디시인사이드 갤러리

갤러리 이슈박스, 최근방문 갤러리

갤러리 본문 영역

토스랩 '잔디'에게 묻다, '협업 툴에게 보안이 더 중요한 이유는?'

IT동아갤로그로 이동합니다. 2022.03.15 16:07:49
조회 138 추천 0 댓글 0
[IT동아 남시현 기자] “기업만 보안에 신경을 쓰면 된다는 말은 옛 말이다. 지금은 내부 사용자들이 외부를 통해 정보에 접근하는 일이 많아졌고, 또 개인 장치의 성능도 향상되면서 개인 사용자에 대한 보안 위험도 커졌다. 지금의 보안은 특정 기업, 보안 담당자만 하는 게 아니라 각 구성원이 전사적으로 구축해야 한다고 보면 된다”

토스랩 사무실에서 만난 이성훈 IS/SE(정보보호&기술영업)팀 매니저에게 정보 보안에 있어서 개인의 역할이 어떤가에 대해 묻자 돌아온 대답이다. 이날 인터뷰에 응한 이성훈 매니저는 롯데정보통신, 이글루시큐리티 등 전문 보안업체에서 20여 년 이상 경력을 쌓아온 정보보호 컨설턴트로, 토스랩에는 2020년 7월 합류해 현재 보안 관련 업무를 전담하고 있다. 특히, 이성훈 매니저는 토스랩의 ISO27001 인증에 주도적인 역할을 했으며, 지난 2월에는 국내 기업으로는 처음으로 CSA STAR의 최신 버전 ‘CCM 4.0.2’ 인증을 취득하도록 이끌었다. 그를 통해 기업의 보안 체계와 관련 동향에 대해 들어보는 시간을 가졌다.

기업의 정보보호 부서, 어떤 일 하나?



잔디를 서비스하는 토스랩의 이성훈 IS/SE(정보보호 및 기술영업)팀 매니저. 출처=IT동아



토스랩은 스타트업으로는 드물게 독립적인 보안 부서를 두고 있으며, 이성훈 매니저가 부서의 실무를 맡고 있다. 그가 속한 IS/SE 부서는 정보 보호, 그리고 토스랩이 서비스하고 있는 협업 툴 ‘잔디’의 기술 영업을 진행한다. 내부적으로는 사내 보안과 정책 지침, 점검, 보안 교육 등을 진행하며, 공공기관이나 한국인터넷진흥원(KISA), 행정안전부 등 외부 기관의 보안 점검도 대응한다. 또한, ISO27001, CSA STAR 등의 까다로운 인증 기준을 충족하기 위해 꾸준히 보안 관련 업무를 진행하고 있다.

일단 토스랩이 갖춘 정보보호 관리체계는 어떻게 작동하는지에 대한 설명을 부탁했다. 이 매니저는 “가장 먼저 정보통신망법과 개인정보보호법에 근거해 정보보호 관리체계를 수립한다. 여기에는 인재 채용이나 보안 서약서, 패스워드 정책, 보안 사고에 따른 지침 등에 대한 내용이 담겨있다. 그 다음에 보안에 대한 기술적 분류를 거치고, 취약점 점검을 진행한다. 이때 취약점 점검은 모의 해킹 등을 통해 진행하고, 이렇게 도출된 취약점에 대한 위험 분석을 진행한 다음 보호 대책까지 만들어 조치를 취하는 게 기본이다”라고 말했다.


이성훈 매니저가 토스랩의 보안 체계에 대해 설명하고 있다. 출처=IT동아



여기에 토스랩은 정보보호위원회를 구성해 전사적인 보안 체계를 구축했다. 정보보호위원회는 ISO27001나 ISMS(정보보호 관리체계 인증)을 취득한 기업은 연 1회 개최하는 게 원칙이지만, 토스랩은 정보보호위원회의 실질적인 효과를 거두기 위해 정보보호 최고책임자(Chief Information Security Officer, 이하 CISO)를 필두로 한 웹, 모바일, 백엔드, 인사, 경영 등 모든 부서로 구성된 정보보호위원회 회의를 월 1회 개최한다. 덕분에 보안 우려나 보안 관련 현안이 발생하더라도 빠르게 내용을 공유하고, 관리할 수 있다. 특히나 현안에 대한 처리가 빠른 스타트업 특성 덕분에 월 1회 회의가 큰 효과를 보고 있다는 평가다.


당시 새벽에 오간 Log4j 대처 관련 로그 및 대화 기록을 보여주고 있다. 출처=IT동아



지난해 12월 전 세계 보안업계를 뒤집은 취약점, ‘Log4j(로그포쉘)’에 대한 대처만 봐도 그렇다. Log4j는 특정 명령어를 전달하는 것만으로도 상대방의 제어권까지 탈취할 수 있어 사상 최악의 취약점이라고 불린다. 이 매니저는 “토스랩 뿐만 아니라 전 세계 IT 기업들이 이 문제를 해결하기 위해 발 빠르게 움직였던 사건이다. 토스랩의 경우에는 보안위원들이 토요일 새벽에 실시간으로 문제를 공유하고 취약점을 리스트업해서 긴급하게 환경설정을 변경했다. 그 이후 보안 패치를 통해 가능한 시스템부터 순차적으로 조치를 했고, 발생 이후 한달 간 문제가 발생하지 않았다”라고 회상했다. 만약 보안 담당자가 없거나, 실시간으로 대응하지 않았다면 문제가 될 수 있는 상황이었다.

일반적인 잔디 사용자에 대한 편의도 덧붙였다. 이 매니저는 “잔디의 모든 보안은 ISO27001이나 ISMS 등을 통해 관리되는 환경에 있다. 예를 들어 잔디에 메시지를 입력하면 입력과 동시에 암호화되며, 외부 해킹 등을 통해 탈취할 수 없다. 만약에 암호화된 메시지를 탈취했다고 해도 대상은 물론 복호화 키, 통제 항목 등이 필요하므로 걱정할 필요가 없다”라면서, “만약 추가적인 보안에 대한 요구가 있더라도, 토스랩은 독립적인 보안 부서를 운용하므로 곧바로 피드백을 받으실 수 있다”고 말했다.

ISO27001, CSA STAR, 모두 고객 신뢰 위한 노력



토스랩이 취득한 ISO27001 인증서 및 CSA STAR 4.0.2 인증서. 출처=IT동아



이처럼 토스랩이 발 빠르게 대처할 수 있었던 배경에는 ISO27001, 그리고 CSA STAR 등이 적용된 덕분이다. ISO27001은 정책, 지침, 인적, 물리시설, 환경, 기술 영역, 접근 통제, 인증 암호화, 로깅, 개인정보 등 14개에 대한 보안 항목이 있으며, 여기서 또 114개의 세부 항목으로 나뉜다. 아울러 CSA STAR는 미국 클라우드 보안 연합에서 국제 클라우드 보안 인증이다. ISO27001과 다르게 보다 더 구체적으로 기술적인 보안 요구사항이 있으며, 클라우드의 테크니컬 보안에 대한 신뢰성을 확인한다. 점검 항목도 17개 항목에 261개의 세부 항목으로 더 까다롭다. 그렇다면 왜 토스랩은 이렇게 복잡한 규정들을 지키고 있는 것일까. 정답은 바로 시장 신뢰에 있었다.

이 매니저는 “기업에서 협업 툴을 도입할 때 가장 먼저 나오는 질문이 바로 보안이다. 하지만 우리가 아무리 보안에 대해 강조하더라도 공식적으로 증명되지 않는다면 신뢰성이 없다. 여기서 공신력을 확보할 수 있는 방안이 ISO27001이며, 한발 더 나아간 게 CSA STAR 4.0이다. 특히나 두 인증 모두 매년 점검을 거치고, 갱신되기 때문에 꾸준히 시장의 신뢰를 확보하기 위해 노력해야 한다는 공통점이 있다. 이를 보유하고 있다는 점 자체가 토스랩을 믿고 사용할 수 있다는 의미다”라고 설명했다. 게다가 대기업이나 공공기관, 금융권에서는 신뢰할 수 있고 입증된 기업의 소프트웨어만 활용하기 때문에 ISO27001을 유지하는 것 자체가 중요하다.


이성훈 IS/SE 팀 매니저는 앞으로 CSAP 및 ISO27017 인증 등도 취득해 나갈 것이라고 답했다. 출처=IT동아



잔디의 보안 정책을 유지하기 위해 어떤 노력이 투입되고 있는지에 대해서도 물었다. 이에 대해서는 “ISO27001 기준에는 보안 목표 및 계획 수립 항목이 있다. 여기에 경영진의 의지와 방향성이 드러나야 하고, 또 예산을 어떻게 편성하는가에 대해서도 정해져 있다. 토스랩은 이 기준에 맞춰서 매년 보안에 대한 투자를 집행하고 있으며, 수익과 비례해 매년 과감한 수준으로 투자를 넣고 있다. 앞서 진행한 두 인증 이외에도 공공 클라우드 인증인 CSAP, 클라우드 정보보호 표준 ISO27017 역시 취득할 준비를 하고 있다”며 구체적인 계획을 말해주었다.

‘정보보호의 선도 사례가 되고, 문화도 바꾸고 싶어’


토스랩의 보안을 책임지는 이성훈 매니저의 목표는 최고보안책임자로도 불리는 CSO(Chief Security Officer)이다. 내로라하는 대기업에서 스타트업으로 자리를 옮긴 이유도 추구하는 방향이 명확해서다. 이 매니저는 “국내 기업의 정보보호 최고책임자는 CISO로 부르지만, 이는 IT 측면에 국한된다. 반대로 해외에서는 정보보호의 책임을 CSO에게 일임한다. CSO는 단순히 IT뿐만 아니라 물리적인 시설에 대한 관할이나 인사, 경영 등 보안이 필요한 총체적인 분야를 다룬다. IT 측면뿐만 아니라 보안에 대한 모든 것을 책임지는 직책이다. CISO라는 직책이 CSO로 발전하기 위해서는 진보적인 기업 문화가 필요하고, 토스랩이 여기에 부합한다. 정보보안 컨설턴트로서 토스랩을 정보보호의 선도 기업으로 만드는 것은 물론, 기업 문화 측면에서도 본받을 수 있는 기업으로 다듬는 게 목표”라며 포부를 밝혔다.

글 / IT동아 남시현 (sh@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)



▶ [소부장 스타트업] 시큐리티플랫폼 "IoT 보안, 앞으론 기본이 될 것"▶ [IT신상공개] 노트북과 스마트폰 잇는다, 삼성전자 갤럭시 북2 프로·프로 360▶ [IT애정남] 개인정보유출, 처벌과 보상은 어떻게 되나요?



추천 비추천

0

고정닉 0

0

댓글 영역

전체 댓글 0
등록순정렬 기준선택
본문 보기

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

갤러리 리스트
번호 제목 글쓴이 작성일 조회 추천
설문 축의금 적게 내면 눈치 줄 것 같은 스타는? 운영자 24/11/11 - -
909 "4인팟 때문에 작품에 투자할 돈도 줄어" 넷플릭스, 계정 공유에 추가 요금 받는다 IT동아갤로그로 이동합니다. 22.03.18 233 1
908 [스타트업 in 과기대] 가지당 "가치소비, 경쟁력 좌우하는 '퍼플카우'될 것" IT동아갤로그로 이동합니다. 22.03.18 123 1
907 [IT애정남] 스마트폰 보호 필름, 필수가 아니라 상술인가요? [1] IT동아갤로그로 이동합니다. 22.03.18 208 1
906 20조 중고차 시장에 대기업 진출, 현대차의 행보는? IT동아갤로그로 이동합니다. 22.03.18 192 1
905 [BIT 인사이트저널] K-팝, 대중음악의 새로운 유니버스 등장 IT동아갤로그로 이동합니다. 22.03.18 118 1
904 [스타트업 in 과기대] 노이즈엑스, "재활용 흡음재로 생활 소음 해결할 것" [4] IT동아갤로그로 이동합니다. 22.03.18 926 2
903 7부 능선 넘은 제임스 웹 우주 망원경, 심우주 탐사 계획은? [6] IT동아갤로그로 이동합니다. 22.03.18 1589 9
902 와이파이6 지원 넷기어 무선 AP 3종(WAX214, WAX218, WAX620) 이모저모 IT동아갤로그로 이동합니다. 22.03.18 115 1
901 [IT강의실] NFT 입문 3부..NFT 투기논란 해소 어려울까? "가치검증 불가능하지 않다" IT동아갤로그로 이동합니다. 22.03.17 120 1
900 [리뷰] 5채널 스피커가 함축된 사운드바, JBL 바 5.0 멀티빔 IT동아갤로그로 이동합니다. 22.03.17 318 1
899 밴스드 서비스 중단, 광고 차단 앱 단속 나선 구글 IT동아갤로그로 이동합니다. 22.03.17 135 1
898 [모빌리티 인사이트] 하반신 마비환자의 걸음, 기적 아닌 기술로 이루다 [4] IT동아갤로그로 이동합니다. 22.03.17 878 2
897 [홍기훈의 ESG 금융] ESG가 베타에 미치는 영향 Part 5: 아폴로 병원의 거시경제적 경쟁 우위 IT동아갤로그로 이동합니다. 22.03.17 100 1
896 [스타트업 in 과기대] 쓰레기마켓 “쓰레기로 돈 버는 시대, ‘모아요’ 플랫폼으로 연다” IT동아갤로그로 이동합니다. 22.03.16 112 0
895 초유의 관심 쏠린 삼성전자 주총, 이변은 없었다 [7] IT동아갤로그로 이동합니다. 22.03.16 1455 4
894 [스타트업 in 과기대] 어디가든, “도농간 상생 방법을 찾고 있습니다” IT동아갤로그로 이동합니다. 22.03.16 78 0
893 [스타트업 in 과기대] LRHR "명품 수선 시장에도 시대에 맞는 변화 필요" IT동아갤로그로 이동합니다. 22.03.16 88 0
892 소상공인·자영업자 "스마트 상점 기술 지원, 차기 정권이 계승 바라’ [3] IT동아갤로그로 이동합니다. 22.03.16 974 0
891 [스타트업 in 과기대] 프라세비, "디지털 향 플랫폼, 틈새 시장에 통할 것" IT동아갤로그로 이동합니다. 22.03.16 71 0
890 [리뷰] 집안 공기 관리도 스마트하게, 텐플 멀티 공기질 센서 IT동아갤로그로 이동합니다. 22.03.16 68 0
889 AMD, '새 프로세서 및 칩셋 업데이트'로 소비자 선택권 늘린다 IT동아갤로그로 이동합니다. 22.03.16 105 0
888 "AI도 진정한 친구가 될 수 있다", 돌아온 이루다2.0 [29] IT동아갤로그로 이동합니다. 22.03.15 2330 11
887 [스타트업 in 과기대] 스튜디오이색, "업사이클링 도자기 인테리어로 지구에 이바지하세요" IT동아갤로그로 이동합니다. 22.03.15 63 0
886 [스타트업 in 과기대] 탄소중립원, “모든 탄소를 찾아내겠습니다” IT동아갤로그로 이동합니다. 22.03.15 61 0
885 [스타트업 in 과기대] 데코에어 "개인용 냉난방, 공기청정, 항균? 하나로 해결합니다" IT동아갤로그로 이동합니다. 22.03.15 88 1
884 [IT애정남] 치솟는 기름값, '오피넷'으로 최저가 확인하자 [2] IT동아갤로그로 이동합니다. 22.03.15 93 0
토스랩 '잔디'에게 묻다, '협업 툴에게 보안이 더 중요한 이유는?' IT동아갤로그로 이동합니다. 22.03.15 138 0
882 ‘러시아 규탄’ IT·게임 업계 성명 줄이어 [6] IT동아갤로그로 이동합니다. 22.03.15 1050 5
881 [뉴스줌인] 가비아X홍익대에서 선보인 무료 글꼴, 상업적 이용도 가능? IT동아갤로그로 이동합니다. 22.03.14 88 0
880 [주간투자동향] 클릭브랜즈, 1,200억 원 규모의 투자 유치 IT동아갤로그로 이동합니다. 22.03.14 62 0
879 한 손에 쏙, 실속·성능 갖춘 ‘소형 스마트폰’에 주목 [23] IT동아갤로그로 이동합니다. 22.03.14 2825 5
878 [리뷰] 노트북 활용도를 극적으로↑ 벨킨 커넥트 프로 썬더볼트 4 독 [4] IT동아갤로그로 이동합니다. 22.03.14 2031 0
877 전통주 기업 국순당, 가비아 하이웍스 통해 업무 디지털화 ‘성큼’ IT동아갤로그로 이동합니다. 22.03.11 84 0
876 "관광지 찍는 대규모 여행 줄어들 것"...초개인화된 소확행 여행 부상 IT동아갤로그로 이동합니다. 22.03.11 189 0
875 [IT애정남] 최신 스마트폰 성능 발목잡는 스로틀링, 개선 방안은? IT동아갤로그로 이동합니다. 22.03.11 173 0
874 [스타트업 in 과기대] 칼리더스, '비효율적인 난방 효율, 사물인터넷으로 개선' IT동아갤로그로 이동합니다. 22.03.11 88 0
873 [스타트업 in 과기대] 스페이스앤빈 "첨단 산업 위협하는 방사선, 전자파를 막습니다" IT동아갤로그로 이동합니다. 22.03.11 72 0
872 [스타트업 in 과기대] 김브로스소프트 "단단한 친환경 빨대, 마음놓고 쓰세요" IT동아갤로그로 이동합니다. 22.03.11 99 0
871 2021년 무선 이어폰 맹주는 애플, 삼성·중국 기업 추격 중 [43] IT동아갤로그로 이동합니다. 22.03.11 3830 4
870 [스타트업 in 과기대] 테라블록 “저급 폐플라스틱도 무한 재생 가능한 자원 된다” IT동아갤로그로 이동합니다. 22.03.11 123 0
869 [뉴스줌인] 삼성 QD-OLED 탑재한 첫 모니터, 삼성 아닌 델에서 출시 [1] IT동아갤로그로 이동합니다. 22.03.10 264 1
868 발뮤다 폰 연이어 수난, 판매 중단 이어 가격 30% 인하 [3] IT동아갤로그로 이동합니다. 22.03.10 282 1
867 [스타트업 in 과기대] 바이리라 "스마트워치 돋보이게 할 쥬얼리, 친환경으로 구매하세요" IT동아갤로그로 이동합니다. 22.03.10 124 0
866 [앱으리띵] 돈을 걸면 의지가 달라진다? 습관 만드는 앱 '챌린저스' IT동아갤로그로 이동합니다. 22.03.10 94 0
865 AMD, 4세대 스레드리퍼로 전문가용 데스크톱 시장 공략 [16] IT동아갤로그로 이동합니다. 22.03.10 2694 7
864 [모빌리티 인사이트] 미래 비행기의 주요 동력원은 무엇일까? IT동아갤로그로 이동합니다. 22.03.10 82 0
863 홍기훈 교수 “NFT 미래수업, 세 가지는 꼭 알아야” [2] IT동아갤로그로 이동합니다. 22.03.10 112 0
862 M1 칩의 한계는 어디? 애플, M1 울트라 기반 '맥 스튜디오' 출시 IT동아갤로그로 이동합니다. 22.03.09 282 0
861 막 내린 MWC, 통신 혁신 이끈 GLOMO 수상사는? IT동아갤로그로 이동합니다. 22.03.09 89 0
860 '보고있나 삼성'··· 애플, A15 아이폰 SE·M1 아이패드 에어 공개 [40] IT동아갤로그로 이동합니다. 22.03.09 4490 17
갤러리 내부 검색
제목+내용게시물 정렬 옵션

오른쪽 컨텐츠 영역

실시간 베스트

1/8

뉴스

디시미디어

디시이슈

1/2