “끊임없이 새로운 위협이 나오고 끊임없이 새로운 리스크를 설계하는 방법이 나온다. 2~3년마다 CISO가 바뀐다면 노하우가 축적될 수가 없다. 금융사 역시 CISO가 2~3년마다 바뀌고 있다. CISO 업무의 지속성과 최소한의 임기가 꼭 보장돼야 한다”고 피력했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network