"CISO, 불편한 참견꾼이 아닌 비즈니스의 조력자죠"

입력
2023.01.19 13:00
수정
2023.01.19 13:31
구독

편집자주

스타트업엔 유난히 다양한 C레벨(분야별 최고 책임자)이 있습니다. 강점을 가지려는 분야에 최고 책임자를 두기 때문입니다. C레벨을 보면 스타트업의 지향점도 한 눈에 알 수 있죠. 스타트업을 취재하는 이현주 기자가 한 달에 두 번, 개성 넘치는 C레벨들을 만나 그들의 비전과 고민을 듣고 독자들과 함께 나눕니다.


③정일권 두들린 CISO

정보보안업계에서 종종 화두가 되는 숫자는 '5·5·7'이다. 민감 정보를 취급하는 금융회사가 정보보호에 투자해야 할 인력과 예산의 비율을 명시한 전자금융감독규정을 요약한 숫자다. 규정에 따르면 ①금융회사는 전체 임직원 중 5%를 정보기술부문 인력으로 두며, ②정보기술부문 인력 중 5%를 정보보호인력으로 두고, ③정보기술예산 중 7%를 정보보호예산에 쓰도록 '노력'해야 한다. 따져보면 임직원 1만 명 중 정보보호인력을 최소 25명을 두라고 권고하는 것인데, 이 규정마저도 2020년 일몰돼 이젠 기업의 자율에 맡겨졌다. 5·5·7 규정은 이제 국내 기업들이 정보보호에 얼마나 '야박한지'를 설명해주는 지표로 남아있다.

국민들의 민감한 금융정보를 취급하는 대형 은행마저 사정이 이럴진데, 이제 막 출발선에서 발을 뗀 스타트업 사정은 어떨까. 서비스 출시와 고객 확보가 '지상 과제'다보니, 제대로 된 경력을 갖춘 정보보안 인력을 채용하기 어려운 경우가 대부분이다.

기업간거래(B2B) 채용 솔루션 '그리팅'의 운영사 두들린이 창업 2년 만인 지난해 정일권(42) 최고정보보호책임자(CISO·Chief Information Security Officer)를 영입한 일이 이례적으로 여겨진 건 이 때문이다. 두들린은 CISO를 별도로 지정하고 신고할 의무가 없는 소규모 기업이지만, 고객사와 채용 지원자의 정보를 높은 수준으로 관리하는 것을 무기로 삼기 위해 정보보안 경력 15년의 정 CISO를 선택했다. SK쉴더스, 쿠팡, 홈플러스, 그리고 여러 스타트업을 거친 정 CISO가 초기 스타트업 두들린에 합류한 배경은 무엇일까. 정 CISO를 직접 만나 물었다.

정일권 두들린 CISO가 지난달 6일 서울 강남구 두들린 사옥에서 한국일보와 인터뷰 하고 있다. 김영원 인턴기자

정일권 두들린 CISO가 지난달 6일 서울 강남구 두들린 사옥에서 한국일보와 인터뷰 하고 있다. 김영원 인턴기자

-두들린은 이제 창업한 지 3년이 되어가는 초기 스타트업인데요. 이직 후 가장 먼저 하신 일은 무엇인가요?

"지난해 3월 처음 입사했을 땐 회사 PC에 백신도 깔려있지 않았습니다. 당장 정보보호 솔루션이 필요했고, 어떤 보안 프로그램을 구입해야 하는지, 정보보안 조직은 몇 명으로 구성되면 좋을지 등 정보보호 연간계획을 경영진에게 보고했습니다."

-CISO는 구체적으로 조직에서 어떤 분야를 책임지나요?

"CISO는 사내 정보·보안과 관련된 모든 업무를 책임진다고 보면 됩니다. 1년 동안의 정보보호계획을 수립하고 시행하며, 개선할 부분은 없는지 발굴해 내년 계획에 반영하는 전반적인 업무를 담당하죠. 현재는 정보보안 담당 직원을 뽑는 일에도 신경을 많이 쓰고 있습니다. 두들린 전사 직원이 47명인데, 저를 포함해 정보보안 담당 직원은 현재 2명이고 1명을 추가 채용하고 있습니다. 일반 기업과 비교하면 많은 편이라고 할 수 있죠."

-국내 기업들은 정보보안 인력을 채용하는데 인색한 것으로 알려져 있는데요.

"한국 기업들, 특히 금융권에서조차 정보보호 분야 투자가 부족했던 게 사실입니다. 실제 대형 금융사고가 터지고 난 뒤인 2013년에야 '5·5·7 규정'이 신설됐었는데, 이것조차 안 지키는 기업들이 있었습니다. 정보보호에 좀처럼 투자도 하지 않구요. 다들 '도둑도 안 드는데 왜 비싸고 좋은 자물쇠를 달아야 하지'라고 생각했던 거죠. 회사 안에서 정보보호 담당자의 위상이 낮을 수밖에 없었고, 직급을 올려주는 일도 드물었습니다."

-두들린이 특별히 CISO를 영입한 배경이 궁금하네요.

"이태규 대표가 채용 면접 당시 저에게 먼저 한국인터넷진흥원의 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받자고 제안했습니다. 정보보호 관리체계 인증(ISMS)은 정보통신서비스 매출액이 100억원 이상이면 인증이 의무입니다. 그런데 ISMS-P는 ISMS에 개인정보보호 관리가 추가된 인증이죠. 필수가 아닌데다, 인증을 위한 준비과정 자체가 힘들어서 도전 자체를 잘 하지 않습니다. 수집한 정보를 이용하고 저장할 때 이를 암호화하고, 제대로 파기하는 게 인증의 핵심인데, 기업 입장에선 오히려 수집한 정보를 보다 오래 자유롭게 쓰고 싶어합니다. 저희는 고객사의 채용 솔루션을 지원하기 때문에 고객사 한 곳당 100명, 200명 가량의 개인정보가 쏟아져 들어옵니다. 두들린이 ISMS-P 인증을 받으려는 건 그만큼 개인정보를 높은 수준으로 관리하겠다는 것이죠."

-얼마나 많은 개인정보를 다루고 있나요?

"현재 저희 고객사가 2,600여개에 달합니다. 고객사 한 곳당 지원자가 200명이 된다고 따져보면 전체 개인정보는 50만건을 훌쩍 넘기게 됩니다. 연봉 같은 민감한 정보도 포함돼 있죠."

-두들린에 오기 전까지 정보보안 전문가로 7개의 회사를 거쳤습니다. 회사마다 어떤 역할을 하셨나요?

"처음엔 2007년 SK쉴더스에서 경력의 첫 발을 뗐습니다. 4년간 3교대 근무를 하면서 전세계에서 고객사를 향해 쏟아져 들어오는 해킹 공격을 막거나 경고하는 관제업무를 담당했어요. 그러다 보니 몸도 많이 지쳤고, 고객사가 아닌 내가 소속한 조직의 보안을 해보고 싶다는 생각도 커졌습니다. 2012년부턴 한국케이블텔레콤, 쿠팡 등에서 자체적으로 정보보호솔루션을 구축하는 일을 했었습니다. 홈플러스에서 개인정보보호 파트장으로도 근무했는데, 이직 직전 개인정보 유출사고(https://www.hankookilbo.com/News/Read/201908061147367213)가 있었던 터라 정보보안에 더욱 심혈을 기울였습니다. 이후엔 금융회사에 일하고 싶다는 생각이 커져, 2018년 핀테크기업 렌딧에 합류했습니다. 처음 스타트업과 연을 맺게 된 계기였죠. 단기간에 정보보호솔루션 9가지를 구축하면서 중소벤처기업부 장관상도 수상했습니다. 이후 오디오 스트리밍 서비스 기업인 스푼라디오를 거쳐, 두들린에 오게 됐습니다."

정일권 두들린 CISO 주요 이력

2007~2012년 SK쉴더스 침해사고대응팀 대리
2014~2016년 쿠팡 보안정책팀장
2016~2017년 홈플러스 정보보호팀 개인정보보호파트장
2018~2020년 렌딧 팀장
2020~2022년 스푼라디오 팀장
2022년~ 두들린 CISO



-CISO가 조직 내에서 어떤 위치를 차지하고 있느냐에 따라 기업 정보보호의 성패가 갈린다고 알고 있습니다. 어떤 유형이 바람직하다고 보시나요?

"CISO 부서가 어떤 지위에 있느냐에 따라 장단점이 뚜렷합니다. CISO조직이 CEO의 하위에 있으면 의사결정이 빠르다는 장점이 있죠. CTO 조직과 함께 있으면 개발자들의 개발 일정에 맞춰 보안솔루션을 구축할 수 있습니다. 또 CTO 조직은 보안 솔루션에 대한 이해도가 상대적으로 높다 보니, 보안 강화의 필요성을 설명하기가 편하죠. 다만 정보보호가 개발의 후순위가 될 수 있다는 점을 주의해야 합니다. 또 다른 방향은 법무팀 조직과 함께 일하는 겁니다. 정보보호 관련 법령을 준수해야 하는 이슈가 있을 때, 직원들을 상대로 법무팀과 함께 목소리를 내면 파급력이 커지는 효과가 있죠. 정답은 없다고 봅니다."

-스타트업에서 CISO의 위치는 어때야 할까요?

"스타트업 생태계에도 CISO가 많아져야 한다고 생각합니다. 정보보안 담당자가 보안 영역에만 갇혀서 사고해선 안 되고, 회사의 비즈니스를 함께 이해해야 한다고 봐요. 사업이 성공하려면 어느 정도의 보안이 필요한지를 함께 고려해야 하고, 성장 속도에 맞춰 그때그때 맞는 보안 시스템을 구축하는 게 중요하다고 생각합니다. 만약 C레벨(각 분야 최고책임자)로서의 권위가 없다면 회사 정보에 접근하거나 의사결정과정에 참여할 수 없게 되죠."

-그렇다면 스타트업은 정보보안담당자를 언제 채용하는 게 좋을까요?

"저는 초기 단계부터 정보보안담당자가 있어야 한다고 생각합니다. 어느 정도 회사 규모가 커지고 난 다음에 보안을 강화하려고 하면 직원들이 불편하고 귀찮은 존재로만 여기거든요. 서비스 출시 이후에 위법 사항이 생기는 것도 미리 방지할 수 있고, 직원들을 설득할 수 있는 시간도 벌 수 있습니다. 적어도 투자 유치 등으로 자금 확보가 된 시점에는 경력 5년차 이상의 전문가가 투입돼야 한다고 봅니다."

-특별히 정보보안이 중요한 분야가 있을까요?

"지금은 개인정보 보호에 대한 국민들의 의식 수준이 높아졌습니다. 다시 말해, 개인정보 보호나 보안이 중요하지 않은 업종이 없다는 거죠. 처음에는 이커머스나 유통기업에서 개인정보 보호가 중요했다면, 코로나 시국엔 배달업계 수집하는 주소 정보가 중요해졌죠. 최근엔 개인정보보호위원회가 숙박, 구인·구직 분야 온라인플랫폼도 개인정보와 관련된 자율규제방안을 마련하도록 권고했습니다."

-올해 달성하려는 목표는요.

"현재 ISMS 인증 심사 마무리 단계에 있습니다. 올해 상반기에는 국제표준 정보보호 인증인 정보보호경영시스템(ISO27001)과 개인정보보호 경영시스템(ISO27701) 인증을 추가로 획득하는 것을 목표로 하고 있습니다."




이현주 기자

댓글 0

0 / 250
첫번째 댓글을 남겨주세요.
중복 선택 불가 안내

이미 공감 표현을 선택하신
기사입니다. 변경을 원하시면 취소
후 다시 선택해주세요.

기사가 저장 되었습니다.
기사 저장이 취소되었습니다.