Home > 전체기사 > 인터뷰
‘여기어때’ 백제현 CISO “보안의 3요소, 원칙·책임감·융화”
  |  입력 : 2018-01-29 13:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
임직원 보안인식 개선, ISMS 인증 추진, 보안전담팀 구성 등에 초점 맞춰
위드이노베이션 백제현 CISO가 말하는 원칙, 비온 뒤 굳어진 ‘단단한 보안’ 상징


[보안뉴스 김경애 기자] “CISO(정보보호최고책임자)가 갖춰야 할 가장 중요한 요건 3가지는 무엇이라고 생각하시나요?” “원칙, 책임감, 융화입니다.” 기자의 갑작스런 질문에 숙박앱 ‘여기어때’ 를 운영하는 위드이노베이션의 백제현 CISO는 기다렸다는 듯이 단 1초의 망설임 없이 답변을 이어갔다. 가장 먼저 언급한 ‘원칙’이란 단어는 비온 뒤 땅이 굳어지듯 개인정보 유출사고 이후 보안을 한층 강화한 ‘여기어때’의 단단함을 상징하는 단어처럼 느껴졌다.

▲여기어때 백제현 CISO[사진=보안뉴스]


숙박앱 ‘여기어때’를 운영·관리하는 위드이노베이션은 지난해 개인정보 유출사고로 한바탕 곤혹을 치뤘다. 그렇다면 보안사고 이후 위드이노베이션은 어떻게 달라졌을까? 가장 먼저 눈에 띄는건 백제현 CISO의 영입이다. 때문에 기자가 궁금했던, 그리고 이용자들이 가장 궁금해하는 달라진 보안정책에 대해 백제현 CISO와의 인터뷰를 통해 들어봤다.

‘여기어때’의 보안정책에 대해 소개한다면? 정보보안이 법률로 명문화된 현 시점에서 무엇보다 중요한 것은 보안 컴플라이언스라고 할 수 있다. 이러한 관점에서 ‘여기어때’를 운용하는 위드이노베이션에서도 정보보안과 관련된 법령 및 보안 모범사례에 기반하는 정보보안 정책과 프로세스를 수립해 전사적인 업무에 적용하고 있다.

그 결과 위드이노베이션의 정보보안 정책은 ‘속도 중심’에서 ‘속도와 방향’을 함께 고려하는 업무 프로세스로 변화되고 있다. 그리고 ‘안전벨트의 불편함은 결정적인 상황에서 안전함으로 바뀌는 것’과 같이, 보안정책은 업무를 수행하는 과정에서 파생되는 불편함을 기꺼이 수용하는 방향으로 임직원들의 업무철학을 변화시키는 중요한 초석이 되고 있다.

지난 한해 보안성과를 되짚어 본다면? 우선 정보보안 전담인력 확대 및 보안역량 강화, 중요 정보 분리 및 암호화, 고객식별정보 수집 최소화 및 가상화, 보안 시스템 고도화를 통한 보안통제 기능강화 등의 정책을 기반으로 정보보안에 대한 임직원의 인식을 개선시킨 점이 가장 큰 성과라고 볼 수 있다. 예를 들어서 개발부서나 운영부서에서 정보보안팀의 검토와 가이드를 중요시하고 있고, 정보보안팀의 보안 가이드를 현업 부서에서 적극 적용하는 방식으로 업무 프로세스가 진행되는 것이 이러한 성과를 보여주는 좋은 예다.

다음으로는 정보보호관리체계(ISMS) 인증을 위한 다양한 보안강화 조치도 지난해 이룩한 성과라고 할 수 있다. ISMS 인증을 받기 위해서 긴 시간동안 준비했고 본 심사 기간 동안 매우 밀도 있는 심사를 받았다. 현재는 결함사항에 대한 보완조치를 모두 마무리한 후, 인증위원회의 결과를 기다리고 있다.

ISMS 인증은 단순한 인증서가 아니다. 이는 더 나은 정보보안을 위한 ‘체질개선의 징표’이고 고객에게 안전한 서비스를 제공하기 위한 ‘보안수준의 출발선’이라는 의미가 있기 때문에 지난해 진행한 여러 보안조치에서 빼놓을 수 없는 성과다.

정보보호 수장으로서 보안에 가장 신경 쓰는 부분은? 조직의 정보보안을 위해서 신경 써야 할 것이 여러 가지가 있지만 현재 수립된 정보보안부서의 5개년 계획에 근거하여 본다면, 첫째로는 ‘임직원의 보안의식’에 가장 많은 신경을 쓰고 있다.

왜냐하면 정보보안은 한 두 사람이 담당한다고 해결되는 것이 아니고 조직 구성원 모두가 함께 지켜야 하는 공동의 가치이기 때문이다. 그리고 정보보안의 시작과 끝은 바로 ‘사람’이라는 대원칙 하에 모든 임직원이 가지고 있는 보안 경각심을 제고하고 개선하는데, 많은 부분 할애하고 있다.

특히, 지난해에는 전사 임직원과 협력회사 임직원을 대상으로 대면 정보보안 교육을 의무화해 교육을 진행했고, 매월 신규 직원들을 대상으로 정보보안 교육이 진행되고 있다. 또한, 정보보안 수준을 부서 스스로가 인지할 수 있도록 하기 위해 부서 단위로 매월 자체 보안점검을 실시하고 있다. 해당 점검을 실시하지 않은 부서에 대해서는 부서원 전체를 정보보안 위반으로 조치하는 강력한 정책도 적용하고 있다.

뿐만 아니라 정보보안 표스터 및 표어 경진대회를 개최해 우수작품을 선정했고, 이 우수작품들이 현재 모든 사무실 벽면에 부착되어 있을 뿐만 아니라 업무용 PC의 화면보호기를 통해서도 노출되고 있다.

둘째는 ‘고객정보의 보호’에 집중하고 있다. 개발 업무든 운영 업무든 업무를 기획하고 수행하는 과정에서 고객정보를 보호할 수 있는 다양한 방법과 수단을 적용하고 있다. 이는 고객정보를 기반으로 운영되는 현재의 기업 환경을 고려할 때 너무나도 당연한 얘기일지도 모르겠다. 그래서 지난 해에는 업무망과 개인정보 처리망을 물리적으로 분리했고, 정보를 외부저장매체에 저장하는 것은 기본적으로 차단하는 정책을 적용하고 있다. 당연한 업무를 지속적이고 효과적으로 실행하는데 온 신경을 집중하고 있다.

기술적·관리적·물리적 보안조치는 어떻게 수행하고 있나? 물리적으로는 망분리를 완료했으며, 회원가입 및 예약내역을 분리해 운영하고 있다. 개인정보는 모두 암호화 조치를 취하는 등 컴플라이언스에 맞게 조치를 완료했다. 관리적 측면에서는 임직원들의 보안인식 개선을 위한 캠페인을 진행하고, 자체적으로 보안 캠페인 공모전을 통해 임직원에 대한 포상을 했다. 또한, 보안전담팀이 꾸려져 인원이 보강됐으며, 올해에도 임직원이 충원될 계획이다.

2018년 예상되는 보안위협은? 첫째로, ‘공격 방식이 진화되는 랜섬웨어’를 가장 먼저 꼽을 수밖에 없을 것 같다. 특히, 지난해에 나타난 국내 이용자를 타깃으로 하는 랜섬웨어 공격이나 사회적인 이슈를 주제로 하는 랜섬웨어 공격 유형, 그리고 안드로이드용 랜섬웨어 킷이 절찬리에 판매된 상황, APT와 결합된 랜섬웨어 등이 출현한 것으로 미루어 보건대, 향후에도 제로데이(Zero-Day) 형태의 랜섬웨어 공격이 발생할 것으로 예상하고 있다.

둘째로, ‘모바일 기반 악성코드 유포와 이로 인한 피해 발생 가능성’도 눈여겨 보고 있다. 왜냐하면, 대부분의 사람들이 1대 이상 사용하고 있는 모바일 기기는 단순한 전화기가 아니라 고성능+초소형 컴퓨터의 기능을 하고 있는 반면, 컴퓨터에 비해 보안 통제는 상대적으로 취약하기 때문이다. 이러한 점을 고려한다면 모바일 기기로 인한 악성코드 유포와 이에 따른 개인·기업의 피해 발생은 너무나도 필연적인 매커니즘으로 연결되어 있다고 볼 수 있다.

마지막으로 ‘개인정보 유출을 목적으로 하는 서비스화된 사이버 범죄’를 들 수 있다. CaaS(Crime as a Service), RaaS(Ransome as a Service), RoT(Ransom of Things) 등은 이제 용어의 개념을 넘어 우리가 살고 있는 환경에서 실제로 발생하는 사실이라는 점을 인정할 수 밖에 없는 상황에 이르렀다.

특히, 지난해에 이어 올해에도 랜섬웨이 공격에 대한 위험이 상존하고 있기 때문에 서비스화된 사이버 범죄의 발생은 더욱 증가할 것으로 예상하고 있다.

보안 장비나 솔루션을 많이 사용하실 텐데, 아쉬운 점이나 문제점은 무엇인가요? 여기어때의 경우 애플리케이션을 개발·운영하기 때문에 내부적으로 중요자료가 거의 없어 IDC보다는 클라우드 서비스를 이용한다. 클라우드 서비스는 계속 증가 추세인데, 보안 솔루션은 아직까지 서버 관점이나 물리적인 관점에서 나온 제품들에 치우쳐 있는 게 현실이다. 또한, 클라우드 서비스를 이용할 때 자체적으로 보안기능이 있긴 하지만 그 자체가 비용이며, 계약사항에 포함돼 있다.

기업은 보다 안전하고 사용자의 인사이트가 솔루션에 녹여진 다양한 클라우드 보안 솔루션이 필요하다. 이 부분이 조금 아쉬운데, 이는 비단 우리 기업뿐만 아니라 보안업체, 사용자 기업, 클라우드 서비스 제공업체 등이 함께 고민해야 할 부분이라고 생각한다.

▲여기어때 백제현 CISO[사진=보안뉴스]


정책, 제도 측면에서 개선돼야 할 부분은? 과거와는 달리 현재의 보안 위협은 특정 기업이나 기관 혼자의 역량으로 극복할 수 있는 상황이 아니라는 점에 이견이 없을 것으로 본다. 왜냐하면, 공격 집단이 조직화되어 있기 때문이다. 따라서 보안 위협에 대응하는 조직도 정보보안 관점에서는 조직화되고 공동 대응이 필요해지고 있다.

이러한 관점에서 한국인터넷진흥원(KISA)에서 매년 주기적으로 실제환경에서 발생할 수 있는 시나리오 기반으로 사이버위기대응 모의훈련을 주관하고 있다. 이러한 모의훈련은 기업의 보안 수준을 객관적으로 진단하는데 큰 도움을 주고 있다고 생각한다. 특히, 이러한 모의훈련 과정을 통해서 ‘기업이 스스로를 과대평가하지 않고, 외부 공격자를 과소평가하지 않게 된다’는 점에서 반드시 필요한 제도라고 생각한다.

다만, 일부 모의훈련의 경우 참여기업의 수에 제한을 두고 있어서 훈련에 참여하고 싶어도 참여하지 못하는 기업 입장에서는 아쉬움이 남을 수 있다고 본다. 향후에는 훈련 참여 기회가 더욱 확대되기를 바라고 있다.

CISO로서 가장 큰 애로사항이나 고민은? 보안사고가 발생했던 회사라는 ‘우려의 시선을 신뢰의 시선을 바꾸는 것’이 큰 고민 중 하나다. 하지만 이러한 고민을 해결하기 위해 애써 외부적인 홍보나 광고를 하지는 않았다. 이보다는 오히려 정보보안이라는 목표를 위해서 전사적으로 체질을 개선하는 노력을 해오고 있다. 특히, 실제로 법령을 준수하는 보안 컴플라이언스와 체질이 개선된 회사의 보안 프로세스를 구현하고, 보안의식이 향상된 임직원들로 ‘회과자신(悔過自新)’하고자 많은 노력을 해오고 있다.

이러한 노력의 결과로 ‘여기어때‘를 바라보는 많은 시선들이 우려가 아닌 신뢰의 시선으로 변화되는 그 시점에는 ’여기어때‘의 정보보안 수준이 한 세대(Generation) 진화할 수 있는 기반이 형성될 것이라고 믿는다.

다음으로는 ’사업의 속도를 저해하지 않는 정보보안 프로세스를 구축하는 것‘도 간과할 수 없는 고민 중에 하나다. 4차 산업혁명으로 인해 우리 환경이 변화되고 있음을 목격하고 있는 현재는 사업특성상 시기와 시점이 중요할 수 밖에 없다. 이러한 시점에 다양하고 중요한 사업상 이슈를 정보보안 관점으로 판단하는데 너무 많은 시간을 할애하게 되면 결과적으로 사업의 속도를 저해할 수도 있다. 이러한 상황을 방지하기 위해서 새로운 보안 이슈와 사업 방향에 대해서는 가능한 한 선제적으로 보안성 검토를 진행하고 있다.

앞으로의 계획은? O2O 산업분야에서의 정보 특히 고객정보는 핵심정보이면서도 가장 가치 있는 정보다. 그렇기 때문에 O2O 서비스를 제공하는 기업은 고객정보를 포함해 정보보안이라는 프레임워크 위에서 고객 서비스가 이루어져야만 한다고 생각한다. 이를 위해서 단기적으로는 사업영역 확장과 조직 규모 확대에 비례하여 정보보안 전담인력을 확대해 나갈 계획이다.

이는 사업속도를 지원하는 정보보안 프로세스 구현을 위해서 필수적인 계획이라고 할 수 있다. 중·장기적으로는 위드이노베이션의 전 임직원이 ’정보보안 문화‘에 기반해 업무를 실행하고 ’정보보안 철학‘을 바탕으로 의사결정을 수행하는 환경을 구축하고자 한다. 나아가 장기적으로는 O2O 산업분야의 정보보안을 선도할 수 있는 역할을 하고 싶다.

사실 이러한 역할은 이미 하나씩 실행하고 있기도 하다. 예를 들면, O2O 숙박 서비스 중에서 가장 먼저 안심번호를 도입해 고객의 실제 전화번호 대신 가상전화번호를 활용했으며, 현재는 다른 O2O 숙박 서비스에서도 안심번호를 도입하게 된 계기가 된 것이 그 예다. 이는 O2O 서비스에서 가장 먼저 보안사고를 경험했고 그 후속조치로 엄격한 보안강화 조치를 적용한 위드이노베이션 입장에서는 너무나도 당연한 사회적 책임(CSR: Corporate Social Responsibility)이라고 볼 수 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)