열입곱 번째 보안리더, 전인복 롯데렌탈 CISO ② 롯데렌탈 보안 전략
인터넷 인프라가 민간영역뿐 아니라 공공
·
기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다.
 최근에는 인공지능(AI)
·
클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다.
 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다.
 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다.
 IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다.
 <편집자 주>
롯데렌탈 전인복 CISO. [ⓒ 롯데렌탈]
[디지털데일리 최민지기자] “올해 롯데렌탈 핵심 보안 전략은 보유 중인 개인정보 90% 이상을 파기하는 것입니다.
”
전인복 롯데렌탈 최고정보보호책임자(CISO)는 최근 <디지털데일리>와 보안리더스 인터뷰를 통해 올해 핵심 롯데렌탈 보안 전략을 밝혔다.

기업·기관 대상 사이버공격이 이어지면서, 관련 정보 유출 사례도 끊이지 않고 있다.
 보안사고와 해킹에 있어 ‘100% 안전’을 보장할 수 없는 데다, 사이버공격 수법까지 진화하고 있다.
 이에 정보 유출을 막기 위해선, 고객정보 수집을 최소화하고 기업 내 개인정보 보유량을 줄이자는 목소리가 커지고 있다.

◆“보안사고 불안감, 보관하는 개인정보 수에 비례”
전인복 CISO는 “CISO·CPO 등 보안 최전선에 있는 이들은 항상 보안사고에 대한 불안감을 안고 살아가고 있다”며 “근본적으로 불안한 이유는 결국 개인정보 유출 때문인데, 이는 보관하고 있는 개인정보에 비례해 작용한다고 생각한다”고 말했다.

기업 내 보안담당자들은 보안사고를 막기 위한 업무를 최우선으로 삼고 있지만, 현실적으로 모든 공격을 막을 수는 없다.
 피해를 최소화하려면, 불필요하게 보유한 개인정보부터 줄여야 한다는 설명이다.

전 CISO는 “보안사고에 언제나 안전한 회사는 없다”며 “회사 리스크를 줄이기 위해 서버와 PC에 보유 중인 불필요한 개인정보를 파기하고 있고, 기존 보유량 대비 90% 이상 파기를 진행 중”이라고 강조했다.

롯데렌탈은 업무에 필요한 최소한의 정보를 제외한 대부분 개인정보를 파기하기 위해, 개인정보를 PC에 보관하지 않는 일부터 시작했다.
 인수인계 과정에서 본인도 모르게 고객정보 파일을 갖고 있거나, 삭제하는 걸 잊거나 필요할까봐 남겨 놓은 경우 등 임직원 PC에 불필요한 고객정보를 보유한 사례는 생각 이상 많다.

전 CISO는 “가상 업무망 환경을 이용하면, 필요한 파일을 볼 수 있지만 PC에 저장되지 않는다.
 해커가 임직원 PC 계정을 탈취하더라도 개인정보를 획득할 수 없다”며 “문서 중앙화도 검토 중”이라고 부연했다.

전인복 롯데렌탈 CISO가 <디지털데일리>와 보안리더스 인터뷰를 하고 있는 모습.
◆이미지 속에 숨은 고객정보도 찾아 없앤다
롯데렌탈은 개인정보 최소화 정책을 지난해부터 시작해, 올해 본격화했다.
 이 과정에서 임직원과 보안 담당자들의 어려움은 있었지만, 꼭 필요한 정책이기에 물러설 수 없었다.

전 CISO는 “개인정보를 탐지해 개별적으로 임직원 한 명 한 명에게 해당 파일을 지워달라고 요청하는 일을 매주 반복했다”며 “개인정보 탐지 때 솔루션 오탐으로 개인정보가 아닌 정보를 개인정보로 탐지해 직원들 불만도 있었다.
 오탐 비율을 낮추도록 고도화화하며, 직원들이 계속 업무를 하면서 보완할 수 있는 방안을 찾고자 했다”고 설명했다.

이와 관련 롯데렌탈은 이미지 내 개인정보 검색 솔루션 도입을 계획 중이다.
 개인정보 최소화하는 과정에서 서버 또는 PC에 저장된 이미지 형태 개인정보 파기를 위해서다.
 사진이나 PDF 파일 등에 포함된 개인정보를 찾아 마스킹 처리까지 자동화할 예정이다.

사실 많은 보안사고는 외부 해킹뿐 아니라 내부 임직원에 의해서도 상당수 발생하고 있다.
 의도적인 경우도 있지만 본인도 모르게 한 실수가 회사에 치명적인 보안사고로 이어지기도 한다.
 롯데렌탈은 이 부분을 최소화하고자 권한을 줄이고 고객정보 수집·처리 자동화 시스템을 꾀했다.

이와 함께 롯데렌탈은 알려진 취약점에 신속하게 대응하기 위해 IT 시스템 내 취약점을 자동 점검하고 조치하는 프로세스 도입을 검토하고 있다.
 전 CISO는 인공지능(AI) 기반 머신러닝 솔루션을 통한 이상행위 탐지시스템(NDR), 엔드포인트탐지·대응(EDR), 공격표면관리(ASM) 등 보안 시스템 고도화에 집중해 온 만큼 향후 ‘통합 보안운영센터(SOC)’ 청사진도 그리고 있다.

이날 전 CISO는 “현재 보안시스템 정책을 수시로 점검하고 최적화해 약한 연결고리를 최소화해 운영해야 한다”며 “개인정보 처리시스템이 수시로 추가되는 현 상황에서는 수집·저장·이용·파기 프로세스, 즉 생명주기 관리가 누락되지 않게 잘 적용돼 있는지 꾸준히 점검해 누락하지 않도록 하는 것이 무엇보다 중요하다”고 짚었다.

또 “많은 보안 전문가들이 한 회사의 보안수준은 그 회사의 제일 약한 연결고리의 보안수준으로 평가된다고 얘기한다”며 “보안은 무엇보다 기본에 충실해야 한다.
 과거와 현재를 탄탄하게 다지지 않고 만들어지는 미래 모습은 모래성과 같다”고 덧붙였다.

한편, 전 CISO는 2014년 롯데렌탈 보안담당자로 입사해 2022년 롯데렌탈 첫 CISO 자리에 오른 인물이다.
 지난해에는 올해의 CISO(유통부문) 대상인 과학기술정보통신부 장관상을 수상하기도 했다.

<지난 기사 참조 [보안리더스] 롯데렌탈 1호 CISO가 던진 돌멩이, “보안 모르면서 보안부서를 이끄는가?”>
◆전인복 롯데렌탈 CISO 주요 약력
▲2024년 올해의 CISO(유통부문) 대상(과학기술정보통신부 장관)
▲2022년~ 현재 : 롯데렌탈 CISO/CPO
▲2014년 : 롯데렌탈 입사(보안담당자)
▲2013년 5월 ~ 2014년 2월 : 교원구문(보안담당자)
▲2012년 4월 ~ 2013년 4월 : 인크루트(보안담당자)
▲2010년 8월 ~ 2012년 4월 : 하나금융티아이(보안담당자)
▲2010년 2월 ~ 2010년 8월 : 윈스
▲2008년 10월 ~ 2010년 2월 : 잉카인터넷
▲2005년 9월 ~ 2008년 9월 : 에이텍정보기술