인프라보안실 정보보안팀 정태현 팀장
헥토파이낸셜 정보보안팀의 정태현 팀장은 고객의 개인정보와 신용정보를 보호하기 위해 전방위적인 보안 관리 체계를 구축하고 운영하고 있습니다. 해킹과 정보 유출 위험을 방지하기 위한 물리적, 기술적 보안과 법적 요구사항에 맞춘 컴플라이언스 진단, 국내 정보보호 관리체계 인증(ISMS) 및 글로벌 보안 인증(ISO27001, PCI-DSS) 획득 및 유지를 통해 헥토파이낸셜의 보안 신뢰성을 높이는 역할을 담당하고 있습니다.
정보보안팀은 어떤 일을 하나요?
헥토파이낸셜 서비스를 이용하는 고객의 개인정보와 신용정보를 보호하는 정보보안 업무를 하고 있습니다. 나날이 증가하고 발전하고 있는 해킹 등을 통한 정보 유출 및 노출을 방지하기 위해 물리적, 관리적, 기술적 보안을 기획하고 운영하고 있습니다. 또한 컴플라이언스 진단을 통해 법적 요구사항을 충족시키고, 안전한 서비스임을 입증할 수 있도록 ISMS, ISO27001, PCI-DSS 인증 취득 및 유지를 위한 각종 정보보호 관리체계를 수립하고 운영하고 있습니다.
저희는 회사의 서비스와 업무를 ‘안되게’ 하기 위한 팀이 아닌, ‘잘되게’ 하기 위한 팀입니다. 보안의 목표는 ‘통제’가 아니라 ‘보호’입니다. 회사가 사업을 안전하게 영위할 수 있도록 관리하고 가이드하는 것이 우리의 역할입니다.
주로 어떤 일을 담당하나요?
정보보안팀장으로서 헥토파이낸셜의 서비스와 사업에 관련된 정보보안 위험을 총괄 관리하고 있습니다. 외부 해킹이나 내부 임직원에 의한 보안 사고를 예방하기 위해 정책 및 지침을 수립하고, 보안 장비 운영과 보안성 심의, 내부 보안 감사 등 다양한 업무를 통해 회사의 보안 수준을 높이고 있습니다.
정보보안 직무를 선택하게 된 계기는 무엇인가요?
대한민국에 개인정보보호법이 시행되기 전, 해외 진출을 위한 글로벌 보안 인층 취득 프로젝트에 참여하면서 처음 정보보안 직무에 발을 들이게 되었습니다. 당시에는 기업들이 지금처럼 정보보안이나 개인정보보호에 많은 인력과 투자를 하기 전이고, 정보보안 담당자라는 직무가 보편화되지 않았던 시기였습니다. 회사의 요청에 따라 직무를 변경하게 되었지만, 정보보안 업무를 수행하면서 보안 직무의 중요성과 회사 발전에 기여하고 있다는 보람과 성취감을 느꼈습니다. 이를 계기로 정보보안 직무에 계속해서 종사하고 있습니다.
이 직무를 수행할 때 가장 중요한 역량은 무엇인가요?
정보보안 직무는 세분화되고 있지만, 공통적으로 중요한 역량은 '의사소통 능력'과 '위험 분석 능력'이라고 생각합니다. 보안 담당자는 회사의 모든 임직원과 협업해야 하며, 원활한 의사소통이 되지 않으면 보안 요구사항을 적용하지 못할 수 있습니다. 또한 보안 사고를 사전에 인식하고 위험을 분석해 예측하는 능력도 필수적입니다. 다양한 정보를 수집하고 보안사고 시나리오를 고민하는 것이 이 능력을 키우는 데 도움이 됩니다.
정보보안 분야에서 경력을 쌓아오며 느낀 가장 큰 변화는 무엇이었나요?
2010년대 초반만 해도 대부분의 기업은 정보보안을 지금처럼 중요하게 생각하지 않았습니다. 당시에는 개인정보보호법도 없었고, 개인정보 유출사고에 대한 인식도 낮았습니다. 서비스가 제대로 작동하기만 하면 충분하다고 여겼죠. 그러나 해킹 사고가 증가하면서 법이 제정되었고, 기업들은 빠르게 보안 의식을 갖추기 시작했습니다. 현재는 거의 모든 기업이 보안 담당자를 채용하고 있으며, 이 직무의 중요성도 크게 확대되었습니다.
보안 담당자의 역할도 크게 진화했습니다. 과거에는 해킹이 상대적으로 쉬웠지만, 보안 인력이 증가하고 기술이 발전하면서 해킹이 더 어려워졌고, 해킹 시도 자체도 더 자주 발각되고 있습니다. 하지만 해커들의 기술도 동시에 고도화되고 있습니다. 최근에는 인공지능(AI)을 활용한 해킹 기술이 등장하면서, 단순히 보안 장비만 운영하는 것이 아니라 AI 기술을 이해하고 방어 대책을 마련하는 것이 필수적입니다.
헥토파이낸셜에서도 소비자들이 안전하면서도 편리하게 전자금융 거래를 할 수 있도록 다양한 보안 기술을 연구하고 있습니다. 앞으로도 계속해서 진화하는 보안 위협에 대응하기 위해 헥토파이낸셜의 보안 시스템을 지속적으로 강화해 나갈 계획입니다.
헥토파이낸셜 정보보안팀에서 일하며 가장 보람을 느꼈던 순간은 언제인가요?
정보보안 직무는 보안 관련 위험을 분석하고 개선하는 반복적인 과정을 거칩니다. 처음에는 사업부서에서 새로운 서비스를 기획하거나 시스템을 개발할 때 정보보안팀이 뒤늦게 관여하게 되어, 보안성 검토가 지연되면서 서비스 오픈이 늦어지는 경우가 많았습니다. 하지만, 헥토파이낸셜에 입사한 후 사전 보안성 심의 절차를 만들고 이를 전사적으로 배포하면서 큰 변화를 이끌어냈습니다.
이제는 서비스 기획 단계부터 정보보안팀과 협의가 이루어지고, 필요한 보안 요건이 사전에 반영되어 개발이 진행됩니다. 이 과정을 통해 임직원들의 보안 의식도 크게 향상되었고, 회사 전반에 정보보안 문화가 정착되었다고 느낄 때 가장 큰 보람을 느낍니다. 모든 부서가 보안을 중요한 요소로 인식하고 함께 협력하는 모습을 보면서 정보보안팀의 역할이 더욱 중요해졌음을 실감합니다.
어떤 프로젝트가 가장 기억에 남나요?
가장 기억에 남는 프로젝트는 첫 글로벌 보안 인증 취득입니다. 글로벌 인증이라 심사 기준이 전부 영어로 되어 있어 번역기와 부족한 영어 실력을 동원해 규격을 분석했고, 당시 국내에 심사원이 없어 일본인 심사원과의 의사소통도 어려웠습니다. 거의 전무했던 보안솔루션을 구축하면서 새로 생긴 보안정책을 회사에 적용하는데 직원들의 반발도 컸습니다. 여러모로 새롭게 도전해야 했던 프로젝트이지만, 이 과정을 통해 크게 성장할 수 있었습니다.
앞으로 도전하고 싶은 프로젝트나 목표가 있나요?
정보보안 관련 법률과 규정들은 이해하고 해석하기에 꽤 많은 지식을 요구하여, ‘이건 도대체 어떻게 하는걸까’ 라는 의문을 많이 가지게 되고, 문의할 곳을 늘 찾지만 기업마다 서비스와 현황이 다르기 때문에 검색만으로는 명쾌한 답을 얻기가 힘듭니다.
저는 헥토파이낸셜을 업계 최고 수준의 보안 능력을 가진 회사로 성장시키고 싶습니다. ‘헥토파이낸셜에서 한 것처럼 따라하면 된다’라는 말을 들을 정도로, 보안 업계에서 신뢰받고 모범이 되는 회사를 만드는 것이 제 목표입니다.