[IT동아 남시현 기자] “기업만 보안에 신경을 쓰면 된다는 말은 옛 말이다. 지금은 내부 사용자들이 외부를 통해 정보에 접근하는 일이 많아졌고, 또 개인 장치의 성능도 향상되면서 개인 사용자에 대한 보안 위험도 커졌다. 지금의 보안은 특정 기업, 보안 담당자만 하는 게 아니라 각 구성원이 전사적으로 구축해야 한다고 보면 된다”
토스랩 사무실에서 만난 이성훈 IS/SE(정보보호&기술영업)팀 매니저에게 정보 보안에 있어서 개인의 역할이 어떤가에 대해 묻자 돌아온 대답이다. 이날 인터뷰에 응한 이성훈 매니저는 롯데정보통신, 이글루시큐리티 등 전문 보안업체에서 20여 년 이상 경력을 쌓아온 정보보호 컨설턴트로, 토스랩에는 2020년 7월 합류해 현재 보안 관련 업무를 전담하고 있다. 특히, 이성훈 매니저는 토스랩의 ISO27001 인증에 주도적인 역할을 했으며, 지난 2월에는 국내 기업으로는 처음으로 CSA STAR의 최신 버전 ‘CCM 4.0.2’ 인증을 취득하도록 이끌었다. 그를 통해 기업의 보안 체계와 관련 동향에 대해 들어보는 시간을 가졌다.
기업의 정보보호 부서, 어떤 일 하나?
잔디를 서비스하는 토스랩의 이성훈 IS/SE(정보보호 및 기술영업)팀 매니저. 출처=IT동아
토스랩은 스타트업으로는 드물게 독립적인 보안 부서를 두고 있으며, 이성훈 매니저가 부서의 실무를 맡고 있다. 그가 속한 IS/SE 부서는 정보 보호, 그리고 토스랩이 서비스하고 있는 협업 툴 ‘잔디’의 기술 영업을 진행한다. 내부적으로는 사내 보안과 정책 지침, 점검, 보안 교육 등을 진행하며, 공공기관이나 한국인터넷진흥원(KISA), 행정안전부 등 외부 기관의 보안 점검도 대응한다. 또한, ISO27001, CSA STAR 등의 까다로운 인증 기준을 충족하기 위해 꾸준히 보안 관련 업무를 진행하고 있다.
일단 토스랩이 갖춘 정보보호 관리체계는 어떻게 작동하는지에 대한 설명을 부탁했다. 이 매니저는 “가장 먼저 정보통신망법과 개인정보보호법에 근거해 정보보호 관리체계를 수립한다. 여기에는 인재 채용이나 보안 서약서, 패스워드 정책, 보안 사고에 따른 지침 등에 대한 내용이 담겨있다. 그 다음에 보안에 대한 기술적 분류를 거치고, 취약점 점검을 진행한다. 이때 취약점 점검은 모의 해킹 등을 통해 진행하고, 이렇게 도출된 취약점에 대한 위험 분석을 진행한 다음 보호 대책까지 만들어 조치를 취하는 게 기본이다”라고 말했다.
이성훈 매니저가 토스랩의 보안 체계에 대해 설명하고 있다. 출처=IT동아
여기에 토스랩은 정보보호위원회를 구성해 전사적인 보안 체계를 구축했다. 정보보호위원회는 ISO27001나 ISMS(정보보호 관리체계 인증)을 취득한 기업은 연 1회 개최하는 게 원칙이지만, 토스랩은 정보보호위원회의 실질적인 효과를 거두기 위해 정보보호 최고책임자(Chief Information Security Officer, 이하 CISO)를 필두로 한 웹, 모바일, 백엔드, 인사, 경영 등 모든 부서로 구성된 정보보호위원회 회의를 월 1회 개최한다. 덕분에 보안 우려나 보안 관련 현안이 발생하더라도 빠르게 내용을 공유하고, 관리할 수 있다. 특히나 현안에 대한 처리가 빠른 스타트업 특성 덕분에 월 1회 회의가 큰 효과를 보고 있다는 평가다.
당시 새벽에 오간 Log4j 대처 관련 로그 및 대화 기록을 보여주고 있다. 출처=IT동아
지난해 12월 전 세계 보안업계를 뒤집은 취약점, ‘Log4j(로그포쉘)’에 대한 대처만 봐도 그렇다. Log4j는 특정 명령어를 전달하는 것만으로도 상대방의 제어권까지 탈취할 수 있어 사상 최악의 취약점이라고 불린다. 이 매니저는 “토스랩 뿐만 아니라 전 세계 IT 기업들이 이 문제를 해결하기 위해 발 빠르게 움직였던 사건이다. 토스랩의 경우에는 보안위원들이 토요일 새벽에 실시간으로 문제를 공유하고 취약점을 리스트업해서 긴급하게 환경설정을 변경했다. 그 이후 보안 패치를 통해 가능한 시스템부터 순차적으로 조치를 했고, 발생 이후 한달 간 문제가 발생하지 않았다”라고 회상했다. 만약 보안 담당자가 없거나, 실시간으로 대응하지 않았다면 문제가 될 수 있는 상황이었다.
일반적인 잔디 사용자에 대한 편의도 덧붙였다. 이 매니저는 “잔디의 모든 보안은 ISO27001이나 ISMS 등을 통해 관리되는 환경에 있다. 예를 들어 잔디에 메시지를 입력하면 입력과 동시에 암호화되며, 외부 해킹 등을 통해 탈취할 수 없다. 만약에 암호화된 메시지를 탈취했다고 해도 대상은 물론 복호화 키, 통제 항목 등이 필요하므로 걱정할 필요가 없다”라면서, “만약 추가적인 보안에 대한 요구가 있더라도, 토스랩은 독립적인 보안 부서를 운용하므로 곧바로 피드백을 받으실 수 있다”고 말했다.
ISO27001, CSA STAR, 모두 고객 신뢰 위한 노력
토스랩이 취득한 ISO27001 인증서 및 CSA STAR 4.0.2 인증서. 출처=IT동아
이처럼 토스랩이 발 빠르게 대처할 수 있었던 배경에는 ISO27001, 그리고 CSA STAR 등이 적용된 덕분이다. ISO27001은 정책, 지침, 인적, 물리시설, 환경, 기술 영역, 접근 통제, 인증 암호화, 로깅, 개인정보 등 14개에 대한 보안 항목이 있으며, 여기서 또 114개의 세부 항목으로 나뉜다. 아울러 CSA STAR는 미국 클라우드 보안 연합에서 국제 클라우드 보안 인증이다. ISO27001과 다르게 보다 더 구체적으로 기술적인 보안 요구사항이 있으며, 클라우드의 테크니컬 보안에 대한 신뢰성을 확인한다. 점검 항목도 17개 항목에 261개의 세부 항목으로 더 까다롭다. 그렇다면 왜 토스랩은 이렇게 복잡한 규정들을 지키고 있는 것일까. 정답은 바로 시장 신뢰에 있었다.
이 매니저는 “기업에서 협업 툴을 도입할 때 가장 먼저 나오는 질문이 바로 보안이다. 하지만 우리가 아무리 보안에 대해 강조하더라도 공식적으로 증명되지 않는다면 신뢰성이 없다. 여기서 공신력을 확보할 수 있는 방안이 ISO27001이며, 한발 더 나아간 게 CSA STAR 4.0이다. 특히나 두 인증 모두 매년 점검을 거치고, 갱신되기 때문에 꾸준히 시장의 신뢰를 확보하기 위해 노력해야 한다는 공통점이 있다. 이를 보유하고 있다는 점 자체가 토스랩을 믿고 사용할 수 있다는 의미다”라고 설명했다. 게다가 대기업이나 공공기관, 금융권에서는 신뢰할 수 있고 입증된 기업의 소프트웨어만 활용하기 때문에 ISO27001을 유지하는 것 자체가 중요하다.
이성훈 IS/SE 팀 매니저는 앞으로 CSAP 및 ISO27017 인증 등도 취득해 나갈 것이라고 답했다. 출처=IT동아
잔디의 보안 정책을 유지하기 위해 어떤 노력이 투입되고 있는지에 대해서도 물었다. 이에 대해서는 “ISO27001 기준에는 보안 목표 및 계획 수립 항목이 있다. 여기에 경영진의 의지와 방향성이 드러나야 하고, 또 예산을 어떻게 편성하는가에 대해서도 정해져 있다. 토스랩은 이 기준에 맞춰서 매년 보안에 대한 투자를 집행하고 있으며, 수익과 비례해 매년 과감한 수준으로 투자를 넣고 있다. 앞서 진행한 두 인증 이외에도 공공 클라우드 인증인 CSAP, 클라우드 정보보호 표준 ISO27017 역시 취득할 준비를 하고 있다”며 구체적인 계획을 말해주었다.
‘정보보호의 선도 사례가 되고, 문화도 바꾸고 싶어’
토스랩의 보안을 책임지는 이성훈 매니저의 목표는 최고보안책임자로도 불리는 CSO(Chief Security Officer)이다. 내로라하는 대기업에서 스타트업으로 자리를 옮긴 이유도 추구하는 방향이 명확해서다. 이 매니저는 “국내 기업의 정보보호 최고책임자는 CISO로 부르지만, 이는 IT 측면에 국한된다. 반대로 해외에서는 정보보호의 책임을 CSO에게 일임한다. CSO는 단순히 IT뿐만 아니라 물리적인 시설에 대한 관할이나 인사, 경영 등 보안이 필요한 총체적인 분야를 다룬다. IT 측면뿐만 아니라 보안에 대한 모든 것을 책임지는 직책이다. CISO라는 직책이 CSO로 발전하기 위해서는 진보적인 기업 문화가 필요하고, 토스랩이 여기에 부합한다. 정보보안 컨설턴트로서 토스랩을 정보보호의 선도 기업으로 만드는 것은 물론, 기업 문화 측면에서도 본받을 수 있는 기업으로 다듬는 게 목표”라며 포부를 밝혔다.
댓글 영역
획득법
① NFT 발행
작성한 게시물을 NFT로 발행하면 일주일 동안 사용할 수 있습니다. (최초 1회)
② NFT 구매
다른 이용자의 NFT를 구매하면 한 달 동안 사용할 수 있습니다. (구매 시마다 갱신)
사용법
디시콘에서지갑연결시 바로 사용 가능합니다.