“정보보호는 기술이 아니라, 신뢰를 설계하는 일이다!”

보안 사고와 규제 사이에서 흔들리는 지금, 조직은 무엇을 기준으로 판단해야 하는가
법과 인증을 넘어, 사회가 기대하는 ‘보안의 기준’을 다시 묻다

이 책은 단순한 기술 지침서가 아니다. 2000년대 초반 '신상 털기'의 위협부터 2025년 'AI 무결성'과 '망분리 완화' 논란까지, 대한민국 정보보호의 최전선을 지켜온 박나룡 소장의 15년 기록이자 미래를 향한 경고장이다. 저자는 반복되는 보안 사고의 원인을 기술의 부재가 아닌 '사람'과 '신뢰'의 붕괴에서 찾으며, 정보보호가 단순한 IT 업무를 넘어 국가 안보이자 기업의 생존 전략임을 역설한다. 수많은 인증과 법규라는 '나침반' 뒤에 숨겨진 현장의 민낯을 가감 없이 드러내고, 디지털 전환의 가속 속에서 우리가 반드시 지켜야 할 '보이지 않는 선'이 무엇인지 구체적인 해법을 제시한다. 7장에 걸친 방대한 연대기는 보안 담당자에게는 실무적 나침반을, 경영진에게는 신뢰 경영의 핵심 인사이트를 선사할 것이다.

Ⅰ. [기록] 사고와 규제로 점철된 보안 연대기

과거로부터 추적한 신뢰의 기원
2011년 ‘신상 털기’부터 ‘1.25 인터넷 대란’까지, 대한민국 보안의 뼈아픈 초기 기록을 가감 없이 담았다. 파편화된 법규가 만들어지던 시기의 고뇌와 시행착오를 되짚으며, 정보보호가 왜 단순한 기술 도입이 아닌 사회적 합의의 영역이어야 하는지를 증명한다. 무너졌던 과거의 기록은 오늘날 우리가 마주한 위협의 뿌리를 선명하게 드러낸다.

Ⅱ. [진단] 인증과 제도는 왜 무적의 방패가 되지 못했나

실행되지 않는 보안은 착시일 뿐이다
ISMS-P 인증심사 현장과 기업 보안 총괄로서 겪은 실무 경험을 바탕으로, 촘촘한 인증 마크 뒤에 숨겨진 내부 통제의 허점을 날카롭게 해부한다. 보안을 단순히 ‘법 준수’나 ‘매몰 비용’으로 치부하는 안일함이 어떻게 대형 사고의 불씨가 되는지 진단한다. 진정한 보안 수준은 기술적 솔루션이 아니라 사람에 대한 투자와 경영진의 의지에서 결정된다는 사실을 역설한다.

Ⅲ. [대안] AI와 초연결 시대, 무너지는 경계와 생존 전략

기술의 속도를 앞지르는 신뢰의 가치
2025년 이후의 시점에서 바라본 AI 무결성, 자율주행 자동차 보안, 국가적 재난이 된 가상의 해킹 시나리오를 통해 우리가 마주할 새로운 위협을 예견한다. 정보보호가 기업의 업무를 넘어 국가 안보(National Security)의 핵심 축으로 부상한 시대, 데이터 기반의 신뢰 사회를 지속하기 위해 지금 당장 바로잡아야 할 ‘보이지 않는 선’이 무엇인지 최종적인 해법을 제시한다.

15년의 스냅샷, 정보보호 전문가가 기록한 신뢰의 어제와 오늘

AI 등 신기술의 급격한 발달과 함께 지능화된 보안 위협이 증대되는 시점에, 우리 보안의 현 수준을 고찰해 볼 수 있는 이 책의 발간은 매우 뜻깊고 시의적절합니다.

저자는 오랜 기간 현장의 실무자로서 기초를 다졌을 뿐만 아니라, CISO와 CPO로서 조직의 보안체계를 책임 있게 이끌어온 전문가입니다. 여기에 다양한 회사의 보안 실태를 점검해 온 ISMS-P 인증심사원으로서의 균형 잡힌 시각까지 더해져, 이 책에는 정보보호 및 개인정보 보호를 위해 무엇을 어떻게 해야 하는지에 대한 실효성 있는 조언들이 담겨 있습니다.

수록된 76편의 기고문은 2011년부터 현재까지 대한민국 정보보호 역사를 기록한 소중한 스냅샷입니다.

특히, “2장 인증과 제도는 신뢰의 증빙인가, 착시인가”에서는 ISMS-P 제도에 대한 이해를 바탕으로 다양한 시각을 제시하면서, 심사원들과 심사원을 준비하는 전문가, 관련 제도를 운영하는 사람들이 참고할 만한 좋은 내용으로 보입니다.

또한, 과거의 정책적 변화와 사고 대응의 기록을 현재의 활동에 비추어 봄으로써, 실무자에게는 시행착오를 넘어설 수 있는 통찰을, 경영진에게는 조직의 신뢰를 구축하는 전략적 혜안을 제공합니다.

급변하는 기술 환경 속에서 정보보호의 본질을 놓치지 않고 내실 있는 성과를 내고자 하는 모든 이들에게 이 책이 최고의 지침서가 되어주리라 확신하며 기쁜 마음으로 일독을 권합니다. - 고규만(금융보안원 금융보안교육 센터장)

오늘날 AI 등 정보기술의 발전과 함께 정보보호와 개인정보보호의 중요성은 그 어느 때보다 강조되고 있습니다. 이러한 시대적 흐름 속에서 『신뢰사회의 적들』은 단순한 이론서가 아니라, 지난 15년간 축적된 통찰과 현장 경험이 녹아 있는 매우 의미 있는 책으로 생각됩니다.

이 책은 그러한 시간의 축적을 바탕으로, 정보보호 및 개인정보보호 제도가 어떻게 변화해 왔는지, 그리고 그 변화에 따라 정보보호를 바라보는 관점이 어떻게 달라졌는지를 입체적으로 보여줍니다.

독자는 이 책을 통해 각 시대의 정책적 배경과 제도적 변화가 단순한 규정의 변화에 그치지 않고, 현재의 정보보호 환경에 어떠한 영향을 미쳤는지를 자연스럽게 이해할 수 있습니다. 이는 급변하는 디지털 환경 속에서 과거를 통해 현재를 읽고, 미래를 준비하는 데 있어 중요한 통찰을 제공할 것입니다.

또한 저자가 오랜 기간 기업 현장에서 정보보호 담당자 및 책임자로 활동하며 직접 체득한 실무 경험과, ISMS-P, ISO 27001, ISO 27701 등 다양한 인증 심사원으로서의 전문성이 더해져, 이론과 실무를 균형 있게 아우르고 있다는 점이 이 책의 큰 강점으로 사료됩니다. 특히 우리가 쉽게 간과하기 쉬운 핵심적인 포인트들을 짚어내는 통찰력은 깊은 인상을 남깁니다.

무엇보다도 15년이라는 긴 시간 동안 관련 분야에 대한 깊이 있는 컬럼을 꾸준히 이어왔다는 점은 그 자체로 존경과 큰 박수를 받을 만합니다. 이 책은 정보보호 제도의 흐름과 본질을 이해하고자 하는 이들에게 훌륭한 길잡이가 될 뿐만 아니라, 빠르게 변화하는 정보기술 및 규제 환경 속에서 각자가 자신만의 관점과 인사이트를 정립하는 데 실질적인 도움을 주는 책이라 할 수 있겠습니다.

정보보호와 개인정보보호 분야에 관심 있는 실무자, 정책 담당자, 연구자 모두에게 이 책을 적극 추천합니다. - 김경하(제이앤시큐리티 대표)

박나룡

“현장에서 얻은 인사이트로 보안 발전에 기여할 것”
“로그 관리와 재해·재난 대응책 마련 부족해… 충분한 보안 인력·예산은 필수”
-《데일리시큐》 길민권 기자 2024.04.01

2000년 초 안랩코코넛을 시작으로 포털 다음커뮤니케이션(DAUM), 쿠팡, ISMS-P 인증심사원으로 20년 이상을 정보보호 업무에 몸담아 온 박나룡 보안전략연구소 소장을 최근 만나 인터뷰를 진행했다.
박 소장은 안랩코코넛에서 정보보호 엔지니어를 시작으로 당시 최대 포털사였던 다음커뮤니케이션 보안 담당자로 자리를 옮겼다. 당시 다음은 현재 네이버보다 규모가 컸고 정보보호에도 많은 투자를 했다.

포털 다음과 이커머스 쿠팡에서 보안 조직 세팅과 운영
그는 ‘다음’에서 보안 정책부터 보안 조직 세팅 등 정보보호 업무를 배우고 이해하는 데 많은 도움을 받았던 시기였다고 회상한다. 특히 2007년 이후 온라인 기업들의 개인정보 보호 이슈가 커지면서 개인정보 보호 부서 기본 세팅을 담당했으며 보안 관련 대외 협력 부서에서도 일한 바 있다.

이후 보안전략연구소를 개설하고 ISMS, PIPL, PIMS 등 인증심사원으로 2년간 여러 기업과 기관의 보안 컨설팅 업무를 수행했고, 2012년부터 국내 최대 이커머스 선두 기업으로 성장한 쿠팡으로 자리를 옮겨 정보보안책임자로 일했다.

쿠팡 초기에 보안 조직 세팅, 보안 정책 수립 등 CEO 직속으로 쿠팡의 기본적인 정보보안틀을 구축하는 데 매진했다.
그는 당시를 회상하며 “쿠팡의 초기 보안 토대를 만들면서 4년간 글로벌 스타일의 업무 프로세스를 배울 수 있었다”며 “정보보호를 단순히 기술적 접근으로만 바라보던 시각에서 벗어나 비즈니스와 직접적으로 연결된 문제라는 것을 인식하게 됐다. 온라인 기반 기업은 보안 리스크를 해결하지 못하면 모래 위에 성을 짓는 것과 같기 때문이다. 경영진도 이를 인식하고 보안 부서에 힘을 실어 주었고 전사적으로 보안 강화에 힘을 쏟았던 시기였다”고 말했다.

이어 “보안 조직을 세팅하는 일은 쉽지 않다. 커뮤니케이션이 대부분을 차지한다. 경영진부터 관련 부서를 다니면서 보안 체계와 솔루션들이 왜 필요하고 비즈니스에 어떤 영향을 미치는지 리스크 중요도별로 설명해줘야 한다. 이때 기술적으로만 접근하면 이해를 못 하기 때문에 비유를 들어서 쉽고 정확하게 메시지를 전달해줘야 했다. 보안에 투자를 하지 않으면 어떤 리스크가 발생하고 회사 비즈니스에 어떤 문제를 발생시킬 수 있는지 경영자를 정확히 이해시켜야 보안 투자를 받아낼 수 있기 때문이다. 그 부분이 정보보호 담당자로서 가장 필요한 역량이 아닐까 생각한다”고 강조했다.

그는 회사의 주요 자산들을 명확하게 파악하고 자산별로 어떤 보안 조치를 취해야 하는지를 방화벽 정책 관리, 접근 통제 등 기술적으로 접근하는 것이 아니라 각 요소별로 리스크를 제거하지 않으면 얼마만큼의 비즈니스적 손실이 발생할 수 있는지를 따져 가장 효율적인 보안 방안을 제시해야 했다고 전한다.

인증심사원으로 다양한 현장에서 정보보호를 바라보다
현재 그는 정보보호 심사와 인증 평가 전문가로 활동하고 있다. 한 기업에 속해 보안을 바라봤던 시각에서 벗어나 보다 많은 조직의 정보보호 현실을 직접 보면서 더 넓고 깊이 있는 정보보호 전문가로 성장하고 있다.
그는 “한 조직에 몸담고 정보보호 업무를 하는 것도 의미 있는 일이지만 지금처럼 여러 기업과 기관을 다니면서 현장에서 직접 보고 문제점을 찾아 주고 개선돼 가는 모습을 보면서 심사원으로서 자부심을 느낀다”고 전했다.
그는 1년의 거의 모든 기간을 심사 및 인증 평가 업무를 해오고 있으며, 주로 ISO 27001, ISO 27701, ISMS-P, 자동차 사이버보안, 인공지능 보안 시스템 등 다양한 분야의 인증 평가 업무를 수행하고 있다.

박 소장은 “심사를 하다 보면 안타까운 점들이 있다”며 “심사를 규제로만 받아들이고 이걸 왜 하는지 모르겠다고 귀찮아하는 담당자들이 더러 있다. 인증은 자율 규제 관점에서 우리 조직의 보안이 인증에서 요구하는 수준을 충족시키고 있는지 확인하고 개선해 나가는 기회라고 생각해야 한다. 인증이 국내 정보보호 수준을 높이고 정보보호 인력에게 꽤 긍정적 영향을 주고 있다고 생각한다. 보다 긍정적이고 적극적인 마인드로 인증심사에 임한다면 보안 강화에 많은 도움이 될 것이다. 특히 보안 담당자 입장에서도 적극적으로 인증심사에 임해야 개인의 발전에도 도움이 될 것”이라고 전했다.

또 “보안 담당자는 매일 하는 업무라 놓치는 부분이 있을 수 있다. 이런 부분을 정보보호 전문가인 심사원들이 체크해 주고 개선할 수 있는 기회를 만들어 주는 것이다. 인증심사 한 번으로 모든 사이버 침해 사고를 예방할 수 있다고 생각하기보다는 하나의 문제점이라도 찾아서 개선해 나가는 것을 목표로 해야 한다. 이를 기반으로 담당자 스스로 또 다른 문제가 있는지 찾아볼 수 있는 계기가 된다. 그런 식으로 인증 효과를 극대화시켜 나가야 한다”고 조언했다.

로그 관리와 재해·재난 대응책 마련 부족해… 충분한 인력과 예산은 필수
이어 최근 보안 관련해서 조직이 어려워하는 부분이 무엇인지 물었다.
그는 “로그 관리를 가장 어려워한다. 관리해야 할 대상이 너무 많고 주기적으로 해야 되는데 그걸 감당할 인력도 부족하고 어느 정도가 효과적인지 그 기준도 모호하기 때문이다. 그리고 재해·재난 관점에서 보면 실질적으로 재해와 재난에 대한 대책을 마련해 놓은 곳이 많지 않다. 문서상으로는 준비되어 있지만 실제 재해·재난 상황이 발생했을 때 어떻게 할지 준비해 놓은 기업들은 많지 않다는 것이다. 비용도 많이 들고 보험적인 성격이 강하다 보니 투자를 꺼리고 있다”며 “지난 행정망 마비 사태를 계기로 국가·공공기관 및 기업들은 정말 중요하다고 판단한 필수적인 서비스에 대해서는 실제 재해·재난 상황에 적절하게 대응할 수 있도록 충분한 시나리오와 대응책을 매뉴얼화해서 마련해 놔야 한다”고 강조했다.

박 소장은 로그 관리와 재해·재난 대비 등 정보보호 강화를 위해서는 적절한 수준의 전문 인력과 예산이 필수적이라고 말한다. 성공적인 비즈니스를 지속하기 위해서는 보안이 기본적이고 필수적이라는 것을 경영진이 명확히 인식해야 한다. 보안 인력과 예산 확보가 가장 중요하다. 그래야 지속적인 대응 체계를 유지하고 같은 문제가 반복되지 않도록 개선해 나갈 수 있다. 인력과 예산 없이 보안 수준을 높인다는 것은 말이 안 된다고 지적했다.

이어 그는 “보안 수준이 높은 기업들 대부분이 충분한 전문 인력과 예산이 확보된 조직이다. 이를 통해 상시적으로 취약점 점검과 모의 해킹을 실시해 취약한 부분을 찾아내고 패치해 나가고 리스크를 줄여 나간다”고 말했다.

다양한 보안 현장에서 얻은 인사이트로 정보보호 발전에 이바지
한편 인증심사원들도 오픈 마인드가 필요하다고 그는 말한다. 담당자의 의견을 먼저 듣고 본인의 전문 지식으로 조언을 해야 한다. 그렇지 않을 경우 강압적으로 들릴 수 있기 때문이다. 최근 국내 심사위원들의 수준이 높다. 다들 현업에서 보안 업무를 담당하거나 오랜 기간 몸담아 왔던 심사원들이 많기 때문이다.
이어 그는 정보보호 산업 발전에 대해 “AI가 발전하면서 부작용으로 딥페이크, 가짜 뉴스 등 사회 신뢰를 무너뜨리는 문제들이 발생하고 있다. 이때 보안 기업들이 이런 IT의 문제점을 해결하기 위한 논의와 제품 개발에 노력해야 한다. 그래야 새로운 보안 분야들이 생겨나고 산업도 확장될 수 있다고 생각한다. 사회 요구사항 수준도 변화하는 만큼 보안 업계에서도 발 빠르게 대응해 나간다면 정보보호 산업의 전체적인 시장 규모도 커지지 않을까”라고 전했다.
끝으로 향후 활동에 대해 그는 “앞으로도 인증심사 현장에서 계속 활동하고 싶다. 가장 재미있고 정보보호를 다양한 분야별로 넓은 시각에서 이해할 수 있는 가장 확실한 방법이라고 생각한다. 한 기업에만 몸담고 있다면 경험해 볼 수 없는 인사이트를 얻고 있다”며 “조직은 인증심사 기준만 통과하려고 노력할 것이 아니라 그 이상을 하려고 해야 한다”고 전했다.

박나룡 소장은 앞으로도 인증심사원으로 활동하면서 현장에서 얻은 다양한 경험을 토대로 국내 정보보호 수준 향상에 기여할 수 있는 매개체가 될 것이라고 말했다.
그는 《데일리시큐》에 정보보호 관련 고정 칼럼니스트로도 활발히 활동하고 있다.