Home > 전체기사 > 인터뷰
고우찬 CISO에게 들어본 ‘카카오’ 보안이야기
  |  입력 : 2018-03-28 14:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보보호위원회 중심으로 보안위협 리포팅, 보안예산, 보안대책 등 마련·시행
부서간 긴밀한 협업체계, 지속적인 교육·훈련 등 통해 보안 강화


[보안뉴스 김경애 기자] 국내 디지털 음악 플랫폼 멜론(MelOn)을 운영하는 로엔엔터테인먼트, 브랜드 스토어 사업을 하고 있는 카카오프렌즈, 이동 서비스를 제공하는 카카오모빌리티, 핀테크 등 다양한 금융 서비스를 만들어가는 카카오페이, 게임 콘텐츠를 개발하는 카카오게임즈, 주문생산 플랫폼인 카카오메이커스 등 카카오의 사업영역은 거침없이 넓어지고 있다. 이렇듯 다양한 영역으로 사업을 확대하고, 지속적으로 분사시킴으로써 회사의 가치를 끌어올리고 있다. 그렇다면 카카오의 보안은 어떨까? 다양한 사업영역에 진출한 만큼 각 사업 분야에 맞게 보안도 각별히 신경써야 할 것으로 보인다. 이에 본지는 카카오 고우찬 CISO를 직접 만나 카카오의 보안정책에 대해 보다 자세하게 들어봤다.

▲카카오 고우찬 CISO[사진=보안뉴스]


기술적·관리적·물리적 보안조치 등 보안은 어떻게 강화하고 있나 관리적 측면에서는 CPO(개인정보보호최고책임자) 부서 산하에서는 개인정보를, CISO(정보보호최고책임자) 부서에서는 정책·기술 보안 등에 각별히 신경쓰고 있다. 매년 초에는 카카오 내부의 정보보호위원회를 중심으로 보안위협 리포팅, 보안예산, 보안대책 등을 마련해 시행하고 있다.

또한, 법에서 요구하는 보안사항에 대해 집중 점검하고, 모니터링을 강화하고 있다. 미흡한 부분에 대해서는 수시로 체크해 보완 조치하는 과정을 프로세스화 함으로써 보다 효율적인 관리에 만전을 기하고 있다. 이와 함께 침해사고 대응 정책 수립·운영, 디도스 모의훈련, ISMS/PIMS/PCI DSS/ISO27001 등 각종 인증에 대해 유지·평가·개선·운영 활동을 하고 있다.

기술적 보안에 있어서는 무엇보다 암호화, 인증 부분에 신경을 쓰고 있으며, 보안요구사항 등을 개발자에게 전달한 후, 제대로 수행했는지 체크하는 등 보안 검수를 수시로 진행하고 있다. 또한, 사내 보안을 위해 서버, 네트워크 등 사무실 트래픽에 대한 모니터링을 강화하고 있다. 이와 함께 물리적 보안 조치로는 CCTV 구축·운영, 외부 방문객을 대상으로 출입대장 관리 운영 등을 꼽을 수 있다.

지난해 보안성과를 꼽는다면 카카오에서는 AI 스피커, O2O 서비스, 핀테크 등 사업영역을 다양화하고 있다. 사업영역이 넓다 보니 많은 인력이 투입돼야 하고 보안에 충실해야 한다. 그런 측면에서 보면 지난해 별탈없이 한 해를 잘 마무리했다고 본다. 이와 함께 AI 스피커를 출시하면서 IoT 관련 멤버들을 추려 보안교육을 실시하는 한편, 보안정책 수립, 보안 요구사항 점검, 서비스 개발시 보안 디자인, 하드웨어, OS 등 검수, 부서간 협업체계를 구축하는 성과를 거뒀다고 본다.

정보보호 수장으로서 보안에 가장 신경 쓰는 부분은 우리 회사의 성격상 아무래도 개인정보 이슈와 법적 요구사항이 가장 중요하다고 볼 수 있다. 특히, 카카오에서 핀테크 사업에 진출하면서 지난해 카카오페이를 본격 서비스하기 시작했다. 물론 지난해에 이어 면밀히 대응하고 있지만, 현재 카카오페이의 보안 운영 일부를 카카오에서 진행하고 있어 전자금융업과 관련된 정부정책은 물론 전자금융거래법 등 컴플라이언스 준수에 대해 지속적으로 관심을 기울이고 있다.

2018년 관심 있게 보는 보안위협은 랜섬웨어, 가상화폐 채굴 등 각종 악성코드에 대해 관심 있게 지켜보고 있다. 이에 대한 대응방법으로 악성코드 발견시 보안담당자에게 수시로 신고할 수 있도록 내부 인트라넷을 SNS 형태로 활성화시켜 놓았다. 악성코드 신고가 들어오면 분석해 답변하고, 관련 정보 공유 및 교육, 보호조치 등이 신속하게 진행된다. 이메일 공격에 대해서도 내부 교육을 실시하며 보안을 강화하고 있다. 하지만 갈수록 고도화되는 보안위협으로 인해 신종 악성코드들이 연이어 등장함에 따라 효율적인 방어책에 대해서는 늘 고민하고 있다.

다음 메일 계정 도용, 카카오톡을 이용한 악성코드 유포, 가상화폐 거래소를 사칭한 카카오톡 플러스 친구 등록 등의 이슈는 어떻게 대응하고 있나 다음 계정을 탈취하는 악성코드의 경우 모니터링 및 분석 등을 통해 접근 계정에 대한 차단조치를 취하고, 보호대책을 추진해 이전보다 악성행위가 현저히 감소한 것으로 집계됐다.

카카오톡 플러스친구는 무작위 스팸 발송이 불가능하며, 해당 플러스친구를 친구로 추가한 이용자에게만 메시지를 보낼 수 있다. 친구가 아닌 이용자가 카톡 메시지를 보낼 경우 경고 문구와 상단에 친구추가/차단/신고 배너가 노출된다.

오픈 플랫폼이기 때문에 누구나 카카오톡 플러스친구를 개설할 수 있지만, 플러스친구를 사칭해 이용자들에게 피해를 주는 사례가 발생할 경우 해당 플러스친구명을 ‘금칙어’로 적용하고 있다. 또한, 브랜드 등에 대한 권리침해자가 직접 권리침해 신고를 하는 경우 사칭한 플러스친구를 차단하고 있다. 또한, 이용자들이 금전 피해를 신고하는 경우 역시 차단 조치하고 있다.

▲친구 등록이 돼 있지 않은 사람에게 메시지가 왔을 때 화면[이미지=카카오]


하지만 개인의 카카오톡 메시지를 통해 악성코드를 유포하는 경우 차단이 쉽지 않다. 프라이버시 침해 우려로 모니터링을 할 수 없기 때문이다. 이에 대해서는 지속적으로 고민하고 있다. 개인이 주고 받는 카카오톡 메시지 이용에 있어서는 이용자의 보안의식이 가장 중요하다. 현재는 프라이버시를 침해하지 않으면서 피해 예방을 위한 조치로, 친구로 등록되지 않은 이용자가 메시지를 보낼 경우 ‘금전 요구 등의 메시지 주의하세요’라는 문구를 넣는 등 피해 예방에 노력하고 있다.

보안장비 및 솔루션에 대한 아쉬운 점이나 문제점은 100% 완벽한 보안장비는 없지만 글로벌 제품이 국산 제품보다 성능, 레퍼런스, 필요한 기능에는 더 충실한 편인 것 같다. 다만, 기술 지원이나 AS 등은 국내 보안업체 만큼 신경을 쓰지는 못한다. 각 업체별로, 솔루션별로 각각의 장단점이 있어 한 마디로 평가하기는 어렵다. 무엇보다 보안은 방화벽, 백신, IPS/IDS 등 솔루션만으로 해결되는 건 아니라고 본다. 솔루션에 대한 이해와 운영능력, 로깅을 분석할 수 있는 인력(맨파워)이 뒷받침돼야 하며, 기업 환경, 장비의 한계를 인지하고, 유용하게 활용할 수 있는 적합성 등의 기준을 고려해 보안 솔루션을 도입해야 한다고 본다. 특히, 솔루션 도입 이후에도 모자라는 부분은 꾸준히 정비하고, 추가 개발 등을 위한 고민이 지속돼야 한다.

보안관련 정책·제도 측면에서 개선돼야 할 부분은 개인정보보호법이 강화되는 건 보호 차원에서는 긍정적이다. 하지만 기업 입장에서는 관련 법규들이 세세하게 관여하다 보니 때로는 유연성이 떨어져 효율적이지 못할 때가 있다. 이를테면 인증에만 신경 쓰거나 규제에만 초점을 맞추게 되는 등 자칫하면 보안의 목표를 잘못 설정하게 될 수 있다. 전체적인 보안 흐름을 읽고 큰 틀의 방향성을 제시함으로써 기업 스스로 보안에 대한 생각을 넓히고 솔루션을 개발·제안할 수 있는 기반 마련이 필요할 것으로 보인다.

CISO로서 가장 큰 애로사항이나 고민은 인공지능(AI), 빅데이터, 클라우드, IoT 등 신기술 활성화에 따라 기술적으로 보안에 신경써야 할 부분이 너무나 많다. 이용자 입장에서부터 기업 비즈니스 측면에서 사업 확장에 따른 보안 적용 등 고민이 한 두가지가 아니다. 관련 법규, 정책, 인적 리소스 문제 등 다양한 영역에서 보안을 고려해야 하는 게 가장 큰 애로사항 또는 고민이라고 볼 수 있다.

앞으로의 계획은 지난해는 EDR 솔루션을 도입하는 등 보안 인프라는 매년 강화되고 있다. 올해는 악성코드 대응 솔루션을 추가로 도입하고, https 모니터링 강화를 위한 분석기법을 개발하는 데 좀더 심혈을 기울일 방침이다. 뿐만 아니라 빅데이터와 관련해 운영부서와 보안부서가 서로 협업해 아키텍처를 설계하고, 개발자에게 관련 정보를 전달하는 등 보안 프로세스를 더욱 공고히 다지는데 주력할 계획이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)