[보안리더] "보안하면 김완집···서울시서 숱한 최초 타이틀"
그는 기록의 사나이다. 서울시에서 30여년간 일하며 수많은 보안 분야 '최초' 타이틀을 달았다. 2006년 국내 공공기관 첫 컴퓨터 침해 사고 대응(CERT, Computer Emergency Response Team) 팀장을 맡았고, 2008년에는 사이버보안팀장으로 있으며 'u-시큐리티(Security) 2010'마스터플랜을 수립해 공공기관 최초의 체계적인 정보보호 기반을 마련했다. 서울시가 세계 최초로 자가망 기반 무료 와이파이(Wi-Fi)를 서비스하는데도 주도적인 역할을 했다. 이 뿐 아니다. 전국 최초 정보보호체계(ISMS) 국제인증획득 및 서울형 보안평가제도를 마련했고, 2012년에는 전국 지자체 최초로 서울시 'u-통합보안센터(현 서울시사이버안전센터)'를 구축해 24시간 365일 실시간 사이버 위협 대응 체계를 갖췄다. 2016년 전국 지자체 최초로 지능적 해킹에 선제대응할 수 있는 디지털포렌식 센터도 만들었다. 공직 입문은 1994년 12월이다. 광진구청에서 시작했다. 광진구청에 있을때도 전국 최초 광LAN을 구축했다. 그가 주도한 우수한 정보통신 인프라를 기반으로 서울시는 2003년부터 2016년 까지 세계 100대도시 전자정부 평가에서 7회 연속 1위를 달성하는 쾌거를 달성했다. 그는 공무원 생활 30년동안 일하느라 가족여행을 한번도 못갔다. 주말에 집에 안가고 회사에서 밤을 새운 날도 많았다. 일에 아빠를 빼앗겼던 딸 두 명은 어느덧 20~30대가 됐다. 김완집 서울시 정보보안과장은 "30대 초반에 서울시에 들어와 정말 열심히 일했다. 상사들이 "보안하면 김완집이지"라고 말해 그 기대를 저버리지 않으려 일하다보니 여기까지 왔다"며 미소지었다. 그의 현 보직도 서울시에서 그가 처음이다. 시는 작년 7월 정보보안과를 신설하며 개방형 직위로 변경, 전문가를 공모했다. 여기에 일반직 공무원을 면직한 그가 신청해 10대1 정도 경쟁률을 뚫고 '낙점'됐다. 작년 10월 그는 또 하나의 '최초' 타이틀을 얻었다. 전국정보보호정책협의회의 초대 회장에 선출됐다. 중앙정부와 전국 지자체(17개 광역, 226개 기초), 공공기관이 참여하는 전국 단위 단체다. 현재 12개 광역시와 85개 기초자치단체, 33개 공공기관 등 약 130개 기관(280여 명)이 참여하고 있다. 기록이 쌓이면, 그것도 최초 기록이 쌓이면 어느덧 '전설'이 된다. 이 '전설'은 서울시의 정보보호 수준에 대해 "미국,영국, 일본, 동남아에서 배우러 온다"며 "세계 최고 수준"이라고 단언했다. 아래는 김 협의회장과 일문일답 -전국정보보호정책협의회는 어떤 단체인가. "작년 10월 결성했다. 중앙정부와 지자체, 공공기관의 우수한 보안 정책을 공유하고 AI·클라우드 등 새로운 기술을 빠르게 적용하기 위해 만들었다. 중앙부처와 지자체를 잇는 교두보 역할을 하고 있다." -어떤 일을 하나 "일곱가지 시행 계획이 있다. 첫째, 국가 망 보안체계(N2SF) 적용을 위한 지자체 간 기술·정보 공유 등 협력이다. 둘째, 지자체·공공기관을 대표로 중앙부처 및 유관기관 등에 대한 협의 당사자 역할하며 셋째, 지자체·공공기관 간 정보보호 정책 공유 및 사이버보안 종합대책 수립 협력 넷째, AI· 클라우드 등 신(新)보안기술의 지자체·공공기관 도입·적용을 위한 기술 협력(AI보안관제, 제로트러스트 등) 다섯째, 중앙부처에 정보보호 국비지원, 인력확충 및 담당자 인센티브(수당, 승진 등)에 관한 사항 지자체 의견 공유 및 정책 제안 여섯째, AI 기반 사이버위협 공동 대응을 위한 AI학습데이터 공유 일곱째, 보안 관련 국내외 유관기관 대상 정책 및 교육 등 협력 강화다. -회원은 얼마나 되나 "현재 회원은 12개 광역시, 85개 기초자치단체, 33개 공공기관 등 약 130개 기관, 280여 명이다. 정기적인 총회 및 포럼·세미나 개최로 회원기관이 계속 늘어날 것이다. 연말까지 200개 기관을 예상하고 있다." -그동안 중앙부처(과기정통부와 개인정보위)와 두 차례 합동 세미나를 열었다. 어떤 내용이였으며 소회는? "첫 번째 행사는 작년 11월 25일 서울시립미술관 세마홀(지하층)에서 했다. 과기정통부, 국정원과 협력해 '제1회 정기총회'를 열었다. 중앙부처와 소통하는 시간이였다. 첫 정기총회다보니 각 회원기관 간 소통의 장을 만드는 것에 의의를 뒀다. 당시 과기정통부가 '인공지능시대 사이버위협 대응'을 주제로, 국정원은 '사이버보안 관리실태'를 주제로 발표했다. 서울시도 'AI보안관제 학습데이터 협력 방안'을 설명했다. 67개 기관에서 145명이 참석했다. 두 번째 행사는 개인정보위와 협력해 지난 2월 18일 서울시청 서소문1청사에서 개최했다. 개인정보를 안전하게 관리하고 이용하기 위한 '개인정보위'의 다양한 정책을 듣고 공유했다. 1회보다 많은 114개 기관(250명)이 참여했다. 행사장에 마련한 자리가 모자랐다. 중앙부처의 책임자급이 직접 참석해 질의 응답을 해주니 현장 반응이 뜨거웠다." -올해 계획하고 있는 행사는? "올해도 작년에 이어 과기정통부, 국정원, 개인정보위 등 국가부처와 긴밀히 협조해 정보보호·개인정보보호분야 우수 정책이 지자체와 공공기관에 잘 전파되고 추진진될 수 있게 협조할 생각이다. 오는 20일 오후 2시~4시 경기도 킨텍스 제1전시장 콘퍼런스룸(211호)에서 과기정통부와 협력해 '전국 정보보호정책협의회 제2회 정기총회'를 개최한다. 이 행사에는 과기정통부가 추진하는 '지역거점 정보보호클러스트 구축사업'을 소개하고 회장기관인 서울시의 'EDR 및 제로트러스트 발전방향' 등 우수정책도 공유한다. 회원기관의 정보보호 수준 강화에 도움이 될 수 있는 내용으로 마련했다. 약 150명이 참석할 예정이다. 외에도 오는 9월말~10월초 강남 코엑스에서 서울시가 추진하는 스마트라이프위크(SLW) 행사가 열린다. 이 행사는 사람 중심의 기술을 경험할 수 있는 다양한 전시 및 로보틱스, 모빌리티 등 최신 트렌드를 선보이는 글로벌 행사다. 이 행사에서 인공지능(AI)·클라우드 등 신기술 발전에 따른 新사이버위협에 대응하기 위한 보안 전략을 공유하는 하반기 정기총회를 개최할 예정이다. -CISO와 CPO협의체 등 민간 보안 단체들이 있다. 이들과 협력할 생각은? "우리 협의회는 국가부처와 지자체 등 공공 뿐 아니라 민간기관과의 협력도 폭넓게 고려하고 있다. 민간기관에서 보유하고 있는 정보보호 전문인력, 기술 등을 활용해 공공기관의 정보보호 수준을 크게 높일 수 있다고 생각한다. 예를 들면 CISO와 CPO 간 정기적인 정보교류 및 협력체계를 구축해 공공기관과 민간기업 간 보안 협력체계를 만들고, 또 보안 관련 위협발생 시 신속한 정보 공유와 공동대응 체계도 구축할 수 있을 것이다. 이외에도 민간기관의 우수한 인력과 기술을 바탕으로 공공에 특화한 보안체계 개발과 적용, 정보보호 관련 최신 트렌드 연구 등 다양한 부문에서 협력할 수 있다고 생각한다. 서울시 산하에 의료관련 기관들이 많다. 이들 기관과도 협력할 부분이 있다. 자율주행차나 커넥티드카도 마찬가지다. 시가 자율주행차 시범사업을 하는데, 보안이 매우 중요하다." -최대 회장으로 지난 몇달간 협의회를 운영하면서 느낀 소감이나 소회는? "AI 등 신기술 발전으로 우리 삶이 편리해지고 있지만 반대로 그 기술 때문에 신·변종 악성코드 범람, 사이버범죄 조직에 의한 사이버위협 등 사이버침해 사고 우려가 지속적으로 커지고 있다. 민간부문은 사이버위협 피해를 최소화하기위해 신(新)보안기술 적용에 적극 투자하고 있지만 공공부문은 그렇지 않다. 인력과 예산 부족 등으로 민간에 비해 사이버보안의 중요성이 덜 부각되고 있는 것 같다. 이에, 우리 협의회는 '사이버보안'의 중요성을 지속적으로 상기 시키고, 최고수준 정보보호체계를 적용할 수 있게 할 것이다." -협의회 회장이지만 서울시의 정보보안과장이기도 하다. 작년 7월 서울시가 지자체 처음으로 정보보안과를 신설했는데, 그 이유와 어떤 일을 하나? "서울시에서 추진하고 있는 정보보안 업무는 '일반보안' '정보통신보안' '사이버침해' '기반시설보호' '개인정보보호' 등 범위가 넓다. 추진 업무도 많다. 기존에는 2개 부서 3개팀으로 이 일을 했고, 정보보안 인력이 분산돼 있었다. 이에, 보다 효율적으로 업무를 추진하기 위해 정보보안 인력을 한 개의 부서로 통합했다. 업무 효율을 높이고 궁극적으로 서울시의 종합적인 정보보안 컨트롤타워 역할을 목표로 하고 있다. 최근 지능화하는 사이버공격에 적극 대응하기 위해 시가 기존 정보보안과를 확대해 만들었고, 전문인력도 양성하고 있다." -서울시의 중요 보안 정책이나 사업 세 가지만 말해준다면 "첫째, 서울시 사이버보안 조례 제정이다. 조례를 제정해 AI·제로트러스트·클라우드 등 신(新)보안기술을 적용할 수 있는 발판을 마련하고, 서울시 소속기관 뿐 아니라 출자·출연기관까지 관리범위를 확대, 정보보호책임자·담당자의 역량 강화 및 책임성을 높이려 한다. 둘째, 서울형 제로트러스트 보안체계 적용이다. 우리 시를 포함한 기존 정보보안의 문제점은 경계보안 중심의 보안모델 적용이다. 올해부터 경계보안 한계점을 극복할 수 있는 신보안기술들을 대거 도입할 예정이다. 우리 시를 포함한 대부분의 지자체는 경계보안을 중심으로 보안정책을 추진해왔다. 지정 사무실에서 지정 기기로만 내부망에 접속할 수 있던 기존 업무 환경은 경계 보안을 통해 효과적인 접근 통제가 가능했다. 그러나 최근 5G, AI, 클라우드 등 디지털 기술이 발전하고 또 코로나 이후 원격근무와 재택근무 등 하이브리드 근무환경이 확산하면서 이 방식이 더 이상 통하지 않게 됐다. 모든 내부 서버, 서비스, 데이터에 접근할 수 있는 네트워크 경계에 집중된 보안체계 우려가 갈수록 커지고 있다. 지금은 5G, 와이파이(WiFi), 블루투스, GPS, NFC와 사물인터넷까지 다양한 통신기술과 다양한 기기로 언제 어디서나 원격제어가 가능한 초연결·지능형 네트워크 시대다. 기존 경계 보안의 한계를 넘어 개별 데이터, 서비스에 대한 사용자들의 권한을 지속적으로 검증하고 모든 접근을 제어하며 소중한 정보 자원을 보호하는 제로트러스트 보안이 새 트렌드로 떠올랐다. 서울시는 디지털 대전환 환경변화에 대응하기 위해 경계기반 보안모델의 한계를 개선할 수 있는 '제로트러스트 보안모델'에 집중할 계획이다. 제로트러스트 보안모델의 의미는 모든 사용자 및 기기, 네트워크 트래픽을 신뢰하지 않는 것으로, 인증 후에도 끊임없는 신뢰성 검증 절차를 추가해 경계보안의 단점을 보완했다. 제로트러스트 보안모델을 '원격근무시스템'에 시범으로 적용함으로써 제로트러스트 보안모델의 도입 기반을 마련하고 향후 서울시 다양한 행정정보 시스템에 단계적으로 확대해나갈 예정이다. 또, 패턴 기반으로 검출 및 차단할 수 없는 신·변종 랜섬웨어, 파일리스 공격 등이 지속적으로 증가하고, 내부에 위치한 단말기·사용자에 대한 보안위협이 지속적으로 증가함에 따라 '내부 위험까지 분석·차단'할 수 있는 EDR(Endpoint Detection & Response)을 올해 본청부터 도입할 예정이다. 이어 내년에는 사업소로 확대하고, 2027년에는 자치구까지 도입을 확대, 서울시 보안수준을 크게 높일 계획이다. 향후에는 SIEM 및 SOAR와 연계해 XDR까지로의 확장을 고려하고 있다. 셋째, 전국 정보보호정책협의회 활성화다. 앞서 말했듯이 우리 시가 회장기관으로 '전국 정보보호정책협의회'를 구성해 운영중이다. 서울시 소속·산하기관 뿐 아니라 전국 지자체·공공기관·국가부처에 우수한 정책과 기술을 공유하고 더 나아가 민간과 협력해 모든 기관이 높은 수준의 정보보호 수준을 달성할 수 있게 선도적 역할을 하려한다." -서울시가 자가망 기반 세계 첫 와이파이 서비스를 하는데 핵심 역할을 했다 "그렇다. 당시 어렵고 여러 힘든 고비가 있었다. 하지만 결국 서비스를 했다. 서울시 때문에 정부가 전기통신사업자법을 바꿨고, 이제 지자체도 이런 서비스를 할 수 있게 됐다. 대구, 광주 등 여러 지자체가 서울시를 벤치마킹했다. 지금은 프리 와이파이가 전국으로 확산됐다. 당시 상사였고 지금은 정년퇴임한 이원목 국장과 의기투합해 정말 열심히 일했다. 너무 힘들어 병이나고 항의전화도 많이 받았었다.(웃음)" -국제 보안인증제도 처음 시도했다고? "2007년인가 2008년쯤이다. 서울시가 처음 만들자고 하니 정부도 관심을 보여 정부 차원에서 만들었다. 못하는 영어로 영국 표준 문서와 ISO 문서를 일일히 보며 참조했다. 당시 시 보안 인력이 5명이었다. 집에 안가고 밤새워 일했다. 당시 챗GPT가 있었으면 그렇게 고생하지 않았을듯 하다.(웃음)" -서울시의 보안 수준을 글로벌과 비교하면 어떤가 "최상위 수준이라고 생각한다. 일본, 영국, 미국 같은 선진국은 물론 개도국도 우리를 벤치마킹하러 많이 온다. 특히 일본은 우리같은 통합관제가 안돼 우리를 많이 부러워한다. 최근에도 관련한 우리 자료를 보내줬다." -아쉬운 건데, 우리나라에 아직 글로벌 보안기업이 없다. 어떻게 생각하나 "연구개발(R&D) 등에서 지속성을 확보해야 한다. 우리는 서비스에 너무 목표를 두는 것 같다. 운용체계(OS)가 약한 것도 단점이다. SCADA(Supervisory Control and Data Acquisition)처럼 한 분야만 집중하면 어떨까 한다. 열차운행과 교통 같은 것도 가능할 것 같다. 한 분야에 집중하는게 답이다. 그렇지 않으면 힘들 듯 하다." -어떤 계기로 보안 쪽에 입문하게 됐나. 이 자리에 오기까지도 쉽지 않았을 것 같다 "1994년 광진구청에서 근무를 시작해 전국 최초 광LAN을 구축했다. 1999년 서울시 지하철건설본부에서 방송설비, AFC, 행선안내기, 광통신망을 마련했다. 2003년 지하철 2호선 터널에 서울시 전용 광케이블을 포설해 서울시와 25개 자치구 등 31개 기관을 잇는 초고속 자가 정보통신망(e-Seoul Net)을 운영 및 관리, 현재까지 353종 행정서비스를 안정적으로 제공하고 있다. 또 2011년 행정망과 대시민 서비스망(CCTV, 공공Wi-Fi, IoT, 홈페이지 등)을 분리, 보안을 강화하기 위해 'u-Seoul Net'을 구축했는데, 이는 시가 우수한 정보통신 인프라를 기반으로 2003년부터 2016년 세계 100대도시 전자정부 평가 7회 연속 1위를 달성하는 배경이 됐다. 또 2010년부터 세계 최초로 자가망 기반 무료 와이파이를 구축했는데, 시의 프리 와이파이(free wifi)는 서울 전역으로 확대, 총 3만3천여대의 무료 와이파이가 서울시내 주요 거리, 공원, 전통시장, 복지시설, 시내버스, 마을버스 등에 설치돼 운영중이다. 와이파이 엠블렘도 실용신안특허를 받아 지금까지 서울시 공식 엠블렘으로 사용하고 있다. 시의 무료 Wi-Fi는 정보소외계층의 정보접근성 보장으로 공공의 영역이라는 통신복지 패러다임 인식 전환의 시초가 됐고, 정보격차 해소를 위한 민·관 협력사례로 공공기관에서 벤치마킹, 전국에 확산됐다. 또 빠르고 안전한 와이파이 이용환경 조성을 위해 최신 AP 및 보안기술을 적용하고 공공와이파이 운영센터 및 시·구 장애처리기동대를 운영하고 있다. 또 시민 안전 강화를 위해 서울 전역에 지능형 CCTV를 확충 및 고도화했고, '서울시 CCTV안전센터'를 구축 하는 등 스마트서울 CCTV 안전체계도 확립했다. 긴급상황발생시 소방·경찰 등 유관기관 실시간 CCTV 영상정보 중계하는 시·25개 자치구간 스마트도시 통합플랫폼 구축도 2023년 완료했다. 공원·등산로 등 잇따른 무차별 범죄 발생에 대응해 서울시 17만여대의 CCTV 총괄 컨트롤타워 역할을 명확히 했고, 오는 2026년까지 100% AI기반 지능형 CCTV로 전환하는 '서울시 CCTV 종합계획(시장방침)'을 수립해 추진중이다. AI시대를 선제 대응도 하고 있다. 2021년부터 인공지능 보안관제 플랫폼을 구축해 공격자 위협정보 자동차단 시간을 20분에서 6초로 단축하는 성과를 거뒀다. 올해는 제로트러스트 기반 원격근무시스템 도입 등 최신 보안기술을 적용해 신종 사이버 위협에 대한 대응능력을 강화할 계획이다." -보안으로 박사학위를 받았다. 힘들었을텐데, 박사학위까지 받아야 했나 "왜 안힘들었겠나. 정말 힘들었다. 일하면서 야간과 주말에 공부하는게 쉽지 않았다. 벤더들이 리딩하는게 싫었고, 자존심이 상했다. 후배들에게 모범이 되고 싶은 마음도 있었다. 당시 직장 상사들이 날 믿고 일을 맡겼다. 그 신뢰를 무너뜨리고 싶지 않아 정말 열심히 공부했다. 열심히 살아냈다(웃음)." -사이버강국 코리아를 위해 한마디 해달라 "사이버보안의 중요성이 나날이 커지고 있다 .도시 운영에 필수인 교통, 수도, 통신, 전력, 보건 등 핵심 기반시설에 대한 사이버공격이 국가 안보에 대한 심각한 위협 및 디지털 재난으로 이어지고 있기 때문이다. 그런데 사이버 보안에 대한 인식 수준이 일부 기술 대응에만 국한되고 있는 것 같다. 인공지능, 클라우드 등 디지털 기술이 발전할 수록 사이버 보안이 교통, 상·하수도와 같이 시민 생활의 필수 불가결한 사회기반시설(SOC) 이라는 인식의 전환이 필요하다. 사이버 보안 전문가에 대한 처우 개선과 전문역량 강화 등 인적 투자도 게을리 해서는 안된다. 서울시는 도시 안보가 국가 안보로 직결된다는 인식하에 국내·외 정보보안 유관기관과 협력 체계를 구축해 도시 차원의 사이버안보 대응체계를 구축하고 강화중이다. 서울시가 세계 최고의 사이버 보안 도시로 자리매김하는데 최선을 다할 생각이다." ◆김완집 전국정보보호정책협의장 겸 서울시 정보보안과장은 누구.... ▲2012년 2월 순천향대학교 정보보호학과 박사 ▲2019년 8월 성균관대학교 영상미디어학과 석사 ▲1993년 2월 숭실대학교 전기공학과 학사 ▲2024년 7월 서울시 디지털도시국 정보보안과장 ▲2022년 8월 서울시 디지털정책관 정보통신보안담당관 ▲2021년~2022년 7월 서울시 데이터센터 소장 ▲2019년~2020년 서울시 스마트도시정책관 정보통신보안담당관 ▲2017년~2018년 서울시 정보화기획관 정보통신보안담당관 ▲2014년~2016년 서울시 행정국 총무과 통신관리팀장 ▲2012년 10월~2013년 서울시 정보통신보안담당관 정보통신기획팀장 ▲2011년~2012년 9월 서울시 정보통신담당관 ICT기획팀장 ▲2007년 7월 방송통신사무관 승진
