로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    Global Standard와 정보보호

    페이지 정보

    profile_image
    작성자 이준호
    작성일Date 21-02-01 18:22

    본문

    61fccd2626878bffd6dc3e85b0f8be2e_1612247182_776.jpg 


    한국화웨이 이준호CSO 


    제가 처음 정보보호에 크게 관심을 가지게 된 것은 1.25인터넷 대란부터입니다. 2003년 1월 25일, 대한민국의 인터넷망이 분산 서비스 거부 공격으로 마비되는 사상 초유의 ‘인터넷 대란’이 발생했습니다. 마이크로소프트사의 SQL 서버의 취약점을 이용한 슬래머 웜이 이 사건을 일으켰고, 이로 인해 취임한 지 얼마 안 된 정보통신부 장관이 책임을 지고 사임했습니다. 슬래머 웜에 감염된 좀비 PC들이 대량의 트래픽을 만들어 KT 혜화 전화통신 관문국사의 DNS 서버를 공격하면서 대란이 시작됐습니다. 혜화국사의 DNS 서버가 마비되자 트래픽이 백본망으로 우회하기 시작했고 결국 다른 지역의 서버들도 줄줄이 마비됐습니다. 대란의 여파로 당시 인터넷을 통한 전자거래, 금융, 예약 서비스가 전면 중지되면서 국민들은 혼란에 빠졌습니다. 당시 1등 인터넷 포털이었던 Daum의 CIO를 맡고 있었던 저는 매일 매일 기하급수적으로 늘어나는 네트워크, 서버, 스토리지의 증설을 감당하기도 힘들었던 시기였는데, 다행히 다음은 리눅스OS를 주로 사용하고 있어 피해가 상대적으로 적었습니다.


    61fccd2626878bffd6dc3e85b0f8be2e_1612171010_9283.JPG

     


    당시 IT 목표는 장애가 많은 하드웨어와 최적화되지 않은 소프트웨어들로 인해 오로지 장애를 줄이고 성능을 높이는데 치중되어 있었으며 운영방식은 지금의 초기 스타트업 수준이었습니다. 그런 시기에 1.25대란은 보안의 중요성과 더불어 평소 어떻게 IT를 운영하고 위기상황을 어떻게 대처해야 하는가에 대한 근본적인 고민을 던져주었습니다.

    지금의 카카오나 네이버는 과거의 이런 모습을 상상도 못 할 일이지만 두 회사 모두 스타트업(당시 용어로는 벤처)으로 시작한 기업이라 초기에는 과도기적인 모습 또한 가지고 있었습니다. IT조직의 수준과 회사의 보안 수준 그리고 위기 대처 능력을 향상시키기 위해 무엇을 해야 하는지에 대한 고민과 함께 떠오른 것은 정보보호인증이었습니다.


    그동안 해보지 않았던 문서작성과 각종 증적자료 준비 등에 조직원들은 부담감을 느꼈고, 반대의견들도 있었습니다. 하지만2년여를 준비하여 2006년에는 KISA의 정보보호관리체계인증(ISMS)와 국제보안 인증인 ISO27001을 동시에 획득하였습니다. 당시에는 쑥스럽게도 드디어 세계적 수준의 정보보호관리체계를 가진 기업이 되었다고 홍보했습니다. 지금 돌이켜 보면 국제적인 표준을 통해 IT와 보안업무에서 우리가 해야 할 일을 명확히 규정하고 그에 따라 업무를 처리하며 장애나 재난 상황 발생 시 매뉴얼에 따라 움직일 수 있는 기반을 마련한 것이 더 큰 의미였다고 생각합니다. 사실 이전에는 일을 이렇게 하는 게 맞는지 혹은 빠뜨리고 있는 일은 없는지에 대한 고민이 있었습니다. 하지만 국제표준에 따른 인증은 이러한 불안을 해소 시켜주었고 더 확신을 가지고 업무를 추진할 수 있었습니다.


    61fccd2626878bffd6dc3e85b0f8be2e_1612171068_583.JPG

     


    국제표준이라는 용어가 생소할 수 있지만, 사실상 우리의 일상생활에도 많은 국제표준이 있습니다. 우리가 매일 쓰는 길이, 무게, 온도 등의 단위가 국제적으로 통일되어 있지 않았다면 생활에 많은 곤란함을 겪었을 것입니다. 또한 제품의 모양과 치수, 품질 등을 동일한 규격으로 규정해야 대량 생산이 가능하고 가격하락, 품질향상, 호환성 등 모든 면에서 생활을 편리하고 효율적으로 변화시킬 수 있습니다. 


    61fccd2626878bffd6dc3e85b0f8be2e_1612171092_2893.JPG

     

    제품뿐만 아니라 개념, 방법 등의 분야에서도 표준화가 진행되어야 업무 행위의 단순화가 이루어지고 호환성이 향상되며, 관계자들 간의 상호 이해가 가능해집니다. 이는 궁극적으로 소비자의 이익을 보호할 수 있으며, 업무 현장의 효율을 높일 수 있습니다.


    통신 및 IT 장비를 생산하는 제조 대기업에서 일하며 다시 한번 표준에 대해 생각해 보게 되었습니다. 우리가 매일 쓰고 있는 휴대폰을 바라보면 더욱더 국제표준의 중요성을 생각하게 됩니다. 만일 세계적인 표준 하에 이동통신망이 구축되지 않았다면 우리는 방문하는 나라마다 새로 휴대폰을 구입하여 사용해야 했을지도 모릅니다. 지금 우리가 쓰고 있는 이동통신망은 3GPP라는 국제표준화 협력기구가 제정한 규격입니다. 3GPP는 GSM, WCDMA, LTE등의 무선 통신 관련 국제 표준을 제정하기 위해 1998년 12월에 창설된 이동통신 표준화 기술협력 기구입니다. 삼성전자·화웨이·노키아·퀄컴·NTT도코모·SK텔레콤· 등 세계 유수의 전자‧이동통신 업체들이 3GPP에 참여하고 있습니다. 국제전기통신연합(ITU)은 3GPP에서 정한 표준을 기반으로 5G 표준을 최종 승인합니다. 즉, 3GPP는 전 세계의 통신 규격을 맞추려고 노력 하며, 3GPP가 인정한 글로벌 5G 통신규격을 따르면 전 세계 어디서나 5G 통신 서비스가 가능합니다. 예전 포털사 CISO시절, 창업자로부터 비용에 대한 걱정 없이 가능한 모든 국제정보보호인증을 다 취득해보라는 주문을 받은 적이 있었습니다. 인증을 받으려면 많은 준비의 과정을 거쳐야 하며 그 과정에서 업무가 체계화되고 수준이 향상됩니다. 국제인증의 경우는 우리와 경쟁하는 유수의 글로벌 기업들과 보안 수준을 맞춰 나간다고 생각할 수 있습니다.  당시, 창업자는 구글과 경쟁한다는 생각을 가지고 있었기에 적어도 구글과 보안 수준을 맞추거나 그 이상의 보안 수준을 갖추려면 국제인증이 필수라고 생각하신 것 같습니다.



    61fccd2626878bffd6dc3e85b0f8be2e_1612171115_7498.JPG

     


    지금의 회사에서도 수많은 인증을 보유하고 있으며 새로운 인증취득과 유지관리에 많은 노력을 기울이고 있습니다. 우리에게 친숙한 ISO27001이나 CC같은 인증뿐 아니라GSMA·3GPP가 공동 제정한 네트워크 장비 보안 보증 체계NESAS(Network Equipment Security Assurance Scheme), 3GPP의 보안 보증 사양인 SCAS(Security Assurance Specifications)등 270개 이상을 보유하고 있습니다.


    인증을 받고 유지한다는 것은 시간과 비용이 투자되는 일입니다. 분명 잘 활용하면 조직의 업무방식을 바꾸고 글로벌 기업들과 같은 보안수준을 갖출 수 있습니다. 하지만 인증의 취득만으로는 그럴 수 없음을 잘 아실 것입니다. 꾸준히 수준을 유지하는 노력을 게을리하지 말아야 하며 인증범위 안에서만 머물지 말고 보이지 않는 또 다른 취약점들을 찾아내 보완해야 합니다.


    61fccd2626878bffd6dc3e85b0f8be2e_1612171189_5019.JPG

     


    과거에는 KISA가 정보보호 대상이나 ISMS 인증을 받은 기업이 보안사고를 낼까 걱정하는 마음에 시상이나 인증 수여에 많은 고민을 하는 모습을 본 적이 있습니다. 정보보호에 100점은 없다고 생각합니다. 오늘 건강검진에서 매우 건강하다는 판정을 받아도 얼마 가지 않아 위중한 병에 걸리는 경우도 발생합니다. 인증을 너무 맹신해서도 안 되겠지만 정보보호가 최소한의 국제 경쟁력을 갖추는데 인증은 필수요소라 생각합니다.


    61fccd2626878bffd6dc3e85b0f8be2e_1612171201_262.JPG