[인터뷰]낯선 보안이 우리에게 닿기까지 - security랩유닛 인터뷰

‘정보보안’하면 어떤 단어들이 떠오르시나요? 조금은 어렵고, 낯선 듯한 느낌이 들기도 합니다. 사실 정보보안은 우리가 하는 업무의 시작부터 끝까지 밀접하게 맞닿아 움직이고 있습니다. 회사에서 기본적으로 사용하는 인터넷망도, 업무용 메신저에서도, 우리가 서비스하는 웹·앱에서도, 업무를 하면서 얻게 되는 모든 정보까지 보안이 필요하지 않은 곳이 없는데요.


그렇다면 커머스 회사의 정보보안을 책임지는 부서는 어떤 일을 할까요? 우리가 더 안전한 서비스를 제공할 수 있도록 알게 모르게 뒤에서 우리의 보안을 지키고 있는 security랩유닛 현주님과 정보시스템보안팀 효은님, 개인정보보호팀 유종님을 만나 들어보았습니다.



안녕하세요, 자기소개 부탁드립니다.

안녕하세요, 반갑습니다. (주)브랜디에서 정보보호 조직 security랩유닛을  맡고있는 주현주입니다. security랩유닛은 (주)브랜디가 고객에게 안전한 커머스 환경을 제공하고, 직원들이 안심할 수 있는 업무환경을 제공하기 위한 시스템을 구축해나가는 곳이에요.


‘안전한 환경’이라는 의미가 굉장히 포괄적인 것 같아요. security랩유닛은 어떤 일을 하는 곳인가요?

사실 보안이라는 것이 광범위한 일과 서비스를 담고 있어요. (주)브랜디가 앱 서비스를 제공하면서 일어날 수 있는 보안과 관련된 모든 사항을 체크하고 개선하는 과정인 거죠. 앱에 가입하거나 앱에서 구매하는 과정에서의 보안 사항일 수도 있고, 직원들이 회사에서 일을 할 때 필요한 보안 사항일 수도 있고요.


고객과 (주)브랜디의 정보가 잘 지켜질 수 있도록 정책과 프로세스를 마련하고 잘 지켜질 수 있도록 가이드하는 역할을 하기도 하고, 현 상황에서 보안 취약점을 발견하고 보완하는 작업을 하고 있습니다.



구체적으로 어떤 일을 하는지 궁금해요!

security랩유닛은 크게 보안 정책 수립 및 관리 업무를 수행하는  정보보호팀과 고객 데이터를 관리하는 개인정보보호팀으로 나뉘어져요.


#정보보호팀

정보보호팀은 보안 정책 수립 및 감사,  보안 시스템 개발/운영, 취약점  진단 및 모의해킹으로 구분되어 있어요.


보안 정책 수립 및 감사 파트는 전사 보안 규정 및 지침 수립하고 정보보호 관리체계(ISMS)와 같은 인증 취득 업무를 수행하고 있고요. 취약점  진단 및 모의해킹 파트는 고객과 관련된 서비스 만들면서 발생하는 아키텍처 구성과 개발 코드에 보안 위험 요소는 없는지 서비스 배포 전 보안(취약점 진단, 모의해킹) 검토와 조치를 진행하고 배포 후 안전한 고객 서비스 제공을 위해 침해 예방, 침해 시도에 대한 탐지 및 대응 업무도 담당하고 있어요. 보안 시스템 개발/운영 파트는 브랜디언들이 사용하는 업무용 시스템, 네트워크, 소프트웨어, 보안 솔루션 등의 보안 시스템을 개발하고 운영하는 EndPoint 보안 업무를 담당하고 있고요.


정보보호팀만의 특징이 있을까요?

각 파트는 전문성이 높은 팀원들로 구성되어 있어 최신 기술을 적용해 브랜디의 보안 수준을 높이고, 개인의 커리어 성장을 위해 다양한 도전을 하고 성공과 과정의 경험을 통해 역량을 쌓을 수 있도록 본인 업무에 권한과 책임을 갖고 자유롭게 업무를 진행하려고 하고 있습니다.


개인정보 뿐만이 아니라 시스템에서 생성되는 모든 정보는 생명주기 관리가 매우 중요한데요. IT 환경 특성상 인프라 구성과 개발 코드는 자주 바뀌고 회사 직원도 지속적으로 피싱, 악성코드 등과 같은 공격에 노출되고 있어 취약점 관리도 연속적이고 지속적으로 진행되어야 안전한 인프라, 안전한 어플리케이션, 안전한 서비스를 만들 수 있다고 생각해요.


이와 같은 다양한 취약점에 대응하기 위해 브랜디 보안 조직의 모든 업무는 ‘계획 - 실행 - 검토 - 조치’ 순서에 따라 반복적인 사이클로 진행하고 있습니다.



계획(Plan) 단계

조직의 종합적인 정책과 목표에 따른 결과를 산출하기 위하여 위험관리를 수행하고 정보보호를 개선하기 위한 정책, 목표, 세부 목표, 프로세스 및 절차를 수립하는 과정


실행(Do) 단계

보안 정책, 통제, 프로세스 및 절차를 구현 및 운영


검토(Check) 단계

보안 정책, 목표 및 실제 경험에 대한 프로세스 성과를 평가하고 측정 후 그 결과를 관련자에게 공유하며 검토


조치(Act) 단계

관리체계의 지속적 개선을 달성하기 위해 검토 결과에 근거하여 시정 및 예방조치를 실시


위와 같이 연속적/지속적으로 업무를 반복하면서 서비스에서 발생될 수 있는 취약점을 찾아, 고객이 안전하게 서비스를 이용할 수 있도록 노력하고 있어요.


#개인정보보호팀

개인정보보호팀은 (주)브랜디의 고객 정보, 임직원 정보 등 회사에서 다루는 개인정보가 개인정보보호법 등 관련 법률을 잘 준수하고 안전하게 처리될 수 있도록 가이드하는 역할을 하고 있어요.


브랜디, 서울스토어, 하이버를 통해서 들어오는 고객 정보들이 잘 관리되고 보호될 수 있도록 프로세스를 세우고 가이드를 드리고 있습니다. 예를 들면 설문을 통해서 고객 정보를 받을 때는 어떤 부분을 주의해야 하는지, 진행 방법에서 개인정보 관리에 취약점이 있지는 않는지 등을 점검하기도 해요.

 

특히 (주)브랜디는 커머스를 기반으로 하는 회사이기 때문에 지켜야 하는 개인정보보호와 관련된 법들도 많은데요. 인터넷 쇼핑몰 산업 자체에 대한 규제는 점차 강해지지만, 각 부서에서는 관련 법들을 세세히 인지하거나 바뀌는 규제를 빠르게 숙지하기 어려워요. 그렇기 때문에 개인정보보호팀이 그 중간자로서 문제가 생기지 않도록 잘 가이드하려고 하고 있어요.


지켜야 할 것이 많아질수록 ‘불편하다’는 인식이 있는 것 같아요. security랩유닛도 이 부분을 굉장히 많이 신경 쓰고 계신 것으로 알고 있는데요. 무엇을 가장 신경 쓰고 계신가요?

기본 전제는 구성원들이 통제받는다는 생각이 들지 않았으면 해요. 특성상 여러 팀과 소통하는 일이 많은데, 보안과 관련해서 개선해야 하는 부분이 있다면 “이거 이렇게 해야 합니다” 보다는 “이렇게 진행하면 이런 위험이 있습니다”하고 알려드리는 역할로 더 안전하게 일할 수 있도록 도움을 드리려고 해요. 업무에서 보안과 관련된 부분을 잘 판단할 수 있도록 정보와 방법들을 제공해 드리는 역할을 하는 거죠.


물론 가이드로 인해서 불편함을 느끼는 분들이 있을 수 있다고 생각해요. 그렇기 때문에 지금은 더 많이 공유하고, 계속해서 알려드려야 한다고 생각하고요. 보안을 전사의 아젠다로 생각되게 하는 일도 저희의 역할이라고 여기고 있습니다.


(주)브랜디가 최근 ISMS 인증을 획득했어요. ISMS 인증이 뭔가요?


ISMS는 한국인터넷진흥원(KISA)에서 인증하는 정보보호 관리체계로 법이 정한 일정 규모 이상의 기업/기관이 충분히 보안 요건을 충족하는지 심사하는 제도에요. 우리가 만든 서비스가 믿고 사용할 수 있는 서비스인지 그 신뢰성과 안정성을 인증 받는거죠. (주)브랜디는 올해 ISMS 인증을 진행했고, 12월 ISMS 인증을 획득한 상태입니다.


이 과정에서도 구성원분들의 도움이 컸어요. ISMS 인증은 한 부서에서 진행한다고 해서 손쉽게 될 수 있는 게 아니거든요. 모든 부서가 보안에 대한 경각심과 보안 인식을 두고 함께 해야만 가능한 것이라 이번 ISMS 인증이 더 의미가 있다고 생각하고 있어요. 이 시점을 기점으로 (주)브랜디가 더 높은 차원의 보안 환경을 만들 수 있도록 만들어갈 것이고, 그렇게 될 수 있을 거라고 믿고 있어요.


security랩유닛의 목표는 무엇인가요?

지금까지 스타트업에서 정보보안에 큰 투자를 하지 않았던 것도 사실이라고 생각해요. 스타트업 특성상 살아남기 위해서는 속도가 중요하고, 보안은 불편하다는 인식이 있으니까요. 실제로도 보안이 높은 곳이 일하기 수월한 환경은 아닐 수 있다고 생각해요.


하지만 보안도 충분히 불편하지 않을 수 있어요. 구성원들이 굳이 신경 쓰지 않아도 높은 수준의 보안이 유지되는 커머스 환경을 만드는 것, 그리고 커머스에서 가장 안전한 환경을 만드는 것이 목표예요. 그 목표를 향해서 한 단계 한 단계 발전하고 있고, 곧 그렇게 될 수 있을 거라고 믿고 있습니다.