“속도보다 방향, 통제보다 신뢰”...OWASP 세미나서 엿본 보안 조직 성장기

입력 : 2026-04-22 20:21

강정철 넥스트증권 엔지니어, 레거시 환경 탈피하고 효율성 극대화한 실무 노하우 공유
김동현 前 우아한형제들 CISO, 25년 경력 바탕으로 보안 조직 정체성과 신뢰 구축 강조
기술 도입과 정책 수립 모두 결국 ‘문화’로 귀결된다는 두 전문가의 공통된 혜안

[보안뉴스 조재호 기자] “아무리 훌륭한 보안 솔루션을 도입하더라도 임직원이 공감하는 ‘보안 문화’가 뿌리 내리지 못하면 무용지물입니다.”

지난 21일 열린 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP) 4월 세미나에서 나온 이 한마디는 보안 담당자들이 마주한 현실이다. 스타트업의 첫 보안 담당자부터 대형 플랫폼의 조직 성장기까지, 서로 다른 환경에서 보안 체계를 구축한 두 전문가는 기술적 테크닉보다 ‘사람’과 ‘문화’를 향한 일관된 방향성이 보안의 성패를 가른다고 입을 모았다.

강정철 엔지니어 “조치 가능한 취약점에 집중해야”... 효율 극대화 실전 압축 보안
'밑바닥부터 시작하는 스타트업 보안'을 주제로 발표에 나선 강정철 넥스트증권 엔지니어는 빠르게 변화하는 개발 환경 속에서 형상관리와 계정 인증 체계를 현대적으로 재정비하며 DevSecOps 기반을 마련한 경험을 공유했다.

강 엔지니어는 AI가 취약점을 대신 찾아주는 '딸깍의 시대'일수록 보안 담당자는 탐지 그 자체보다 ‘실제 조치율’을 높이는 데 사활을 걸어야 한다고 강조했다. 특히 시크릿 스캐닝(Secret Scanning)과 정적 애플리케이션 보안 테스팅(SAST), 소프트웨어 구성 분석(SCA)을 운영할 때 영향도와 조치 난이도를 기준으로 우선순위를 설정할 것을 권했다.

그는 “발견 즉시 조치가 가능한 시크릿 스캐닝을 1순위로 둬야 한다”며, 실제 운영 환경에서 크리밋(Cremit)의 시크릿 스캐닝 솔루션을 통해 개발·협업 툴 전반에 산재한 크리덴셜 유출을 탐지하고, 프로밸리(Provally)의 SAST PoC 자동화 도구로 취약점 검증 부담을 덜어내는 방식으로 한정된 보안 인력의 효율을 극대화했다고 설명했다.

또, 자동화의 화려한 수치보다 개발자와의 긴밀한 소통으로 실질적인 방어 체계를 단단히 쌓아가는 것이 스타트업 보안의 핵심 전략임을 분명히 했다.

김동현 前 CISO “보안은 도자기를 빚는 과정... 속도보다 일관된 방향이 필수”
이어 무대에 오른 김동현 전 우아한형제들 CISO는 25년이 넘는 실무 경력을 바탕으로 'Zero to One, One to Ten: 성장하는 보안 조직에서 중심에 두어야 할 것'에 대해 역설했다.

보안 조직이 전무한 제로(Zero) 상태에서 팀이 처음 생겨날 때, 타 부서의 업무를 강제로 빼앗기보다 새로운 체계를 섬세하게 설계하는 협업의 과정이 필요하다고 설명했다. 조직 규모가 10명 이상으로 커지는 확장의 시기에는 앞사람만 보고 달리는 맹목적인 속도보다, 팀원 모두가 서로 손을 잡고 나아가는 일관된 방향성이 중요하다고 짚었다.

김 전 실장은 잉글랜드 프로축구팀 리버풀FC의 응원가로 유명한 '당신은 결코 혼자 걷지 않으리라'(YNWA: You'll Never Walk Alone) 라는 문구를 인용하며, 타 부서와 굳건한 신뢰를 쌓고 보안팀의 긍정적인 정체성을 확립하는 작업이 진정한 기업 방어 수준의 향상을 이끈다고 당부했다.

기술과 조직을 관통하는 하나의 키워드, ‘보안 문화’
두 연사의 강연은 규모와 접근 방식의 차이를 넘어 보안의 본질은 결국 '사람'이라는 지점으로 수렴했다. 단일 로그인(SSO)이나 다중요소인증(MFA) 같은 첨단 보안 기술을 겹겹이 쌓아 올려도, 이를 운용하는 조직 구성원 간의 신뢰와 공감이 없다면 모래성에 불과하다는 지적이다. 회사의 모든 팀이 좋은 관계를 맺고 하나의 문화로서 일할 수 있어야 회사의 보안 문화가 한 단계 더 성장할 수 있다는 의견이다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

조재호기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  앤트로픽의 방관 속 기하급수적으로 번지는 ‘...

• 2

  [이슈칼럼] 퇴직자 API 키 방치가 부른 ...

• 3

  “몸값만 27억원”... 샤이니헌터스, Ve...

• 4

  내 개인정보가 35달러?... 노드VPN, ...

• 5

  클라우드 업계 “국정원 일원화, 이중고 해소...

• 1

  또 뚫린 프랑스 공공 인프라... 이번엔 A...

• 2

  앤트로픽의 방관 속 기하급수적으로 번지는 ‘...

• 3

  마이크로소프트 계정 탈취, 피싱 키트 서비스...

• 4

  편리하게 일하려 자동화했더니... n8n 클...

• 5

  “문자 한 통에 뚫리던 시대 끝났다”... ...

• 1

  [2026 시스템·데이터 백업 및 복구 솔루...

• 2

  [단독] “설치형 보안 SW 다 빼!”......

• 3

  미국 국방 무기가 러시아 스파이 손에… ‘코...

• 4

  북한 해킹조직, 위장 취업 공격 고도화......

• 5

  앤트로픽의 방관 속 기하급수적으로 번지는 ‘...