[디지털데일리 최민지기자] 배달의민족(배민)을 운영하는 우아한형제들에서 보안조직을 이끌고 있는 김동현 최고정보보호책임자(CISO)는 꿈꾸는 이상적 목표가 있다. 바로, 회사 내 보안 조직이 사라지는 것이다. 이는 어떤 의미일까.
김동현 CISO는 <디지털데일리>와의 보안리더스 인터뷰를 통해 “회사 모든 구성원들이 각자의 업무 분야에서 보안 전문가 수준이 돼, 보안조직 필요성이 없어지는 이상을 목표로 한다”고 밝혔다.
김 CISO도 이러한 목표가 현실적이지 않은 ‘이상’이라는 것을 알고 있다. 그럼에도, 이를 향해 달려가야만 궁극적으로 기업 내 보안 수준이 상향될 수 있다고 믿는다. 전 구성원 보안의식이 높아져야만, 정보보호의 틈이 생기지 않기 때문이다.
특정 조직에서만 정보보호를 외치고 다른 구성원들 보안의식이 낮다면, 정보보호와 관련되지 않는 조직에선 관련 보안업무와 교육을 그저 귀찮은 일로 치부한다. 그러다 보면, 작은 틈이 생기게 되고 이는 언젠가는 댐을 무너지게 할 수 있다.
김 CISO는 “보안담당자만 잘해서 할 수 있는 보안업무는 거의 없다고 보면 된다. 대부분 업무가 다른 동료들 도움을 받아야 해결할 수 있다”며 “동료들이 보안 인식이 높거나, 본인 업무 분야에서 보안적으로 어떤 것들을 챙겨야 하는지 잘 알고 있다면, 보안담당자들은 일하기 좋아지며 당연히 회사 보안 수준은 자연스럽게 높아진다”고 말했다.
이어 “불가능에 가까운 일이라 이상적 목표라고 말했지만, 그래도 비슷한 방향으로 가려고 노력하고 있다”고 덧붙였다.
◆보안사고 최고 예방법, ‘기본’부터 지키는 것
결국 보안이란 특정 부서 업무가 아닌 전 구성원이 해야 할 일이라는 설명이다. 기본적인 보안 수칙을 지키기만 해도, 리스크를 상당 부분 줄일 수 있다.
김 CISO는 “보안 솔루션 중 100% 만족시키는 제품은 없고, 같은 사양과 프로그램을 설치한 동일한 PC를 사용하더라도 꼭 어떤 모델만 문제가 생기는 사용자불량 사례가 나온다”며 “백신 등 보안 프로그램 업데이트를 잘 하고, 관련해 관심을 기울이기만 해도 리스크가 정말 많이 감소한다”고 설명했다.
이는 김 CISO가 22년 이상 보안업무에 몸담으며 항상 느낀 바다. 김 CISO는 대학원 시절 보안분야를 전공으로 삼은 후 2002년 정보보호진흥원(KISA) 입사 후 다양한 곳에서 보안관련 연구개발(R&D), 기업보안담당자, 보안컨설턴트를 역임했다. 2018년부터 그는 우아한형제들 CISO와 최고개인정보보호책임자(CPO)를 맡고 있다. 이처럼 김 CISO는 오랜 기간 보안업계에 근무하면서 다양한 사고를 경험했고, 최고의 예방법은 모두가 ‘기본’을 지키는 것이라고 결론을 냈다.
일례로, 김 CISO가 대학원 시절, 학교에 ‘코드레드’ 웜바이러스가 퍼지자 모든 건물 내 PC와 네트워크 장비들 전원을 끄게 되는 사건이 발생했었다고 한다. 당시 김 CISO는 연구물을 지키기 위해 본인이 속한 연구실이 위치한 공과대학 PC 전원만 끄지 말아달라고 요청한 후, 동료들과 해당 건물에 있는 모든 PC 바이러스를 검사하고 윈도 취약점 패치와 코드레드 백신을 설치했다. 이는 김 CISO의 첫 사고대응이었다.
김 CISO는 “기본을 지키지 않아 그러한 사고들이 발생한다. 최신버전으로 백신 및 윈도 보안 업데이트를 하라고 이론적으로 배우지 않는가”라며 “다른 개인정보유출 사고들도 마찬가지다. 취약점을 찾아 조치하고, 백업 시스템을 갖추고, 퇴근 때 PC를 끄고, 권한 관리는 최소한으로 필요한 사람들에게만 해야 한다. 일련의 사고들은 이같은 기본 원칙을 잘 따르지 않았던 케이스들이 대부분”이라고 지적했다.
◆혼자서만 잘하는 보안에는 한계 있다…협력사 보안수준도 높아져야
이와 관련 우아한형제들은 보안 캠페인과 교육을 임직원 필수교육으로 진행하는 등 노력을 전개하고 있다.
김 CISO는 “우아한형제들은 의사결정권자뿐 아니라 임직원들도 보안을 바라보는 마음가짐과 자세가 다르다”며 “많은 회사들이 보안조직에서 보안 교육 및 캠페인을 담당하지만, 우아한형제들에선 콘텐츠 제작만 도와줄뿐 전사교육팀에서 도맡고 있다”고 부연했다. 임직원 보안 중요성을 전사적으로 인식하고 있다는 방증이고, 동시에 보안조직의 업무효율성을 높여주는 조치라는 것이다.
다만, 우아한형제들뿐 아니라 외부 기업들 정보보호 수준도 중요해졌다. 많은 기업들은 이제 혼자서 모든 사업을 해내지는 못한다. 외부 서비스를 연동하고 수많은 협력사와 고객사들과 관계를 맺어온다. 이에 김 CISO는 공급망 보안 중요성을 강조했다.
김 CISO는 “배민도 적지 않게 외부 서비스를 연동하거나 이용하고 있다. 도입 전 언제나 보안성 검토를 진행하는데, 서비스는 매력적이지만 보안수준이 낮은 경우를 많이 보게 된다”며 “제시하는 최소한의 보안 요구사항을 만족시키도록 빠르게 개선해 계약까지 가는 경우도 있지만, 그렇지 못한 경우도 있다”고 전했다.
우아한형제들이 제시하는 보안 요구사항은 국내 법‧규제상 컴플라이언스 요건을 충족시키라는 내용이다.
김 CISO는 “이를 지키지 못하는 곳의 서비스나 솔루션이 너무 많다. 전담자도 없고 리소스도 부족한 작은 규모 기업들이 대부분이다 보니 심적으로는 이해하지만, 이를 사용하게 되면 우아한형제들이 법을 위배한 것으로 볼 수도 있어 쓸 수 없다”며 “해당 기업 입장에서는, 우아한형제들을 위해 컴플라이언스 요구를 적용한 제품을 만들면 제품 파편화가 심해지고, 그 기업의 기존 고객을 설득해야 하는 불편함도 생긴다고 호소한다”고 말했다.
이들은 대부분 창업 초기 스타트업이나 영세한 규모의 작은 기업들이 많다. 그래도 이들 모두 정보보호 개선을 해야 하기에, 이를 아우르는 정부 가이드와 지원 정책이 필요하다고 봤다.
김 CISO는 “창업 초기 스타트업은 보안 관련 인력을 채용하거나 보안을 고려하면서 서비스를 만들기 어려운 환경이다. 반대로 서비스를 이용하는 고객사 보안 요구 사항은 점점 높아지고 있다”며 “정부 차원에서 여러 보안 고려사항들을 점검하고 가이드를 해준다면, 스타트업들은 고객 유치에 이점이 생기고, 우아한형제들 같은 회사들은 함께할 서비스를 선택하는 데 폭이 넓어지게 된다. IT서비스 생태계도 더 넓어지고 튼튼해질 것”이라고 제언했다.
◆TIP 자체적으로 개발, 올해엔 업무프로세스 성숙도↑
한편, 올해 김 CISO는 지금까지 도입한 보안 시스템과 솔루션을 최대한 잘 활용하고 업무 프로세스 성숙도를 높일 방침이다. <지난 기사 참조 [보안리더스] 한국서 AWS 가장 잘 쓰는 ‘배민’, 보안전략은 어떻게 다를까?>
지난해 우아한형제들은 보안운영·위협대응(SOAR), 보안정보·이벤트관리(SIEM) 제품 교체를 진행하고, 침해대응 체계 대응 수준을 높였다. 특히, 2022년부터 자체적으로 TIP(Threat Intelligence Platform)를 구축하여 위협정보를 수집·활용하고 있다. 오픈소스를 활용해 자체적인 TIP를 만들었고, 모기업 딜리버리히어로의 사이버위협인텔리전스(CTI)팀에서도 해당 TIP를 활용 중이다.
김 CISO는 “우아한형제들은 SIEM을 활용한 모니터링 체계를 지속적으로 고도화시키고 있고, 의미 있는 보안 로그들을 지속적으로 SIEM으로 통합하고 빠르고 정확하게 탐지할 수 있는 룰들을 만들어 추가하고 있다”며 “침해사고 대응을 잘하기 위해서는 얼마나 빨리 정확하게 침해시도를 탐지하느냐에 달려있다. 이런 측면에서 TI라는 위협정보 가치가 높아지고 있다”고 진단했다.
들어오는 침해시도 정보만으로는 아직 발생하지 않은 침해시도를 탐지하기 위한 정책을 정교하게 만들기 어렵다. 이를 보완하기 위해 외부 TI 서비스를 활용해 다양한 TI들을 수집하고 검토해 SIEM을 비롯한 다양한 보안시스템 및 솔루션에 활용한다. 자체적으로 만든 TIP 소스도 추가로 늘리고 있다.
올해에도 보안 수준을 높이기 위해 기존 보안시스템과 솔루션 활용도 및 업무 경험에 초점을 맞춘다.
김 CISO는 “과거 인증심사나 컨설팅 했을 때, 보안시스템과 솔루션을 도입해놓고도 제대로 사용하지 않은 회사들이 있어 안타까웠다”며 “팀원들이 제조사나 기술지원 협력사 엔지니어들보다도 보안 시스템, 보안 솔루션에 대한 이해도가 높고 더 잘 활용할 수 있는 수준에 도달하기를 기대하고 있다. 개별 보안 시스템, 보안 솔루션에 대한 이해를 높이면 각각의 장점을 바탕으로 각각의 단점을 메꿔줄 수 있는 보안 체계를 설계하는데도 도움이 될 것”이라고 내다봤다.
사람의 경험도 프로세스화한다. 각각의 업무에 주 담당자는 있지만, 365일 24시간 주 담당자가 대기할 수는 없다. 주 담당자 부재 때 대응체계를 잘 만들어 놓는 것이 보안 수준을 기준 이상으로 유지하는 방법이라는 설명이다.
김 CISO는 “자동화, 시스템화가 많은 부분을 커버할 수도 있겠지만, 결국엔 사람의 개입이 필요하다”며 “사람의 개입이 필요한 상황에 대한 프로세스를 잘 만들어야 한다. 작년부터 업무 프로세스 성숙도를 높여 왔고, 올해도 지속적으로 진행할 예정”이라고 언급했다.
◆김동현 우아한형제들 CISO 주요 약력
▲우아한형제들 CISO/CPO(기술이사) 2018년 6월 ~ 현재
▲아키섹컨설팅 이사 2018년 1월 ~ 2018년 6월
▲조이보안컨설팅 이사 2015년 4월 ~ 2017년 11월
▲한국정보보호시스템 책임컨설턴트 2015년 1월 ~ 2015년 4월
▲코리스랩 책임컨설턴트 2014년 2월 ~ 2014년 12월
▲삼성생명보험주식회사 정보전략팀 보안부문 책임 2011년 10월 ~ 2013년 4월
▲이베이코리아(G마켓) IS팀/PIS팀 과장 2007년 6월 ~ 2011년 9월
▲LG전자기술원 주임연구원 2005년 1월 ~ 2006년 5월
▲한국정보보호진흥원 연구원 2002년 2월 ~ 2004년 12월
