대규모 랜섬웨어 해킹을 겪은 서울보증보험이 보안 책임자 외부 영입에 나섰다. 정부가 징벌적 손해배상제 도입 등 규제 강화를 예고하며 보안 체계 재정비가 불가피해졌기 때문이다. 해킹 사고로 금융 서비스가 중단된 뒤 조직 내 보안 공백도 드러나면서 외부 전문가를 통해 보안 리스크를 최소화하겠다는 판단으로 풀이된다.

대규모 랜섬웨어 해킹을 겪은 서울보증보험이 보안 책임자 외부 영입에 나섰다 / 서울보증보험
대규모 랜섬웨어 해킹을 겪은 서울보증보험이 보안 책임자 외부 영입에 나섰다 / 서울보증보험

12일 서울보증에 따르면 회사는 지난 10일부터 최고정보보안책임자(CISO) 및 개인정보보호책임자(CPO)를 겸직하는 임원 채용 절차에 착수했다. 정보보호 및 개인정보보호 관련 역량과 기술적 전문성을 중점으로 검토해 채용한다는 계획이다. 

이번 채용은 지난 7월14일 글로벌 해킹 조직 ‘건라(Gunra)’ 계열의 랜섬웨어 공격으로 전산망이 사흘간 마비된 사건이 계기가 된 것으로 보인다. 

당시 서울보증 시스템이 마비되면서 핵심 금융 서비스가 모두 중단됐다. 보증금을 돌려받지 못해 이사 잔금을 치르지 못하는 사례를 비롯해 신용대출과 휴대폰 할부 개통까지 피해가 속출했다. 국가 기관 수준의 보안이 필요한 금융사가 해킹 당하면서 국민 불편이 극심했다. 

보안업계에서는 서울보증 랜섬웨어 사태가 구조적 한계에서 비롯됐다고 진단한다. 보안 사고는 기술·법률·규제 대응이 동시에 이뤄져야 하는데, 서울보증은 관련 기능이 흩어져 있어 체계가 단일 축으로 작동하지 못했다고 봐서다.

특히 서울보증은 CISO와 CPO 역할이 부서별로 나뉘어 운영돼 일관된 보안 대응 체계를 갖추기 어려웠다는 지적이 나온다. CISO는 정보보안 전략과 시스템을 총괄해 통상 기술 전문가가, CPO는 고객·직원 개인정보 처리와 법령 준수를 관리해야해 법률 분야 전문가가 맡는 것이 이상적이다. 대부분의 CISO는 CPO와 겸임하는 사례가 잦다.

그러나 서울보증은 계약 심사를 총괄하는 류창우 심사본부장이 CISO를 함께 맡고 있다. 정범순 CPO는 준법지원본부장을 겸직하고 있다. 정보보안 관련 기술적 판단과 개인정보보호 관련 결정을 각각 다른 조직이 나눠 맡고 있다. 각종 보안 이슈나 현장 대응에서 즉각적인 판단과 조치를 내리기 어려운 구조적 한계를 지닌다.

염흥열 순천향대 정보보안학과 명예교수는 “CISO의 경우 정보보호 조직 구성·역할 분담부터 침해사고 대응 체계 구축, 장애·해킹 발생 시 초기 대응 지휘 등 업무가 산재된 상황에서 계약심사까지 총괄하는 것은 부담일 것으로 생각된다”며 “계약심사와 관련된 업무와 보안 관련 업무가 어떤 연관이 있어 한 조직에서 담당했는지는 의문”이라고 말했다.

이번 서울보증의 외부인사 선임도 이같은 한계에 대응하기 위한 움직임으로 해석된다. CISO와 CPO를 겸직하는 전문 임원을 채용해 컨트롤타워를 일원화할 것으로 보인다. 향후 발생할 수 있는 보안 리스크를 최소화하겠다는 목적으로 읽힌다.

이 같은 흐름은 금융권 전반에서 강화되는 규제 기조와도 맞물린다는 분석이다. 당정은 최근 잇따른 해킹 사고를 계기로 기업의 보안 관리 책임을 대폭 강화하고 있다. 해킹사고 은폐 시 전체 매출액의 최대 3%까지 과징금을 부과하는 법안이 국회에 발의됐고, 개인정보보호위원회도 반복적으로 사고를 일으킨 기업에 징벌적 과징금을 매기는 방안을 논의 중이다. 보안 사고가 곧바로 기업 신뢰와 재무 부담으로 연결되는 만큼 금융사들의 대응 강도도 높아질 것으로 전망된다.

정보보호에 정통한 한 금융권 관계자는 “보안 시스템 구축, 개인정보 정책 관리, 현장 점검 등 핵심 업무가 부서별로 이원화돼 있으면 침해사고 발생 시 의사결정 속도가 늦어질 수 있다”며 “앞으로는 얼마나 빠르게 초기 대응에 나서느냐가 금융사 신뢰를 좌우할 것”이라고 말했다.

전대현 기자
jdh@chosunbiz.com

관련기사
키워드