모바일  |   유튜브  |   facebook  |   newsstand  |   지면보기   |  
2024년 03월 29일 (금)
전체메뉴

[경남시론] CISO의 역할과 책임- 이준택(한경대 경제동물빅데이터센터 교수 )

  • 기사입력 : 2018-11-05 07:00:00
  •   
  • 메인이미지


    정보총괄 임원(CISO)이란 조직의 IT, 정보, 보안 등의 업무를 총괄하는 임원을 뜻한다.

    현대 사회에서는 어떤 기업도 인터넷의 그물로부터 자유로울 수 없기 때문에 그들의 업무는 매우 중요하다고 할 수 있다. 때문에 우리나라에서는 2012년 5월 15일부터 자산 2조원 이상, 종업원 300인 이상인 금융회사에서 반드시 CISO를 둬야 하는 법을 실행했다. 이는 금융권의 고객 정보 유출사고가 잦은 것에 대응한 조치다. 기업 내부의 정보 유출은 고객의 정보뿐만 아니라 기업 이미지 실추와 매출에 영향을 준다.

    2014년 1월 8일, 카드 3사의 개인정보 유출이 언론에 보도되었다. 미성년자를 포함한 경제활동인구 대다수가 피해자였다고 해도 과언이 아닌 대형사건이었다.

    유출된 고객 정보는 KB카드 5300만건, 롯데카드 2600만건, NH카드 2500만건으로 모두 합해 1억건이 넘어, 지금까지 벌어진 금융회사 고객 정보 유출 사건 중 가장 규모가 컸다. 그 결과 한동안 큰 혼란을 겪어야 했고, 고객들의 신뢰를 잃었다. 이 모든 것이 회복되는 데는 큰 피해와 시간이 필요했다.

    ‘사이버 범죄 조직 Winnti 전세계 게임사 공격’이라는 신문 기사가 2013년에 난 적이 있었다. 게임계의 해킹은 굉장히 빈번하게 일어난다. 이루 말할 수 없을 정도의 막대한 이익이 생기기 때문이다. 게임을 즐기는 플레이어가 많은 만큼 그것을 이용해 부당한 이득을 취하려는 이들 역시 셀 수 없다. 그렇기 때문에 게임사들은 매일같이 해커들과의 지독한 공방전을 벌이고 있다.

    ‘Winnti’의 경우엔 소위 Fileless 공격기법으로 불리는 악성코드를 이용했다. Fileless 공격기법이란 말 그대로 File이 less(없는) 악성코드로, Winnti 사례에서는 PC가 공격 받을 경우 최초로 내려받는 DLL 파일 1개를 빼고는 공격에 사용된 파일들이 디스크에 저장되지 않기 때문에 흔적이 남지 않아 추적 및 분석이 무척 어렵다. 공격에 감염된 PC들은 자신들에게 명령을 지시할 C&C(커멘드 & 컨트롤) 서버로 연락해 명령을 전달받고 수행하게 되는데, 이렇게 감염되어 원격의 조종을 받는 PC를 ‘좀비PC’라 한다.

    이러한 수법으로 해킹된 회사가 2009년부터 확인된 수만 35개다. 온라인게임은 대부분 전 세계에 진출해 서비스가 되고 있기 때문에 퍼블리셔, 자사들을 통해 이 공격이 쉽게 확산될 수 있었다. 게임사에 대한 해킹이 잦기 때문에 게임사에서도 자체적으로 방어체계를 구축하기 시작했다.

    우리나라의 경우, 엔씨소프트에서는 게임해킹을 막기 위해 생체인증을 도입했다.

    일명 ‘NC인증기’는 휴대폰 앱을 통해 게임을 접속할 때 지문 등 생체정보로 인증할 수 있는 보안서비스다. 엔씨소프트 엄세웅 퍼블리싱플랫폼 센터장은 “엔씨가 자체 기술로 구축한 생체인증 솔루션은 향후 글로벌 FIDO(Fast IDentity Online) 인증을 받을 예정”라며 “고객 스스로 안전하고 간편하게 계정을 보호할 수 있는 다양한 보안 서비스도 추가할 계획”이라고 말했다.

    모든 조직의 내부 정보 유출은 큰 파장을 불러온다. 위에서 말했듯이 기업 이미지 실추와 매출에 영향을 주기 때문에 어떤 CISO인가에 따라 경영에 큰 영향을 미친다. 특히 공공기관은 더욱더 중요한 자리라 할 수 있다.

    최근 F5 넥트웍스 코리아가 포네몬과 함께 발간한 보고서 ‘진화하는 CISO의 역할과 중요성’을 보면 CISO들이 지금까지 보안 교육을 중요하게 생각하지 않았다는 것을 알 수 있다.

    이 보고서는 대부분의 보안 책임자들이 단 한 건의 강력한 보안 침해 또는 데이터 탈취만으로도 회사의 성장과 수익성을 망가뜨릴 수 있다는 것을 깨닫지 못했다는 것을 보여준다. 오늘날에는 모든 기업이 IT보안 전략을 수립하는 것이 중요하다. 모든 CISO들의 책임이 무겁다.

    이준택 (한경대 경제동물빅데이터센터 교수)

  • < 경남신문의 콘텐츠는 저작권법의 보호를 받는 바, 무단전재·크롤링·복사·재배포를 금합니다. >
  • 페이스북 트위터 구글플러스 카카오스토리