2024-10-07 01:45 (월)
[인터뷰] 신종회 마이크로소프트 CSO “CISO, 더 큰 리더십 발휘해 나가길”
상태바
[인터뷰] 신종회 마이크로소프트 CSO “CISO, 더 큰 리더십 발휘해 나가길”
  • 길민권 기자
  • 승인 2024.09.30 08:30
이 기사를 공유합니다

“CISO, 보안 사고 막는 것에만 집중하기보다 기업 생산성과 효율성 높일 수 있는 보안 전략 고민 필요”
신종회 마이크로소프트 CSO
신종회 마이크로소프트 CSO

신종회 마이크로소프트 CSO는 한국인터넷진흥원(KISA)에서 시작해 마이크로소프트(MS), 아마존 웹 서비스(AWS), 엔씨소프트를 거쳐 다시 최근 마이크로소프트로 복귀한 대한민국 1세대 보안전문가이자 제로 트러스트 전도사로 유명하다. 

22년 이상의 보안분야 경력을 통해 그는 개인정보보호법의 선구자, 클라우드 보안 전문가, 제로 트러스트 보안 모델의 전도사로 활동하며 국내 보안 분야에서 독보적인 위치를 구축했다. 현재는 마이크로소프트 CSO로서 국내외 보안 전략을 지원하고 CISO 네트워크와의 협력을 통해 보안 전문 지식과 경험을 전파하고 있다. 최근 데일리시큐는 신종회 CSO를 만나 인터뷰를 진행했다. 

신종회 CSO는 2002년 한국인터넷진흥원에 입사해 보안 업무를 시작했다. 기술 표준 보안, 기반시설 보호 등 다양한 영역에서 전문성을 쌓았으며, 2010년에는 개인정보보호법을 총괄하는 팀장으로서 해당 법의 통과와 시행에 핵심적인 역할을 수행했다. 이러한 경험을 통해 그는 개인정보보호 분야에서 국내 최고 전문가로 인정받게 되었고, 이로 인해 업계에서 주목을 받는 전문가로 성장했다. 

◆마이크로소프트에서 글로벌 보안 경험

이어 신종회 CSO는 2012년 마이크로소프트에 입사해 정부기관과의 협력 업무를 담당했다. 당시 클라우드 보안이 국내에서 본격적으로 확산되기 시작한 시기였기 때문에 그는 정부기관에 클라우드 보안의 중요성을 설득하고 이해시키는 역할을 수행했다. 특히 MS 클라우드 서비스와 클라우드 보안의 개념을 국내 정부기관의 실무자들에게 직접 교육하고 세미나를 진행하는 등 클라우드 보안의 초석을 다지는 활동에 집중했다. 이 과정에서 그는 글로벌 기업이 보안을 바라보는 관점과 시스템 구축 방법에 대해 깊이 배우게 되었고, 이는 이후 그의 보안 전략에 큰 영향을 주었다.

마이크로소프트에서 그는 정부기관의 클라우드 보안 관련 정책 수립에 기여하며, MS의 클라우드 솔루션이 정부기관에 안정적으로 도입될 수 있도록 다양한 협력과 자문을 진행했다. 이러한 경험은 신종회 CSO가 클라우드 보안에 대한 인사이트와 노하우를 축적하는 계기가 되었다.

◆AWS에서 글로벌 클라우드 보안 전문가로

2016년 신종회 CSO는 아마존 웹 서비스(AWS)로 이직해 ‘시큐리티 어슈어런스 리드(Security Assurance Lead·상무)’로서 국내 클라우드 보안의 선구자로 활약했다. 그의 주요 임무는 AWS가 한국의 정보보호 관리체계인 K-ISMS 인증을 최초로 획득하는 것이었다. 이는 외국계 클라우드 사업자로서 K-ISMS 인증을 받는 것이 처음이었기 때문에 많은 어려움과 도전이 따랐다고 전했다.

그는 2년 반에 걸쳐 노력을 기울였으며, AWS가 한국 시장에서 클라우드 서비스 사업을 전개할 수 있는 기반을 마련했다. 특히 그는 한국형 클라우드 보안 체계에 대한 깊은 이해를 바탕으로 AWS 내부 프로세스를 조율하고, 국정원, 한국인터넷진흥원 등 정부기관과 긴밀하게 협력해 인증을 획득하는 데 성공했다. 2017년 12월, AWS는 한국 최초로 K-ISMS 인증을 획득하게 되었고, 이는 외국계 클라우드 사업자가 국내 보안 인증을 받는 첫 사례로 기록됐다.

이러한 경험을 통해 그는 글로벌 클라우드 보안 표준과 한국의 보안 체계를 모두 아우르는 전문성을 갖추게 되었다. 이를 통해 그는 국내 클라우드 산업 발전의 중요한 인물로서 자리매김했고, AWS의 국내 사업 확장에 큰 기여를 하게 되었다.

◆엔씨소프트에서 제로 트러스트 보안 혁신

2019년 신종회 CSO는 국내 최대 게임사인 엔씨소프트의 CISO로 스카우트되어 회사의 보안 체계를 완전히 혁신하는 임무를 맡게 되었다. 당시 엔씨소프트는 망 분리 체계가 지나치게 복잡하게 운영되어 개발팀과 현업 부서가 업무를 수행하는 데 많은 불편함을 겪고 있었다. 그는 이러한 문제를 해결하기 위해 국내 최초로 제로 트러스트 보안 모델을 도입하기로 결정했다.

그는 제로 트러스트에 대한 이해를 높이기 위해 미국에 직접 방문해 마이크로소프트를 비롯한 글로벌 기업들을 찾아가 제로 트러스트의 개념과 솔루션을 탐구했다. 이를 바탕으로 엔씨소프트에 최적화된 제로 트러스트 아키텍처를 구축했고, 2019년 국내에서 최초로 제로 트러스트 보안 모델을 도입했다. 이로써 엔씨소프트는 직원들이 외부에서도 안전하게 접속할 수 있는 보안 체계를 구축했고, 코로나19로 인한 전사 재택근무를 무리 없이 진행할 수 있었다.

특히 그는 마이크로소프트의 '인튠(Intune)' 솔루션을 활용해 전 직원의 디바이스에 디바이스 매니지먼트 툴을 설치하고, '애저 AD(지금의 엔트라, Microsoft Entra)'를 통한 인증 체계를 도입했다. 또한 클라우드 환경에서의 보안을 위해 '엠카스(MCAS, Microsoft Cloud App Security)'를 적용하는 등 제로 트러스트 기반의 보안 체계를 완성했다. 이러한 노력은 엔씨소프트가 국내 기업 중 최초로 제로 트러스트 보안을 도입한 사례로 기록되었으며, 그는 제로 트러스트의 선구자로서 업계에서 주목받게 되었다. 그는 이런 경험을 바탕으로 과학기술정보통신부 ‘제로트러스트·공급망 보안 정책 포럼’ 산업·기술분과 분과장을 맡았고 국내 각종 제로 트러스트 보안 컨퍼런스에서 메인 스피커로 명성을 얻었다.

◆마이크로소프트 CSO로 복귀, 새로운 도전 시작

2023년 5월, 신종회 CSO는 마이크로소프트의 커스터머 시큐리티 오피서로 복귀했다. 현재 그는 마이크로소프트의 보안 전략을 외부에 알리고, 국내 CISO들과의 네트워킹을 통해 그들의 보안 고민과 전략을 지원하는 역할을 수행하고 있다. 또한 내부 직원 교육과 리더십 강연을 통해 마이크로소프트 내에서 보안 문화 확산에 주력하고 있다.

최근 데일리시큐와 인터뷰 자리에서, 신종회 CSO는 제로 트러스트의 핵심을 단순히 솔루션을 도입하는 것에 그치지 않고, 내부 서비스와 데이터를 마이크로세그멘테이션을 통해 격자 구조로 구축하는 것이라고 강조했다.

그는 "기존의 망 분리 체계는 서비스의 효율성과 협업을 저해할 수밖에 없다"며 제로 트러스트의 도입을 통해 효율성과 보안을 동시에 강화해야 한다고 설명했다. 또한, 기업이 제로 트러스트를 도입하려면 내부 데이터와 서비스를 명확하게 분류하고, 이를 기반으로 단계별 성숙도를 높여가는 것이 중요하다고 지적했다.

이어 망분리 개선안에 대해 이번 정부의 발표가 상당히 고무적이라고 평가했다. 그는 기존의 망 분리 방식이 클라우드 활용과 협업을 저해하는 요소로 작용해왔다며, 이번 개선안이 데이터와 서비스의 중요도에 따라 분류된 등급별 관리 체계를 도입함으로써 효율적인 망분리가 가능해질 것으로 전망했다. 이를 통해 외부와의 협업이 필요한 경우에도 망을 열어줄 수 있는 근거를 마련해 업무의 유연성을 확보할 수 있게 되었다고 설명했다.

그는 기업이나 기관들이 망분리 개선안을 제대로 활용하려면 내부 데이터와 서비스의 등급 분류를 먼저 확립해야 한다고 강조했다. 이러한 체계가 구축되지 않으면 제로 트러스트의 핵심인 마이크로 세그멘테이션을 제대로 구현할 수 없기 때문이다. 그는 "망분리 개선안은 단순히 솔루션을 도입하는 것으로 끝나는 것이 아니라 내부 거버넌스 체계의 구축이 필요하다"며 기업들이 제로 트러스트 도입에 필요한 데이터 및 서비스 분류 작업에 적극적으로 나서야 한다고 강조했다.

신종회 CSO는 마지막으로, 국내 CISO들에게 “보안 사고를 막는 것에만 집중하기보다는 기업의 생산성과 효율성을 높일 수 있는 보안 전략을 함께 고민해야 한다”고 조언했다. 그는 “제로 트러스트가 이러한 고민을 해결할 수 있는 핵심 전략이며, 이를 통해 보안 팀이 기업의 가치를 높이고 비즈니스 발전에 기여하는 역할을 수행할 수 있다”고 강조했다.

또한, 그는 “보안의 역할이 기업의 비즈니스 목표에 맞춰 성장하는 방향으로 발전해야 한다”는 점을 강조하며, “보안팀이 더 큰 리더십을 발휘해 나가길 희망한다”고 말했다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★