“단순 직위가 높다고 정보 열람 권한이 많아져야 하는 것은 아닙니다. 불필요한 정보는 저장하지 않고, 철저하게 권한을 나눠 관리하는 것이 보안 첫걸음입니다.”
안진혁 코웨이 최고정보보호책임자(CISO) 실장은 보안 최고 책임자인 자신조차 고객 정보 열람 권한이 없다면서 회사 내 개인정보, 고객정보를 민감하고, 철저하게 관리하는 것이 중요하다고 설명했다.
코웨이가 적용받는 법적 규제는 금융권과 달리 촘촘하지 않다. 그러나 고객정보, 회사 정보 등 지켜야 할 디지털 자산은 많아 체계화된 보안 프로세스는 필수다. 코웨이가 렌털 업계를 주도하는 것처럼 보안조치도 업계 표준이 된다.
안 실장은 “금융업은 규제에 따라 보안프로세스를 구축하면 되지만 일반기업은 프로세스부터 스스로 만들어야 한다”면서 “결국 스스로 판단해 보안 본질을 어떻게 보고 대응하느냐가 중요하며 업계 선두기업으로서 책임감을 갖고 있다”고 말했다.
사이버 위협 대응 기본은 네트워크 침해환경 모니터링과 보안 총량제 도입이다. 코웨이는 전국 지국이 1000개가 넘어 개별 PC, 태블릿 등 물리보안까지 신경써야 할 부분이 상당하다. 모든 네트워크 이상 징후를 모니터링을 통해 실시간 확인하는 것이 기본이다. 단순히 보안에이전트를 많이 설치하는 것이 아니라 총량제를 적용, 효율화를 꾀한다. 최신 보안 프로그램이 위협을 막는 것이 아니라 스스로 이상 징후를 파악해야 제대로 된 대응 가능하다는 보안철학이 바탕에 있다.
안 실장은 “보안 담당자에게 계속 투자를 아끼지 말고 해볼 수 있는 것을 모두 하라고 지시하지만 절대 '보안 패키지 쇼핑'은 하지 말라고 한다”면서 “단순히 최신 버전 보안 프로그램을 구입해 적용하기보다 이상 징후 본질을 파악하고, 이를 바탕으로 보안 영역을 바라본다”고 말했다.
향후 '보안 조직 탄력성'을 키우는 것이 목표다. 코웨이가 다루는 수많은 제품은 이제 머신러닝이 적용되고 클라우드를 활용한다. 고객 데이터 수집, 가공은 늘지만 이를 노린 공격도 함께 증가한다. 단순히 보안만 바라보는 게 아니라 산업과 보안을 함께 이해하는 게 중요하다.
안 실장은 “단순히 법적 요건을 강화하는 것은 4차 산업혁명 등으로 대비되는 현재 변화에 대응하기 어려울 것”이라면서 “단순한 보안책임자가 아니라 전통기술, 현재 산업 이해 등 본질을 파고드는 사람으로서 이를 바탕으로 보안정책을 펴는 유연성을 갖추는 것이 중요하다”고 말했다.
정영일기자 jung01@etnews.com