마케팅팀뿐만 아니라 LG전자의 다른 팀도 특유의 ‘겸손’ 문화에 스며든 것일까? 보안 분야에서 꽤 성과를 내고 있지 않느냐는 기자의 질문에 LG전자 제품 보안 거버넌스 조직의 조혜진 리더는 “LG전자의 보안 역량이 훨씬 더 높다고 생각해 본 적은 없다”라며 “다만 고객에게 ‘LG전자는 보안을 중요하게 여기는 기업’이라는 신뢰를 주기 위해 노력을 많이 하고 있다”라고 답했다. ‘완벽한 보안’은 불가능하다는 점에서 이러한 입장은 일리가 있다.
그럼에도 실제 LG전자의 보안 역량을 살펴보면 국내 제조업계에서 귀감이 될 만한 다양한 보안 체계와 문화, 교육 체계를 갖추고 있다. 더 나아가 최근에는 협력사와 보안 가이드라인과 도구까지 공유하며 보안 생태계를 확장하고 있다. 연 매출 80조 원대의 글로벌 기업 LG전자가 구축한 보안 체계와 그 노력을 자세히 살펴보자.
해킹된 오븐이 화재를 일으키는 AIoT 시대··· 제품 속으로 들어온 보안 위협
보안팀의 업무라고 하면 해킹을 막기 위해 각종 소프트웨어를 개발하거나 피싱, 로그인, 비밀번호 같은 보안 관행을 관리하는 일을 생각하기 쉽다. 그러나 ‘제품 보안’은 조금 다른 영역이다. 일단 이론적으로 제품 보안이란 제품이 개발, 배포, 운영 및 유지보수되는 동안 발생할 수 있는 보안 위협을 예방하고, 제품의 무결성, 기밀성 및 가용성을 보호하는 활동과 프로세스를 말한다. 제품 보안이 중요해진 배경은 최근 가전제품의 변화에서 찾을 수 있다. 요즘의 가전제품은 와이파이 연결을 통해 다양한 부가 서비스를 제공한다. 스마트폰으로 외부에서 에어컨, 세탁기 등을 제어하거나, 여러 가전제품에 필요한 최신 소프트웨어를 자동으로 업데이트하는 것이 대표적인 예다. LG전자는 아예 통합 스마트 가전 서비스 ‘씽큐(ThinQ)’를 통해 다양한 제품을 네트워크로 연결해 통합 관리가 가능하도록 지원하고 있다.
문제는 인터넷 연결로 가전제품은 더욱 편리해졌지만, 동시에 새로운 보안 취약점에 노출됐다는 점이다. 이제 해커는 오븐 온도를 임의로 조작하거나 냉장고 온도를 변경해 식품을 상하게 할 수 있다. TV나 디지털 사이니지를 통해 악성 콘텐츠를 표시하거나, 서빙하는 로봇의 경로를 변경하며 영업을 방해할 수 있다. 이런 해킹은 사용자에게 직접적인 피해를 주며, 제조사의 평판까지 심각하게 훼손시킨다. LG전자는 가전제품뿐 아니라 의료기기, 자동차 소프트웨어까지 고객의 생명과 직결된 제품을 다루고 있어 보안에 관심을 가질 수밖에 없다.
조혜진 리더는 “해커가 네트워크에 연결된 가전제품을 새로운 공격 대상으로 삼고 있으며, 이들은 직접적인 기기 공격보다는 네트워크를 통한 원격 침투를 선호한다”라며 “요즘 늘어나는 AI 탑재 제품의 경우 학습 데이터 변조 시 예측 불가능한 동작이 발생할 수 있다”라고 설명했다.
이와 같은 추세 속에서 제품 보안 거버넌스 조직의 역할이 한층 강조되고 있으며, LG전자의 제품 보안 거버넌스 조직은 제품 안전성 검증을 위한 방향성과 가이드라인 수립에 주력하고 있다.
조혜진 리더는 엄격해진 정부의 규제 준수가 보안 분야의 핵심 과제로 떠올랐다며, LG전자의 제품 보안 거버넌스 조직도 이에 대응하기 위해 많은 노력을 하고 있다고 전했다. 이는 제품 보안의 중요성이 한층 강화되고 있음을 보여준다. 조혜진 리더에 따르면, 심각한 피해를 남긴 솔라윈즈, 크라우드스트라이크 사건 등을 계기로 정부 당국이 제품 보안에 직접 개입하고 있으며, 아예 제조사들에게 1차적인 보안 방어 체계 구축을 요구하고 있다.
일례로 EU는 사이버보안법으로 네트워크 연결 제품의 보안 요구사항을 규정했고, 영국은 2024년 4월 제품 보안 규제(PSTI)를 도입했으며, 미국도 바이든 행정부 출범 이후 규제를 강화하고 있다. 글로벌 기업들은 이러한 규제를 준수하지 않으면 판매 중단이나 매출 손실을 감수해야 하므로 제품 보안에 각별히 신경 쓰고 있다.
크라이슬러 차량 해킹 사건 후 바뀐 제품 보안 체계··· 전문성 강화 위해 카네기멜론대에 위탁 교육도
LG전자에 제품 보안 거버넌스 조직이 생긴 시기는 2015년이었다. 조직 설립의 결정적 계기는 크라이슬러의 ‘지프(Jeep)’ 차량 해킹 실험이었다. 2015년 보안 전문가와 미 언론사 와이어드가 진행한 이 실험은 시속 약 110km로 달리던 ‘지프 체로키’라는 SUV 차량의 내부 시스템이 속수무책으로 해킹되는 과정을 보여줬다. 실험은 실제 고속도로 환경에서 진행됐는데, 주행 중인 차량은 에어컨, 라디오 같은 편의 장치는 물론 엔진, 브레이크 같은 핵심 운행 장치까지 해커 마음대로 원격 조정됐다. 이 사건은 업계에 상당한 충격을 안겨줬으며, 제조사였던 피아트 크라이슬러는 지프 체로키 차량 140만여를 리콜까지 진행했다. 동시에 자동차 업계 전반가 소프트웨어 보안의 중요성을 재인식하는 전환점을 맞이했다. LG전자도 그 중 하나였다.
조혜진 리더는 “LG전자도 자동차 전장 부품 및 인포테인먼트 시스템 등을 개발하고 있어 지프 체로키 사건이 알려진 후 제품 보안에 특화된 체계 구축이 시급하다는 분위기가 조성됐다”라며 “그 전에도 개별 사업부 단위의 보안 관리는 진행되고 있었지만, 보다 확실한 보안 관리 실행을 위해선 전사적 거버닝 필요성에 대한 논의가 경영진 차원에서 이뤄졌다”라고 설명했다.
조혜진 리더는 각 사업부가 개별적으로 보안을 관리할 경우, 인식과 방법론, 실행 방식, 적용 시점이 서로 달라지고 업무가 중복될 수 있다고 지적한다. 특히 최근 늘어나는 정부 규제 준수 방안을 마련하는 과정에서 통합 조직의 부재는 업무 효율을 크게 저하시킬 수 있다는 것이다.
정부 규제는 대개 기본 원칙만을 제시하기 때문에, 이를 실제 현장에 적용하기 위해서는 세부적인 해석 과정이 필요하다. LG전자와 같이 제품군이 다양한 기업에게 이는 매우 복잡하고 도전적인 과제다. 이러한 환경에서 거버넌스 조직은 개발팀과 보안 실무진의 의견을 종합하여, 비즈니스 가치와 제품 개발의 자유도를 높이는 동시에 적절한 보안 요구사항을 반영한 균형 잡힌 가이드라인을 수립하고 있다.
좀더 구체적으로 이들의 업무를 살펴보자면, 제품 보안 거버넌스 조직이 LG전자에서 첫 번째로 추진한 핵심 과제는 ‘LG-SDL(Security Development Lifecycle)’ 체계 확립이었다. 사이버보안 규제와 시장의 보안 표준 및 요구사항을 근간으로 하는 LG-SDL은 보안 공학(Security by Design) 기반의 제품 설계부터 안전한 코딩, 보안 취약점 제거, 모의 해킹에 이르기까지 제품의 전반적인 보안성을 확보하는 소프트웨어 보안 프로세스다.
SDL 구축 이후 제품 보안 거버넌스 조직은 데브섹옵스(DevSecOps) 수행을 위한 보안 기술과 도구 개발, 인프라 구축에 집중하여 실시간으로 보안 리스크를 관리하고 있다. 또한 LG PSRT(Product Security Response Team)를 운영하여 출시된 제품의 보안 취약점을 모니터링하고, 내부 화이트해커를 통한 실제 침투 테스트로 제품의 보안 취약점을 검증하고 있다. 조혜진 리더는 “최근에는 AI를 활용해 이러한 보안 취약점 점검과 해결 과정을 자동화할 수 있는 영역을 검토하고 있다”라고 설명했다.
공급망 보안 강화는 제품 보안 거버넌스 조직이 최근 공들이는 부분이다. LG전자는 협력사의 소프트웨어를 자사 제품의 일부로 보고 동일한 보안 기준을 적용하면서, 가이드라인과 오픈소스 취약점 감지 도구를 제공하는 등 실질적인 협력 방안을 제시하고 있다. 3년 전부터는 정기 워크샵을 통해 협력사와 보안의 중요성을 공유하고 함께 해결책을 모색하고 있다. 특히 협력사가 보안 규제를 지키기 어려운 현실적 고충을 경청하고, ‘이것을 해와라’식의 일방적 지시가 아닌 상호 이해와 공감을 바탕으로 자발적 참여를 이끌어내는 데 주력하고 있다.
조혜진 리더는 보안상의 이유로 LG전자의 보안 인력 규모와 세부 사항을 공개하기는 어렵다고 밝혔다. 대신 내부 전문가 육성의 일환으로 카네기멜론대학과 협력하여 개발한 사내 보안 전문가 양성 프로그램을 소개했다. 이 프로그램은 카네기멜론대학이 직접 운영하며, LG전자의 보안 전문가와 전사 에반젤리스트를 전략적으로 육성하기 위해 특별히 설계되었다.
조혜진 리더는 “카네기멜론대학은 미국 국방부와 협력하는 사이버 보안 분야의 명문대학으로, 글로벌 수준의 보안 교육 진행을 위한 이상적인 기관이라 함께 협업하고 있다”라며 “해당 교육 이수자는 인증 심사를 반드시 통과해야 하며, 합격률이 20% 미만일 정도로 심사 기준이 매우 엄격하다. 하지만 보안의 중요성이 커짐에 따라 내부의 많은 개발자들이 이 프로그램에 높은 관심을 보이고 있다”라고 설명했다.
내부 공감대 이끈 보안 조직 운영 원칙 4가지
보안 조직이 성과를 내려면 체계적인 시스템도 잘 구축돼야 하지만, 경영진의 확고한 의지와 조직 전반의 공감대 확보도 뒷받침되어야 한다. 아무리 뛰어난 정책과 기술도 조직의 이해와 지지가 없다면 그 가치를 제대로 발휘할 수 없기 때문이다.
LG전자 조혜진 리더 ⓒ CIO 코리아
LG전자 제품 보안 거버넌스 조직의 조혜진 리더는 “보안은 잠재적 위험을 예방하는 업무이기에 투자 우선순위에서 후순위로 밀리기 쉽다”라면서도 “실무진과 경영진 간의 투명한 소통을 통해 확고한 지지를 얻을 수 있었다”라고 밝혔다. 조혜진 리더는 조직 내 보안 중심 문화를 구축하기 위해 다음 4가지 원칙을 중시하고 있다.
첫 번째 원칙은 ‘작은 정보라도 꾸준히 공유하기’다. 조 리더는 “아무리 중요한 내용이라도 갑작스럽게 보고되면 경영진 입장에선 맥락을 파악하기 어렵다”라며 “평소에도 보안 정보를 꾸준히 공유해 공통된 시각을 만드는 것이 핵심”이라고 설명했다.
이때 보고에는 ‘~해서 위험하다’식의 정보 제공을 넘어 실제 해킹 시연을 통해 위험 수준을 구체적으로 보여주고, 대응책을 함께 제시하는 방식을 택하고 있다고 설명했다. 조혜진 리더는 “단순히 해킹 가능성을 알리는 것보다 어떻게 대응해야 하는지가 더 중요하며, 실제로 경영진도 해결 방안에 더 큰 관심을 보이고 있다”라며 “아울러 보안 활동이 경영 성과에 미치는 긍정적 영향도 보고 내용에 포함해 정기적으로 공유하고 있다”라고 설명했다.
두 번째 원칙은 ‘개발 조직과의 협력 강화’다. 보안 요구사항은 개발 일정 지연과 비용 증가로 이어질 수 있어 조직 간 마찰이 발생하기 쉽다. 조혜진 리더는 “사실상 주어진 시간의 90%를 해당 보안 조치의 필요성과 배경 설명에 할애하고, 이후 실행 방안을 설명하고 있다”라며 “왜 필요한지 설득되면 실무 개발진도 보안 문제를 더 철저히 신경 쓴다”라고 밝혔다.
세 번째 원칙은 ‘체계적인 사고 대응 시스템 점검’이다. 보안 사고는 100% 예방이 불가능하기에, 사고 발생 시 신속한 대응을 위해서는 전문가 네트워크와 프로세스 확립이 핵심이다. 이를 위해 문제 발생 시의 보고 체계를 명확히 하고, 보안팀을 중심으로 법무팀, 품질팀, 홍보팀 등 유관 부서와의 협력 체계를 사전에 구축해 명문화하고 있다.
마지막 원칙은 ‘보안과 사업의 균형 맞추기’다. 조혜진 리더는 “과도한 보안은 사업과 직원을 제약하고, 미흡한 보안은 사고로 이어진다”라며 “적절한 균형점을 찾는 것이 보안 리더의 핵심 역할”이라고 강조했다. 이를 위해 학계 등 외부 전문가의 조언을 받아 적절한 시기와 제한 수준을 지속적으로 검증하고 있다고 설명했다.
조혜진 리더에 따르면, 10년에 걸친 투자와 끊임없는 혁신을 통해 LG전자는 제품 보안을 더 이상 부가적인 요소로 보지 않고, 제품 개발의 핵심 단계이자 최우선 고려사항으로 보고 있다. 이런 변화를 상징하는 것이 2024년 초 출시한 전사적 통합 보안 체계인 ‘LG 쉴드(Shield)’다. LG 쉴드는 각 부서에서 개별적으로 운영하던 보안 기술을 하나의 브랜드로 통합해, 모든 제품에 일관된 보안 체계를 적용하겠다는 LG전자의 의지를 담고 있다.
20년이 넘게 보안 업계에 몸담은 조혜진 리더는 보안팀이 사고 수습이나 해킹 방어 같은 가시적 성과로만 평가받는 업계 문화에 아쉬움을 표했다. 어떤 면에서 보안팀의 가장 큰 성공이 ‘아무 일도 일어나지 않는 것’임에도, 이러한 성과는 대외적으로 인정받기 어렵다는 것이다.
조혜진 리더는 “철저한 프로세스와 보안 내재화로 시스템을 안정적으로 유지하는 것이야말로 보안팀의 핵심 성과”이라며 “LG전자 임원진은 이러한 보이지 않는 성과도 인정해 주어 보안팀이 안정적으로 운영되고 있으며, 나 역시 직원들에게 사고 예방의 가치를 인정하려 노력하고 있다”라고 밝혔다. 이어 “이번에 도입한 쉴드 브랜드를 통해 시장과 고객으로부터 더 큰 보안 신뢰를 얻을 수 있는 발판을 마련하려고 한다”라고 밝혔다.
[email protected]
Read More from This Article: 인터뷰 | 냉장고에도 보안이 필요해··· LG전자 조혜진 리더가 전하는 ‘제품 보안 거버넌스’의 중요성
Source: News