열한 번째 보안 리더, 야놀자 김창오 CISO ② 또 다른 이름, ICT 국제표준 전문가

인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 야놀자는 전세계 멤버사(계열사)가 글로벌 스탠다드 수준의 보안 수준을 갖추도록 하는 ‘글로벌 보안 프로젝트’에 착수했다.<지난 기사 참조 [보안리더스] 야놀자 ‘10X 시큐리티’ 미션…글로벌 보안 프로젝트 추진>

야놀자 그룹 내에는 세계 각지에 다양한 멤버사들이 있다. 이들의 보안 수준을 높이기 위해선, 개별 조직 수준별로 필요한 기준을 마련해야 한다. 서로 다른 조직 규모와 사업 형태를 고려하지 않고 획일적인 정보보호 활동 기준을 요구해선 안 된다는 게 야놀자 김창오 최고정보보호책임자(CISO)의 생각이다. 이에 국내외 야놀자 멤버사가 각각 필요로 하는 기준과 환경을 고려해 필수 기반을 제공함으로써 글로벌 수준의 야놀자 정보보호활동 체계를 수립하겠다는 복안이다.

이것이 가능한 이유는 야놀자 김창오 CISO의 특별한 이력에서 비롯된다. 김창오 CISO는 야놀자 정보보호 수장 역할뿐 아니라 정보통신기술(ICT) 국제 표준 전문가로도 활발히 활동 중이다. 특히, 중소조직에 필요한 정보보활동을 지원하기 위해 국제표준을 연구‧개발하고 있다.

◆야놀자 김창오 CISO, 중소기업 위한 글로벌 표준 개정 주도

김 CISO는 <디지털데일리>와 보안리더스 인터뷰를 통해 “리소스(자원)가 부족해 하고 싶은 보안 활동도 제대로 할 수 없는 조직들이 많다. 이들을 도울 수 있는 방향으로 표준을 만들고자 한다”며 “정보보호 전문가로 사회에 기여할 수 있는 부분이라고 생각한다”고 말했다.

보안 투자 여력이 부족한 중소기업은 수많은 보안 규정을 모두 따르기에 어려움이 있다. 이에 김 CISO는 중소조직 정보보호 활동을 위해 적합한 수준의 기준과 절차를 표준으로 제안하고 있다. 중소기업이 시행착오를 줄이고 효율적으로 자원을 사용하도록 돕기 위해서다.

김 CISO는 국제전기통신연합 전기통신표준화 부문(ITU-T) 정보보호연구반(SG17)에서 활동하고 있는데, 그는 2017년도 퍼블리싱된 ‘X.1053(중소조직을 위한 정보보호 관리체계)’을 개발했고 현재 해당 표준의 개정 작업을 진행 중이다. 김 CISO는 일본, 브라질, 말레이시아, 미국, 캐나다 정보보호 전문가들을 이끌고 표준 개발 주도적 역할을 맡는 메인 에디터로 활약하고 있다.

김 CISO는 “표준 문서 구조를 최근 개정된 글로벌 국제 표준인 ISO27002와 동기화하고 중소조직이 효율적으로 정보보호 활동을 할 수 있는 방법에 대한 현실적인 가이드를 담아내고자 한다”며 “표준 연구반에서 해외 전문가들과 의견 조율이 필요한 만큼, 2년여간의 연구기간이 소요될 것”이라고 내다봤다.

국내 ‘정보보호관리체계(ISMS)’ 인증제도에서도 중소기업을 위한 간편 인증 제도를 제공하고 있다. 이처럼 보안 활동을 조금 더 현실적으로 수용할 수 있는 방향으로 연구개발을 하겠다는 설명이다.

이와 함께 이번 개정에서 김 CISO가 주목한 부분은 ‘자동화’다. 인공지능(AI) 기술이 확산되면서 보안에서도 자동화‧효율화 요구가 커졌다. 이에 사람이 직접 매뉴얼하게 진행하던 방식에서 자동화 방식으로의 변화한다면, 중소기업 정보보호 활동 효율성을 높이면서도 조직의 비즈니스 부담을 덜어줄 수 있다고 판단했다.

김 CISO는 “현재의 일반화된 정보보호 규정은 중소기업에서 지키기 어려운 사항들이 많아, 이들이 ‘어디까지 최소한 지켜야 하는가’에 대한 가이드가 없다. 쉽게 따라할 수 있고 무엇을 해야 하는지 등에 대한 기준을 제공하고자 한다”며 “활동의 적절성에 대한 공신력 있는 기준도 제공할 수 있다”고 기대했다.

이어 “표준은 단순히 문서가 아니라 업무 효율을 높일 수 있는 좋은 도구이기에, 공신력 있는 국제 표준을 잘 활용한다면 효율적인 정보보호 활동 효과와 함께 활동의 정당성 또한 확보할 수 있다”며 “기업의 책임있는 활동 범위에 대한 객관화 지표도 될 수 있을 것”이라고 덧붙였다.

◆‘국가대표’로 표준 개발 활동에 참여…“사명감 느낀다”

김 CISO가 처음부터 국제표준 관련 활동을 해 왔던 건 아니다. 김 CISO는 많은 기업의 보안 솔루션 운영을 지원하며, 다양한 서비스 환경과 기업문화를 접했고 게임사에서 기업 보안 담당자로 성장하기 시작했다. 이때 보안 솔루션 운영팀장을 맡으며 여러 보안 사고를 겪으면서, 그는 기술 보안에 한계를 깨달았다고 한다.

이와 관련 김 CISO는 “기술 보안을 시작한지 약 10년이 지나는 시점에 BS10012라는 개인정보 경영시스템을 세계최초로 인증을 획득한 프로젝트를 경험했다”며 “이 때 관리적 보안에 대한 눈을 뜨고 영역을 확장하게 됐다”고 회상했다.

이후 개인정보보호법이 제정되고 사회에서도 개인정보에 대한 관심이 높아지자, 김 CISO는 정보보호 및 개인정보보호를 위한 관리적 활동에 더 박차를 가하게 된다. 그러면서, 교육‧인식개선 활동과 함께 표준 개발에 대한 연구도 시작하게 됐다. 또한, 김 CISO는 글로벌 보안 솔루션 벤더에 이어 쿠팡에서 인증 감사 및 글로벌 보안 업무, 핀테크 보안 등을 거친 후 카카오모빌리티 내 보안 조직을 셋업하는 역할을 맡았다. 이와 동시에 자동차 보안에 대한 국제 표준을 개발했다.

기술보안에서 시작해 관리보안까지 아우르는 기업 보안 전문가로 성장하면서, 김 CISO는 그의 노하우를 사회에 공유하고 싶었다. 그리고, 그는 중소 조직으로 눈길을 돌렸다. 김 CISO는 정보보호 활동에서 ‘조직의 의지’가 무엇보다 중요하다고 꼽는다. 아무리 많은 법률과 규제가 있더라도 의지가 없다면 실질적인 성장을 기대하기 어렵다. 작은 규모의 기업이라면 보안에 대한 의지가 약한 곳들이 많을 수밖에 없다.

김 CISO는 “최근 정보보호 활동에 대한 규제와 벌칙이 법률에 의해 강화되고 있지만, 정보보호 활동은 누구의 요구에 의해서가 아닌 스스로 해야 하는 일”이라며 “조직이 정보보호 활동을 해야 하는 이유를 이해하고, 정보보호 활동을 더 잘 할 수 있는 동기를 부여하며, 효율적인 활동 방법을 공유하는 것이 중요하다”고 말했다.

또 “이것이 제가 국제 표준 개발 연구를 하고 중소조직을 위한 정보보호 관리체계(ITU-T X.1053)를 국제 표준으로 개발하는 이유”라며 “정보보호 활동에 대한 투자 여력이 부족한 조직에게 어떻게 하면 더 효율적으로 효과적인 정보보호 활동을 구현할 수 있을까에 대한 질문에 대한 가이드를 국제표준으로 개발해, 정보보호 사각지대에 있는 전 세계의 많은 조직과 기업들에게 조금이나마 도움을 줄 수 있기를 바란다”고 전했다.

현재 김 CISO는 야놀자 CISO라는 본업과 병행하며, 국제표준전문가로 X.1053 개정 작업을 실시하고 있다. 시차 때문에 새벽시간에 해외 전문가들과 표준안을 논의하는 등 하루 24시간이 부족한 생활을 하고 있다는 설명이다. 그럼에도 그가 국제 표준화 활동에 적극적으로 임하는 이유는, 국가대표라는 책임감과 사명감에 있다.

김 CISO는 “국제 표준 전문가는 단순히 개인의 자격이 아닌 국가대표로서 국제회의에 참여해 국가의 이름으로 표준 개발 활동에 참여한다”며 “국내뿐 아니라 해외에서도 효율적인 정보보호 활동에 대한 요구사항이 많은 만큼, 국내 산업 실정을 고려하면서도 글로벌 시장에서 통용될 수 있는 국제 표준을 만들어서 배포함으로써 기업의 글로벌 비즈니스 활동을 지원할 수 있을 것”이라고 강조했다.

한편, 김 CISO는 이같은 공로를 인정받아 ‘2024 디지털정부 발전 유공(정보보호) 정부 포상 장관 표창’을 수상했다.

◆김창오 야놀자 CISO 주요 약력

▲ 現 ㈜ 야놀자 CISO/CPO (정보보안유닛, Head of Information Security)

▲ 現 ICT 국제 표준전문가

▲ 現 ISO TC307 전문위원 / WG5 그룹장

▲ 現 ITU-T SG17 Q4 Associate Rapporteur

▲ 現 ITU-T SG17 Q3/Q4/Q7/Q13/Q14 Editor

▲ 現 ICT표준화 전략맵 전담반 위원

▲ 前 고려대학교 정보보호대학원 사이버보안학과 겸임교수

▲ 前 카카오모빌리티 CISO/CPO

▲ 前 (주)쿠팡 정보보안실장, 인증감사팀장, 핀테크사업부 보안/인프라/플랫폼팀장

▲ 前 블루코트 컨설팅/기술이사

▲ 前 ㈜ 엔씨소프트 정보보안실 대팀장, 운영보안/보안기획팀장, 정책관리팀장/부장

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지