2000년 초 안랩코코넛을 시작으로 포털 다음(DAUM. 현재 다음카카오), 쿠팡, ISMS-P 인증심사원 등 20년 이상을 정보보호 업무에 몸 담아온 박나룡 보안전략연구소 소장을 최근 만나 인터뷰를 진행했다.
박 소장은 안랩코코넛에서 정보보호 엔지니어를 시작으로 당시 최대 포털사였던 다음커뮤니케이션 보안담당자로 자리를 옮겼다. 당시 다음은 현재 네이버보다 규모가 컸고 정보보호에도 많은 투자를 했다.
◆포털 다음과 이커머스 쿠팡에서 보안 조직 세팅과 운영
그는 ‘다음’에서 보안정책부터 보안조직 세팅 등 정보보호 업무를 배우고 이해하는데 많은 도움을 받았던 시기였다고 회상한다. 특히 2007년 이후 온라인 기업들의 개인정보보호 이슈가 커지면서 개인정보보호 부서 기본 세팅을 담당했으며 보안관련 대외 협력부서에서도 일한 바 있다.
이후 보안전략연구소를 개설하고 ISMS, PIPL, PIMS 등 인증심사원으로 2년간 여러 기업과 기관의 보안 컨설팅 업무를 수행했고, 2012년부터 국내 최대 이커머스 선두기업으로 성장한 초기 쿠팡으로 자리를 옮겨 정보보안책임자로 일했다.
쿠팡 초기에 보안 조직 세팅, 보안 정책 수립 등 CEO 직속으로 쿠팡의 기본적인 정보보안 틀을 구축하는데 매진했다.
그는 당시를 회상하며 “쿠팡의 초기 보안 토대를 만들면서 4년간 글로벌 스타일의 업무 프로세스를 배울 수 있었다”며 “정보보호를 단순히 기술적 접근으로만 바라보던 시각에서 벗어나 비즈니스와 직접적으로 연결된 문제라는 것을 인식하게 됐다. 온라인 기반 기업은 보안 리스크를 해결하지 못하면 모래위에 성을 짓는 것과 같기 때문이다. 경영진도 이를 인식하고 보안 부서에 힘을 실어 주었고 전사적으로 보안 강화에 힘을 쏟았던 시기였다”고 말했다.
이어 “보안 조직을 세팅하는 일은 쉽지 않다. 커뮤니케이션이 대부분을 차지한다. 경영진부터 관련 부서를 다니면서 보안체계와 솔루션들이 왜 필요하고 비즈니스에 어떤 영향을 미치는지 리스크 중요도별로 설명해줘야 한다. 이때 기술적으로만 접근하면 이해를 못하기 때문에 비유를 들어서 쉽고 정확하게 메시지를 전달해줘야 했다. 보안에 투자를 하지 않으면 어떤 리스크가 발생하고 회사 비즈니스에 어떤 문제를 발생시킬 수 있는지 경영자를 정확히 이해시켜야 보안 투자를 받아낼 수 있기 때문이다. 그 부분이 정보보호 담당자로서 가장 필요한 역량이 아닐까 생각한다”고 강조했다.
그는 회사의 주요 자산들을 명확하게 파악하고 자산별로 어떤 보안 조치를 취해야 하는지를 방화벽 정책관리, 접근통제 등 기술적으로 접근하는 것이 아니라 각 요소별로 리스크를 제거하지 않으면 얼만큼의 비즈니스적 손실이 발생할 수 있는지를 따져 가장 효율적인 보안 방안을 제시해야 했다고 전한다.
◆인증심사원으로 다양한 현장에서 정보보호를 바라보다
현재 그는 정보보호 심사와 인증평가 전문가로 활동하고 있다. 한 기업에 속해 보안을 바라봤던 시각에서 벗어나 보다 많은 조직의 정보보호 현실을 직접 보면서 더 넓고 깊이 있는 정보보호 전문가로 성장하고 있다.
그는 “한 조직에 몸담고 정보보호 업무를 하는 것도 의미있는 일이지만 지금처럼 여러 기업들과 기관을 다니면서 현장에서 직접 보고 문제점을 찾아 주고 개선되어 가는 모습을 보면서 심사원으로서 자부심을 느낀다”고 전했다.
그는 1년 거의 모든 기간을 심사 및 인증평가 업무를 해오고 있으며 주로 ISO27001, ISO27701, ISMS-P, 자동차 사이버보안, 인공지능 보안시스템 등 다양한 분야의 인증 평가 업무를 수행하고 있다.
박 소장은 “심사를 하다 보면 안타까운 점들이 있다”며 “심사를 규제로만 받아들이고 이걸 왜 하는지 모르겠다고 귀찮아 하는 담당자들이 더러 있다. 인증은 자율 규제 관점에서 우리 조직의 보안이 인증에서 요구하는 수준을 충족시키고 있는지 확인하고 개선해 나가는 기회라고 생각해야 한다. 인증이 국내 정보보호 수준을 높이고 정보보호 인력에게 꽤 긍정적 영향을 주고 있다고 생각한다. 보다 긍정적이고 적극적인 마인드로 인증 심사에 임한다면 보안 강화에 많은 도움이 될 것이다. 특히 보안 담당자 입장에서도 적극적으로 인증심사에 임해야 개인의 발전에도 도움이 될 것”이라고 전했다.
또 “보안 담당자는 매일 하는 업무라 놓치는 부분이 있을 수 있다. 이런 부분을 정보보호 전문가인 심사원들이 체크해 주고 개선할 수 있는 기회를 만들어 주는 것이다. 인증심사 한 번으로 모든 사이버 침해 사고를 예방할 수 있다고 생각하기 보다는 하나의 문제점이라도 찾아서 개선해 나가는 것을 목표로 해야 한다. 이를 기반으로 담당자 스스로 또 다른 문제가 있는지 찾아볼 수 있는 계기가 된다. 그런 식으로 인증 효과를 극대화시켜 나가야 한다”고 조언했다.
◆로그관리와 재해·재난 대응책 마련 부족해…충분한 인력과 예산은 필수
이어 최근 보안 관련해서 조직이 어려워하는 부분이 무엇인지 물었다.
그는 “로그관리를 가장 어려워한다. 관리해야 할 대상이 너무 많고 주기적으로 해야 되는데 그걸 감당할 인력도 부족하고 어느 정도가 효과적인지 그 기준도 모호하기 때문이다. 그리고 재해·재난 관점에서 보면 실질적으로 재해와 재난에 대한 대책을 마련해 놓은 곳이 많지 않다. 문서상으로는 준비돼 있지만 실제 재해·재난 상황이 발생했을 때 어떻게 할지 준비해 놓은 기업들은 많지 않다는 것이다. 비용도 많이 들고 보험적인 성격이 강하다 보니 투자를 꺼리고 있다”며 “지난 행정망 마비사태를 계기로 국가·공공기관 및 기업들은 정말 중요하다고 판단한 필수적인 서비스에 대해서는 실제 재해·재난 상황에 적절하게 대응할 수 있도록 충분한 시나리오와 대응책을 매뉴얼화해서 마련해놔야 한다”고 강조했다.
박 소장은 로그관리와 재해·재난 대비 등 정보보호 강화를 위해서는 적절한 수준의 전문 인력과 예산이 필수적이라고 말한다. 성공적인 비즈니스를 지속하기 위해서는 보안이 기본적이고 필수적이란 것을 경영진이 명확히 인식해야 한다. 보안 인력과 예산 확보가 가장 중요하다. 그래야 지속적인 대응체계를 유지하고 같은 문제가 반복되지 않도록 개선해 나갈 수 있다. 인력과 예산 없이 보안 수준을 높인다는 것은 말이 안 된다고 지적했다.
이어 그는 “보안 수준이 높은 기업들 대부분이 충분한 전문인력과 예산이 확보된 조직이다. 이를 통해 상시적으로 취약점 점검과 모의해킹을 실시해 취약한 부분을 찾아내고 패치해 나가고 리스크를 줄여 나간다”고 말했다.
◆다양한 보안 현장에서 얻은 인사이트로 정보보호 발전에 이바지
한편 인증심사위원들도 오픈 마인드가 필요하다고 그는 말한다. 담당자의 의견을 먼저 듣고 본인의 전문 지식으로 조언을 해야 한다. 그렇지 않을 경우 강압적으로 들릴 수 있기 때문이다. 최근 국내 심사위원들의 수준이 높다. 다들 현업에서 보안업무를 담당하거나 오랜 기간 몸담아 왔던 심사원들이 많기 때문이다.
이어 그는 정보보호 산업 발전에 대해 “AI가 발전하면서 부작용으로 딥페이크, 가짜뉴스 등 사회 신뢰를 무너뜨리는 문제들이 발생하고 있다. 이때 보안기업들이 이런 IT의 문제점을 해결하기 위한 논의와 제품개발에 노력해야 한다. 그래야 새로운 보안 분야들이 생겨나고 산업도 확장될 수 있다고 생각한다. 사회 요구 사항 수준도 변화하는 만큼 보안 업계에서도 발빠르게 대응해 나간다면 정보보호 산업의 전체적인 파이도 커지지 않을까”라고 전했다.
끝으로 향후 활동에 대해 그는 “앞으로도 인증심사 현장에서 계속 활동하고 싶다. 가장 재미있고 정보보호를 다양한 분야별로 넓은 시각에서 이해할 수 있는 가장 확실한 방법이라고 생각한다. 한 기업에만 몸담고 있다면 경험해 볼 수 없는 인사이트를 얻고 있다”며 “조직은 인증심사 기준만 통과하려고 노력할 것이 아니라 그 이상을 하려고 해야한다”고 전했다.
박나룡 소장은 앞으로도 인증심사원으로 활동하면서 현장에서 얻은 다양한 경험을 토대로 국내 정보보호 수준 향상에 기여할 수 있는 매개체가 될 것이라고 말했다.
그는 데일리시큐에 정보보호 관련 고정 칼럼리스트로도 활발히 활동하고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
