고정현 우리은행 정보보호그룹 부행장 · 최고정보보호책임자(CISO)

고정현 우리은행 최고정보보호책임자(CISO).(사진=우리은행)
고정현 우리은행 최고정보보호책임자(CISO).(사진=우리은행)

<대한금융신문=안소윤 기자> 매년 7월은 정부에서 사이버 공격을 예방하고, 정보보호에 대한 경각심을 고취하기 위해 제정한 ‘정보보호의 달’이다.

법정기념일이 제정될 만큼 정보보호는 우리 사회에서 매우 중대한 사안으로 꼽힌다. 4차 산업혁명과 언택트(Untact·비대면) 시대로의 급속한 전환에 정보통신기술이 빠르게 발달하면서 사이버 안전, 즉 정보보호에 대한 중요성은 더욱 두드러지고 있다.

고정현 우리은행 최고정보보호책임자(CISO)는 “디지털화된 현 사회에서 정보는 초고속 정보통신 인프라 위에서 시공간을 초월해 실시간으로 유통될 뿐만 아니라 각종 콘텐츠로 확대 재생산되며 빠른 속도로 부가가치를 창출해 내고 있다”고 진단했다.

이어 “정보의 가치상승은 기업이 수집과 활용에 집중하도록 만들었고, 많은 정보가 모인 곳에 많은 사람이 유입된다는 네트워크 효과에 따라 정보보호 중요성은 더욱 커지고 있다. 기업의 이익과도 직접 직결되는 상황”이라며 “역할을 제대로 수행하지 못하면 이미지 실추와 같은 무형의 손실과 피해보상 등 재무적 손실이 뒤따르기 때문”이라고 설명했다.

실제로 금융권을 대상으로 한 사이버 위협은 지속해서 일어나고 있다.

정보보호의 달이 제정된 배경인 지난 2009년 7월 대규모 디도스 공격에 이어 2011년 일부 은행의 전산망이 악성코드에 감염돼 인터넷뱅킹 및 ATM의 전면 중단 사태, 2014년 카드사 고객정보 대량 유출 사태가 대표적이다.

이러한 사이버 위협에 대비하기 위해 우리은행은 사이버 테러 및 고객정보 유출사고 발생 시 즉각적인 대응이 가능하도록 실전과 같은 모의훈련을 매 반기별로 실시하고 있다.

또 새로운 보안 위협에 대비하기 위해 금융권 최초로 SOAR(사이버 보안 자동대응 체계) 기반의 보안관제 체계를 고도화했으며 각 부서별로 정보보호 리스크를 진단할 수 있도록 정보보호담당자를 임명하는 등 3중 보안체계 프로세스를 수립했다.

우리은행은 전 직원의 정보보호 인식 제고를 위해서도 꾸준히 노력하고 있다. 정보보호의 역량은 사용자의 중요성 인식 정도에 좌우되기 때문이다.

먼저 정보보호 업무 수행실적과 보안 동향에 대한 매분기 이사회 보고, 매월 CEO(최고경영자) 보고를 통해 경영진부터 사이버 위험을 중요 경영 리스크로 인식하도록 하고 있다.

또 직원의 정보보안 경각심 강화를 위해 직급별, 업무별 특성에 따른 교육과 이슈 공유 활동을 꾸준히 실행하고 있으며 고 CISO는 전 직원의 정보보호 생활화를 위해 관련 내용이 담긴 레터도 매월 직접 발송하고 있다.

고 CISO는 “디지털전환 혁신에 따른 외부 환경이 급변하고 있다. CISO는 환경변화와 새로운 기술에 대해 끊임없이 탐구하고 의심하는 열정을 가져야 대응력을 키울 수 있다”며 “조직의 자산을 보호하려는 사명감을 갖고, 정보 공유를 위한 전문가들과의 긴밀한 네트워크 구성 및 조직 구성원들과 끊임없는 소통으로 협력 관계를 키우는 것 역시 필요하다”고 설명했다.

마지막으로 고 CISO는 정보보호를 위한 실천의 중요성을 거듭 강조했다.

고 CISO는 “중국 당나라 시인인 백낙천은 조과선사라는 고승을 찾아 가르침을 청했고 ‘나쁜 짓 하지 말고 착한 일을 행하라’는 답을 들었다. 이에 백낙천이 실망하자 조과선사는 ‘세 살 먹은 아이도 다 아는 것이지만 팔십 노인도 행하기는 어려운 일이지’라고 덧붙였고, 이 말에 백낙천은 지행합일(知行合一)을 깨우쳤다고 한다”고 말했다.

그는 이어 “정보보호도 마찬가지다. 전 임직원의 '정보보호 기본 지키기 생활화'가 정보보호의 핵심이며 곧 해답이 될 것”이라고 전했다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지