SKT 영입 이종현 CISO는 누구?···스타트업부터 삼성·아마존 등 경험
해킹사태 수습에 나선 SK텔레콤(SKT)이 보안 전문가 이종현 박사를 최고정보보호책임자(CISO)로 영입하는 등 정보보안 체계 개편에 나섰다. 수습책을 발표한 SKT는 4일 이종현 신임 CISO에 대해 "미국 아마존 보안 엔지니어링 디렉터와 삼성전자 보안담당, 캐나다 브리티시컬럼비아 주정부 CISO 등 국내외 보안 현장을 거친 보안 전문가"라고 밝혔다. 이 CISO 영입과 함께 SKT는 기존 보안 조직을 대표 직속으로 높이고 IT와 네트워크 보안 기능 을 통합 관리할 예정이다. 또 보안 전문가를 이사회에 포함하고 정기 안건화하는 방안도 추진한다. 회사 보안 상태를 평가하고 개선하는 레드팀(Red Team)도 신설하고, 버그 바운티(외부 전문가가 보안 취약점 발견하는 행사) 프로그램도 진행할 예정이다. SKT는 이 CISO가 ▲미국 아마존 시큐리티 엔지니어링 디렉터(Director of Security Engineering) ▲삼성전자 보안담당 임원 ▲캐나다 브리티시콜롬비아주 CISO(Province of British Columbia) ▲파일로세이프(FILOSAFE Corp) ▲소프트포럼(SOFTFORUM) ▲한국전자통신연구원(ETRI) 등을 거쳤다고 설명했다. 본인 링크드인에서 이 CISO는 "결과 중심적이고 신뢰할 수 있는 정보 및 제품 보안 전문가"라면서 "공공 및 민간 부문에서 스타트업부터 산업 선도 기업까지 다양한 경험을 쌓았다"고 소개했다. 학력은 영국 케임브리지 대학교에서 컴퓨터과학 중 보안에 특화한 박사 학위를 취득했고, 수학 전공으로 석사와 학사 학위를 받았다. SKT에 오기 직전에는 미국 아마존에서 디바이스 기기의 안전한 사용을 총괄하는 헤드로 일했다. 그가 관할한 아마존 디바이스는 ▲음성인식 SW 알렉사(Alexa)를 탑재한 가정용 AI기기 '에코(Echo)' ▲전자잉크(E Ink) 기반 디지털 전자책(e-book) 전용 리더기 '킨들(Kindle)' ▲파이어TV(Fire TV, 스트리밍 미디어 디바이스 및 플랫폼으로 TV에서 넷플릭스, 유튜브, 디즈니+, 프라임 비디오, 웨이브, 티빙 같은 OTT 서비스를 볼 수 있게 해주는 장치이자 소프트웨어 플랫폼 ▲태블릿 ▲도어벨 링(Ring) ▲'블링크' 카메라 ▲로라(LoRa) 방식 '사이드워크' 네트워크 ▲드론 ▲소비자로봇 아스트로(Astro) ▲저궤도 위성 장비 '쿠퍼(Kuiper)' 등 다양하다. 아마존 전에는 삼성전자 모바일 부분에서 선임 부사장 겸 책임자로 근무했다. 삼성전자 스마트폰과 태블릿, 웨어러블 기기, IoT 기기 및 관련 서비스의 전체 보안 및 개인정보 보호를 담당했다. 또 네트워크 보안 부문 선임 부사장으로 일하며 5G 및 LTE 보안 요구사항을 식별하고 삼성 네트워크 장비의 보안 기능을 구현하는데도 기여했다. 삼성전자 입사 전에는 캐나다 브리티시 컬럼비아(BC) 주 정부에서 법무부 정보 보안 담당 디렉터로 일하며 정보 보안 프로그램을 개발 및 구현했다. 특히 ISO 27002 기반 주정부 정보 보안 정책과 주 정부 전체 정보 보안 프로그램도 만들었다. ISO 27002(공식 명칭 ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection-Information security controls)는 정보보호 통제를 설계·구현·운영하기 위한 베스트 프랙티스(모범 사례) 제공 문서를 말한다. 조직이 정보자산을 안전하게 보호할 수 있도록 하는 데 필요한 보안 통제를 명기했다. 이 신임 CISO는 컬럼비아 주정부에 합류하기 전에는 두 개의 정보 보안 기술 스타트업도 창업했는데, 이 중 한 곳은 상장됐다. SKT 공식 발표에 따르면 이 CISO는 파일로세이프(FILOSAFE)와 소포트포럼이라는 스타트업에서 근무한 적이 있는데, 이 CISO가 링크드인에서 언급한 두 스타트업은 이들 회사를 말하는 것으로 보인다. 파일로세이프라는 회사는 지금은 없고, 소포트포럼은 현재 한컴위드로 바뀌었는데, 1995년 미래산업 산하 보안연구소로 출발해 사업을 시작한 곳으로 국내 최초로 128비트 암호 솔루션과 인터넷 뱅킹 시스템을 개발했다. 1999년 소프트포럼으로 정식 출범하는 동시에 국내 최초로 국민은행과 조흥은행에 PKI기반의 인터넷 뱅킹 서비스를 시작했다. 이 CISO는 창업전에는 1991년부터 1996년까지 퀄컴과 협력해 세계 최초의 상용 CDMA 디지털 이동통신 네트워크 개발에도 기여했다. 여러 보안 전문가 자격증도 획득, CISSP를 비롯해 CISM, CRISC, CDPPSE, ITIL, SCF 등을 갖고 있다. CISSP(Certified Information systems Security Professional)는 정보보안 전문가로서의 종합적인 역량을 검증하는 글로벌 자격증이다. 보안 정책 수립 및 위험관리, 아키텍처 설계, 컴플라이언스 등을 담당하는 보안전문가들이 취득한다. CISM(Certified Information Security Manager)은 정보보안 관리 및 거버넌스 능력을 검증하는 자격증으로 역시 보안 관리자와 정책 책임자, 보안 운영 리더들이 주로 받는다. CRISC(Certified in Risk and Information systems Control)는 IT 리스크 식별, 분석, 관리 능력 을 검증하는 자격증으로 리스크 매니저, 컨설턴트, 감사인 등이 획득하며, CDPSE(Certified Data Privacy Solutions Engineer)는 개인정보 보호 설계와 구현, 운영 능력을 검증하는 것으로 프라이버시 엔지니어와 데이터 보호 책임자(DPO), 개인정보 처리자가 취득한다. 이외에 ITIL (Information Technology Infrastructure Library)은 IT 서비스 관리(ITSM) 프레임워크에 기반한 관리 능력을 검증하는 것으로, IT 운영자와 서비스 관리자 헬프데스크 관련 실무자들이 주로 획득하며, SCF(Secure Controls FRAMEwork)는 통합 보안·프라이버시·컴플라이언스 프레임워크와 관련있는 자격증으로, 보안 설계자와 GRC 전문가들이 취득한다. 이들 보안자격증과 함께 이 CISO는 캐나다 BC주에서 인증한 소프트웨어 엔지니어링 전문 엔지니어로 세계적으로 권위있는 프로젝트관리 자격증인 PMP도 보유하고 있다.
