[디지털데일리 최민지기자] LG유플러스 보안정상화를 위한 3개년도 로드맵이 가동됐다. 투자와 인력을 확충하는 한편, 보안 기본기부터 확실하게 다진다. 제로트러스트 전략도 구상 중이다.
이를 진두지휘하는 인물은 LG유플러스 최고정보보호책임자(CISO)인 홍관희 전무다. 홍관희 전무는 지난해 2월 LG유플러스가 발표한 ‘사이버 안전 혁신안’ 후속 조치로 야심차게 영입한 보안 전문가다.
홍관희 전무는 <디지털데일리>와의 보안리더스 인터뷰를 통해 “지난해 약 1100억원 투자했고, 올해는 1000억원 수준으로 예상한다. 최소 3년은 이렇게 가야 한다”며 “집을 짓는데 주춧돌을 놓는 기본기를 만들겠다”고 밝혔다.
이어 “기초가 없으면, 수천억원을 쓰더라도 5~10년 지나면 다시 무너질 수밖에 없다”며 “올해 안에 다 갖추고 싶지만, 내년까지라도 기본기를 다지는 데 집중할 것”이라고 덧붙였다.
◆파편화된 보안체계, 통합된 ‘거버넌스’를 만들다
홍 전무는 지난해부터 내년까지 3년간 매년 1000억원대 보안투자를 집행하고, 보안 관련 인력 규모도 동종업계 보안인력 수준(300여명)을 목표로 대폭 확충 중이다. 다만, 투자와 인력만 늘어난다고 튼튼한 집을 지을 수는 없다. 허물 것은 허물고, 바꿀 것은 바꾸면서, 견고한 기초 작업이 우선돼야 한다.
이를 위해 지난해 6월 LG유플러스에 합류한 홍 전무는 가장 먼저 전사 보안 현황을 파악했다. 리스크 식별‧관리와 함께 파편화된 보안 정책에 대한 표준화가 필요하다는 결론을 내렸다. 통합된 보안 거버넌스를 만들겠다는 것이다.
이와 관련 홍 전무는 규정과 지침을 지난 3월까지 정리했고, 올해 6월까지 업무‧직무‧애플리케이션 등 약 30종에 달하는 보안 가이드를 새롭게 만드는 작업에 돌입했다.
홍 전무는 “지난 1월엔 정보보호선언문을 발표했고, 최근 규정과 지침도 만들었다”며 “직무 기반으로 필수적으로 알아야 할 보안 콘텐츠도 만들고 있으며, 올해 상반기까지 현실에 맞게 반영한 가이드 30종도 내놓는다. LG유플러스 거버넌스를 만들고 있는 과정”이라고 강조했다.
관련해 홍 전무는 “일례로, 과거엔 개발조직에서도 보안제품을 사고 싶으면 편하게 구매했었다. 거버넌스 체계가 필요했다”며 “돈을 얼마나 쓰느냐가 중요한 게 아니라 제대로, 똑바로, 올바르게 사용하는 데 굉장히 집중했다”고 말했다.
LG유플러스 보안조직만이 단독으로 할 수 있는 일이 아니다. 경영진과 함께 IT, 개발, 네트워크 등 다양한 조직들이 함께 발을 맞춰야 한다. 홍 전무는 유관 부서들과 논의할 수 있는 협의체를 통해 지속적으로 논의하고 있다.
홍 전무는 “인공지능(AI), 디지털전환은 보안과 함께 가지 않으면 나중에 문제가 생기게 된다”며 “(LG유플러스는) 최근 수년간 디지털전환(DX)을 추진해 왔으며, 이 과정에서 개발조직과 문화 차이가 발생한 만큼 전체적인 편차를 맞출 표준화가 필요하다”고 진단했다.
다만, 각 개발 조직마다 사용하는 개발 도구가 모두 다르기에 하나의 프로세스만으로는 쉽지 않다. 이에 홍 전무는 각 직무 특성에 맞게 가이드를 만들기로 했다는 설명이다.
임직원 인식 전환에도 힘쓰고 있다. 예를 들어, 사내 모의 훈련 때 (보안수칙을 준수하지 않아) 본인 이메일이 공격에 노출됐음에도, ‘이런 위협을 막으라고 보안부서 있는 것 아니냐’고 생각하는 임직원도 있다. 현업에서는 마케팅 등을 이유로 정보를 많이 모으고 싶어 하지만, 법에서는 최소화 개인정보 수집 원칙이 있기에 간극이 있다.
홍 전무는 “경영진은 보안리스크를 알고 있지만, 사원까지 이를 인식하고 있느냐는 다른 이야기”라며 “부서들의 업무방식도 알아야 하고, 커뮤니케이션도 많이 해야 한다”고 전했다.
◆통합보안관제센터 3월 오픈, 내년부터 제로트러스트 본격화
이와 함께 LG유플러스 통합관제보안센터도 지난 3월 문을 열었다. LG유플러스는 지난해부터 통합관제보안센터 구축에 가장 많은 투자를 집행해 왔다. 내년까지 노후화 장비 교체 작업을 진행할 방침이다. LG유플러스 통합보안관제세터는 사각지대를 없애는 한편, 인공지능(AI)을 활용한 탐지 분석 대응도 가능하다.
홍 전무는 “이전에는 IT, 네트워크, 보안을 각각 관제했는데 이제는 한곳에서 물리적으로 관제할 수 있게 됐다. 소통, 대응시간, 상황파악이 훨씬 빨라졌다”며 “기존 관제 때보다 사각지대가 없어졌다”고 부연했다.
내년에는 제로트러스트 아키텍처 전환을 꾀한다. 단말→네트워크 장비→서버 순으로 단계적인 제로트러스 전략을 구현할 방침이다.
홍 전무는 “가장 먼저 단말 대상 제로트러스트를 진행하려고 한다”며 “원격근무 환경이 구현됐고, 협력업체들과도 네트워크로 연결돼 있다. 외부에 접속하는 모든 단말을 신뢰할 수는 없으니, 회사에서 정한 최소한의 보안 수준을 충족하는 단말만 접속할 수 있도록 해야 한다”고 설명했다.
이어 “서버에 접속하는 단말을 신뢰해야 접속을 허용해줄 수 있다. 그 다음엔 단말별, 사람별로 최소 권한을 부여하게 된다”며 “시스템이 접속을 관리할 수 있는 권한을 부여하는 체계가 있어야 한다”고 제언했다.
관건은 ‘심리스(seamless)’다. 끊김없이 매끄럽게 제로트러스트 전략을 가져가야 한다는 것이다. 접속할 때마다 단말과 사용자를 인증하기 위해 불편함을 가중시키지 않으면서, 보안을 강화하기 위해서다.
홍 전무는 “디바이스 인증 메커니즘을 만들면, 사용자와 상호작용이 없이 자연스럽게 접속하는 것처럼 느껴질 수 있다”며 “자동화도 필요하다”고 전했다.
AI를 활용하는 전략도 있다. AI 데이터 거버넌스 및 프라이버시뿐 아니라, 이용자들이 실제 체감할 수 있는 AI 활용 방안도 고안 중이다.
홍 전무는 “AI를 활용해 스팸과 스미싱, 보이스피싱을 선제적으로 막는 것만큼, 고객이 피부로 와닿는 보안은 없다. 이 부분에서도 진행하고 있다”며 “이뿐 아니라, 고객에게 유플러스 개인정보보호 활동 등을 공유할 수 있는 개인정보 관련 포털을 만들려고 한다. 내부적으로는 전체 개인정보 처리 현황 등을 확인할 수 있다”고 말했다.
<다음 기사에서 계속>
◆홍관희 LG유플러스 CISO 주요 약력
▲2023년 6월 ~ 현재 : LG유플러스 사이버보안센터장 겸 CISO(최고정보보호책임자) / 전무
▲2020년 11월 ~ 2023년 5월 : 쿠팡 Sr. Director, CPO, Head of Security GRC / 전무
▲2014년 11월 ~ 2020년 11월 : 삼성카드 CISO, CPO, 신용정보관리보호인 / 상무
▲2012년 9월 ~ 2014년 11월 : (주)넥슨 / 정보보안실장
▲2008년 8월 ~ 2012년 9월 : SK텔레콤 네트워크 및 서비스 보안 / 매니저
▲2007년 4월 ~ 2008년 8월 : CISCO Systems / Senior Security Specialist
▲2003년 8월 ~ 2007년 4월 : 한국인터넷진흥원(KISA) / 선임연구원
▲2000년 5월 ~ 2003년 8월 : (주)이글루시큐리티 / 기술팀장
▲1997년 5월 ~ 2000년 4월 : Ford Motor (LD&I) / Technical Analyst & 2nd Level administrator
.png?type=nf190_130)
