[인터뷰] 백제현 여기어때 CISO “보안 전열 정비...두번 사고는 없어야”

[이뉴스투데이 김은지 기자] 최근 페이스북은 개인정보 유출로 직격탄을 맞았다. 페이스북 쇼크로 인해 파문이 커지자 페이스북의 시총 40조원이 증발하는 등 시장도 요동쳤다. 그만큼 개인정보는 뜨거운 감자다. 따라서 기업은 개인정보 보호에 사활을 걸고 수호해야 한다. 종합숙박 O2O 여기어때도 보안사고 1년을 맞아 보안 전열을 재정비했다. 회사 보안의 기술적·물리적·관리적 체계를 갖추고 방어 시스템을 구축했다. 지난해 여기어때에 합류한 백제현 CISO에게 그동안의 보안 강화 행보에 대해 들었다.

▲그동안 보안업계에서 다양한 활동을 했는데, 여기어때에 합류하게 된 계기는.

-한국CISSP(국제공인정보시스템 보안전문가)협회 사이버포렌식 연구팀장과 보안연구부문장, 부회장을 지냈다. 여기어때의 보안사고 직후에 CISO직 제안이 들어왔고, ‘불이 난 곳에 소방관이 가야 한다’는 생각으로 합류를 결심했다. 아무래도 CISSP에서 사이버포렌식 분야와 보안인식 제고 분야에서 이루어 낸 성과를 높이 평가 받은 것 같다. 여기어때에 합류한 날이 지난해 7월 12일이었는데, 이 날이 바로 ‘2017년 정보보호의 날’이었다.

▲숙박 O2O에서 고객 정보는 중요하게 다뤄져야 한다. 보안 강화를 위해 어떤 노력을 하고 있나.

-보안 강화는 크게 투 트랙(Two Track)에서 진행했다. 관리적, 기술적 보안조치다. 입사 직후 관리적 보안강화 관점에서 보안정책과 지침을 제·개정함과 동시에 보안 프로세스가 업무에 내재화될 수 있도록 하는 데 중점을 뒀다. 그리고 보안은 결국 사람이 중심이 돼야 하므로, 전사 직원을 대상으로 하는 보안인식 활동을 수행했다. 또 기술적 관점에서는 네트워크 상에서의 적재적소에 보안 시스템을 구축했다. 특히 O2O 분야의 특성상 ‘고객정보’가 가장 중요한 정보이기 때문에 회원정보와 예약정보의 분리 보관 및 암호화, 예약 정보 전송 시 실명과 실제 전화번호가 아닌 닉네임과 가상전화번호로 대체했다.

▲기술적, 관리적 조치 외에 회사 내부적으로는 어떤 점에서 보안을 강화하고 있나.

-여기어때 임직원들은 ‘보안사고가 두 번은 없어야 한다’는데 깊이 공감하고 있다. 그래서 임직원들은 보안사고 이전과는 다른 경영철학과 조직문화를 통해 재발 방지를 위해 노력하고 있다. 특히 보안사고 예방을 위한 보안문화를 형성하는데 많은 노력 중이다. 예를 들면 업무수행과정에서 정보보안 정책을 자연스럽게 준수하도록 만드는 기안·품의 절차를 도입했다. 이 과정에서 결재권자도 보안에 기반하여 판단을 하도록 설계해 두었기 때문에 결재권자의 보안철학도 자연스럽게 반영되고 있다. 또 정보보안 전담부서 역량 강화, 침입 방지를 위한 외부 전문기관의 모니터링 체계 활용, 최신 보안 위협에 대응이 가능한 보안 솔루션을 도입했다.

▲일각에서는 아웃바운드 방식의 정보 유출도 우려하는 시각이 있다. 그만큼 내부 직원의 보안 인식도 중요할 텐데, 어떻게 관리하고 있나.

-내부 직원들은 개인정보나 경영정보에 접근할 수 있는 권한이 있으므로, 정보 접근을 제한하게 될 경우, 업무가 마비될 수 있는 딜레마가 존재한다. 때문에 업무 수행에 필요한 권한만을 부여하는 방식으로 권한 관리를 하고 있다. 그리고 권한이 있는 직원의 업무를 주기적으로 검토하고 있으며, 필요시 정보보안팀의 보안감사도 이뤄진다. 아웃바운드(Out-bound) 채널에 대한 기술적인 모니터링 기능을 강화함과 동시에, 전사에 적용되는 보안시스템에서 USB 사용을 원칙적으로 금지하는 정책을 시행하고 있다. 따라서 업무 목적으로 정보를 외부로 보내거나 가져가야 하는 경우에는 정보보안 프로세스에 의해서만 가능하도록 구현했다.

▲기업의 정보보호 책임자로서 어떤 철학을 갖고 업무에 임하고 있는지 

-정보보안은 담당자만의 업무가 아니라 모두가 함께 추구해야 실현될 수 있는 공동의 가치'다. 또한 보안시스템이 아무리 잘 구축 돼 있어도 보안의식이 없다면, 경주용 자동차를 눈 감고 운전하는 것처럼 위험하다. CISO가 직접 나서 전사 직원들이 체감할 수 있도록 보안의식을 자극하는 방법을 활용하고 있다. 예를 들어, 매일 새벽 6시 30분에 CISO가 직접 생활보안을 점검하고, 보안 표어·포스터 경진대회를 개최하며, 화면보호기 상에서 중요한 정보보안 정책을 지속적으로 공지하하고 있다. 생활보안가이드 책자를 제작해서 신규 입사 직원들에게 CISO가 나누어 주고 있으며, CISO가 나서 전사 임직원과 협력회사 직원을 대상으로 대면 보안교육을 실시하고 있다. 이러한 보안의식 자극과정을 통해서 ‘정보보안이란 분산화 된 책임’이라는 인식을 강조하고 있다.

▲ISMS(정보보호관리체계) 인증을 앞두고 있는데, 이에 대한 솔루션 및 장비 투자 규모 어떻게 되는지.

-지난해 11월에 ISMS 최초심사를 받았으며, 4월에 ISMS 인증위원회에 상정될 것으로 예상하고 있다. 비단 ISMS 인증을 목표로 한 것은 아니고, 전사적인 보안강화를 목표로 보안 솔루션에 많은 투자를 해 오고 있다. 특히 지난해에는 IT 예산 대비 정보보호 예산이 15%를 상회했다. 그리고 만약 4월에 ISMS 인증을 획득하더라도 보안 솔루션에 대한 투자는 지속적으로 이루어질 예정이다. 특히 ‘ISMS 인증은 여기어때 보안의 새로운 출발선’이라는 경영진의 철학이 반영됐다.

▲ISMS 인증이 보안 강화에 실질적으로 어떤 효과를 기대할 수 있을까.

-ISMS 인증은 보안강화에 도움이 된다고 본다. 특히 ISMS 인증을 준비하는 과정에서 임직원의 보안의식 개선에 상당한 효과가 있다. 그리고 만약 ISMS 인증을 획득할 경우, 경영 철학이 ‘속도’에서 ‘안전함’으로 일정부분 체질 개선되는 효과도 기대된다. 다만, ISMS 인증이 정보보안의 목적지가 아니라 최소한의 환경과 절차를 구축하는 출발지이기 때문에, 조직 내에서 관리적·기술적 보안강화활동이 유지되어야 ISMS 인증으로 인한 보안강화 효과를 지속시킬 수 있다.

▲보안업계에서는 ‘세상에 완벽한 보안은 없다’게 정설이다. 이는 보안은 불완전할 수밖에 없다는 전제가 깔려 있는데, 이에 대해서는 어떻게 생각하나.

-완벽한 보안은 존재할 수 없다. 반드시 새로운 위협이 나타나고, 보안 솔루션은 도태되기 때문이다. 더 심각한 사실은, 공격자는 엄청난 노력을 하고 있다는 점이다. 그런데 만약 공격자 수준을 과소평가하면서 기업이 보안수준을 과대평가하면 심각한 상황에 직면 하게 된다. 결국 공격무기와 방어무기가 평등해야 한다는 원리로 접근해야 한다. 때문에 경영진은 기업 내 정보보안 수준에 대한 지속적인 관심을 가져야하고 모든 의사결정 과정에는 정보보안 단계를 거치는 보안철학을 수립할 필요가 있다. 뿐만 아니라 이러한 경영진의 보안철학이 기업 내 모든 부서로 내재화될 수 있도록 하는 보안문화 형성에도 집중 해야 한다.

▲최근 개인정보 유출에 의한 ‘페이스북 쇼크’는 큰 파장을 일으켰다. 향후 개인정보 보호가 더욱 중요한 화두로 제시될 텐데, 보안 관점에서 여기어때의 향후 행보가 궁금하다.

-4차 산업혁명의 시대에는 지능과 정보가 융합된 서비스가 본격화하고 있다. 여기어때에서도 인공지능(AI) 분야와 사물인터넷(IoT) 등과 같은 첨단 ICT를 온라인과 오프라인을 연계하는 방식으로 숙박과 액티비티 예약 서비스에 효과적으로 적용할 계획이다. 물론 4차 산업혁명의 시대에서도 정보보안은 매우 중요하다. 따라서 여기어때는 안전한 온-오프라인 연계(O2O) 서비스를 지속할 수 있도록 하는 보안 인프라를 보강하는데 전념할 예정이다. 그리고 보안사고 이후 보안수준을 강화하고 있는 여기어때가 단지 보안사고 사례로 남는 것이 아니라, 보안사고 이후 보안체질을 개선하기 위해 노력한 경험과 노하우를 다른 O2O업계에 도움이 될 수 있는 방안을 고심하고 있다. 이를 위해서 업계의 정보보안을 선도하는 사회적 책임을 수행하는 데에도 많은 노력을 기울일 예정이다.