토스랩 '잔디'에게 묻다, '協業 툴에게 保安이 더 重要한 理由는?'

東亞닷컴
入力 2022年 3月 15日 16時 02分

코멘트: 個

좋아요: 個

코멘트: 個

“企業만 保安에 神經을 쓰면 된다는 말은 옛 말이다. 只今은 內部使用者들이 外部를 통해 情報에 接近하는 일이 많아졌고, 또 個人裝置의 性能도 向上되면서 個人使用者에 對한 保安危險도 커졌다. 只今의 保安은 特定企業, 保安擔當者만 하는 게 아니라 各構成員이 전사的으로 構築해야 한다고 보면 된다”

토스랩 事務室에서 만난 이성훈 IS/SE(情報保護&技術營業)팀 매니저에게 情報保安에 있어서 個人의 役割이 어떤가에 對해 묻자 돌아온 對答이다. 이날 인터뷰에 應한 이성훈 매니저는 롯데精報通信, 이글루시큐리티 等專門保安業體에서 20餘年以上經歷을 쌓아온 情報保護 컨설턴트로, 토스랩에는 2020年 7月合流해 現在保安關聯業務를 專擔하고 있다. 特히, 이성훈 매니저는 토스랩의 ISO27001 認證에 主導的인 役割을 했으며, 지난 2月에는 國內企業으로는 처음으로 CSA STAR의 最新 버전 ‘CCM 4.0.2’ 認證을 取得하도록 이끌었다. 그를 통해 企業의 保安體系와 關聯動向에 對해 들어보는 時間을 가졌다.

企業의 情報保護部署, 어떤 일 하나?

잔디를 서비스하는 토스랩의 이성훈 IS/SE(정보보호 및 기술영업)팀 매니저. 출처=IT동아 — 잔디를 서비스하는 토스랩의 이성훈 IS/SE(情報保護 및 技術營業)팀 매니저. 出處=IT東亞

토스랩은 스타트업으로는 드물게 獨立的인 保安部署를 두고 있으며, 이성훈 매니저가 部署의 實務를 맡고 있다. 그가 屬한 IS/SE 部署는 情報保護, 그리고 토스랩이 서비스하고 있는 協業 툴 ‘잔디’의 技術營業을 進行한다. 內部的으로는 社內保安과 政策指針, 點檢, 保安敎育等을 進行하며, 公共機關이나 韓國인터넷振興院(KISA), 行政安全部等外部機關의 保安點檢도 對應한다. 또한, ISO27001, CSA STAR 等의 까다로운 引證基準을 充足하기 위해 꾸준히 保安關聯業務를 進行하고 있다.

一旦 토스랩이 갖춘 情報保護管理體系는 어떻게 作動하는지에 對한 說明을 付託했다. 이 매니저는 “가장 먼저 情報通信網法과 個人情報保護法에 根據해 情報保護管理體系를 樹立한다. 여기에는 人材採用이나 保安誓約書, 패스워드 政策, 保安思考에 따른 指針等에 對한 內容이 담겨있다. 그 다음에 保安에 對한 技術的分類를 거치고, 脆弱點點檢을 進行한다. 이때 脆弱點點檢은 謀議 해킹 等을 통해 進行하고, 이렇게 導出된 脆弱點에 對한 危險分析을 進行한 다음 保護對策까지 만들어 措置를 取하는 게 基本이다”라고 말했다.

이성훈 매니저가 토스랩의 보안 체계에 대해 설명하고 있다. 출처=IT동아 — 이성훈 매니저가 토스랩의 保安體系에 對해 說明하고 있다. 出處=IT東亞

여기에 토스랩은 情報保護委員會를 構成해 全社的인 保安體系를 構築했다. 情報保護委員會는 ISO27001나 ISMS(情報保護管理體系引證)을 取得한 企業은 年 1回開催하는 게 原則이지만, 토스랩은 情報保護委員會의 實質的인 效果를 거두기 위해 情報保護最高責任者(Chief Information Security Officer, 以下 CISO)를 筆頭로 한 웹, 모바일, 백엔드, 人事, 經營等 모든 部署로 構成된 情報保護委員會會議를 月 1回開催한다. 德分에 保安憂慮나 保安關聯懸案이 發生하더라도 빠르게 內容을 共有하고, 管理할 수 있다. 特히나 懸案에 對한 處理가 빠른 스타트業特性德分에 月 1回懷疑가 큰 效果를 보고 있다는 評價다.

당시 새벽에 오간 Log4j 대처 관련 로그 및 대화 기록을 보여주고 있다. 출처=IT동아 — 當時 새벽에 오간 Log4j 對處關聯 로그 및 對話記錄을 보여주고 있다. 出處=IT東亞

지난해 12月全世界保安業界를 뒤집은 脆弱點, ‘Log4j(로그抛쉘)’에 對한 對處만 봐도 그렇다. Log4j는 特定命令語를 傳達하는 것만으로도 相對方의 制御權까지 奪取할 수 있어 史上最惡의 脆弱點이라고 불린다. 이 매니저는 “토스랩 뿐만 아니라 全世界 IT 企業들이 이 問題를 解決하기 위해 발 빠르게 움직였던 事件이다. 토스랩의 境遇에는 保安委員들이 土曜日 새벽에 實時間으로 問題를 共有하고 脆弱點을 리스트業해서 緊急하게 環境設定을 變更했다. 그 以後保安 패치를 통해 可能한 시스템부터 順次的으로 措置를 했고, 發生以後 한달 肝問題가 發生하지 않았다”라고 回想했다. 萬若保安擔當者가 없거나, 實時間으로 對應하지 않았다면 問題가 될 수 있는 狀況이었다.

一般的인 잔디 使用者에 對한 便宜도 덧붙였다. 이 매니저는 “잔디의 모든 保安은 ISO27001이나 ISMS 等을 통해 管理되는 環境에 있다. 例를 들어 잔디에 메시지를 入力하면 入力과 同時에 暗號化되며, 外部 해킹 等을 통해 奪取할 수 없다. 萬若에 暗號化된 메시지를 奪取했다고 해도 對象은 勿論復號化 키, 統制項目等이 必要하므로 걱정할 必要가 없다”라면서, “萬若追加的인 保安에 對한 要求가 있더라도, 토스랩은 獨立的인 保安部署를 運用하므로 곧바로 피드백을 받으실 수 있다”고 말했다.

ISO27001, CSA STAR, 모두 顧客信賴爲한 努力

토스랩이 취득한 ISO27001 인증서 및 CSA STAR 4.0.2 인증서. 출처=IT동아 — 토스랩이 取得한 ISO27001 認證書 및 CSA STAR 4.0.2 認證書. 出處=IT東亞

이처럼 토스랩이 발 빠르게 對處할 수 있었던 背景에는 ISO27001, 그리고 CSA STAR 等이 適用된 德分이다. ISO27001은 政策, 指針, 人的, 物理施設, 環境, 技術領域, 接近統制, 引證暗號化, 로깅, 個人情報等 14個에 對한 保安項目이 있으며, 여기서 또 114個의 細部項目으로 나뉜다. 아울러 CSA STAR는 美國 클라우드 保安聯合에서 國際 클라우드 保安認證이다. ISO27001課 다르게 보다 더 具體的으로 技術的인 保安要求事項이 있으며, 클라우드의 테크니컬 保安에 對한 信賴性을 確認한다. 點檢項目도 17個項目에 261個의 細部項目으로 더 까다롭다. 그렇다면 왜 토스랩은 이렇게 複雜한 規定들을 지키고 있는 것일까. 正答은 바로 市場信賴에 있었다.

이 매니저는 “企業에서 協業 툴을 導入할 때 가장 먼저 나오는 質問이 바로 保安이다. 하지만 우리가 아무리 保安에 對해 强調하더라도 公式的으로 證明되지 않는다면 信賴性이 없다. 여기서 公信力을 確保할 수 있는 方案이 ISO27001이며, 한발 더 나아간 게 CSA STAR 4.0이다. 特히나 두 引證 모두 每年點檢을 거치고, 更新되기 때문에 꾸준히 市場의 信賴를 確保하기 위해 努力해야 한다는 共通點이 있다. 이를 保有하고 있다는 點自體가 토스랩을 믿고 使用할 수 있다는 意味다”라고 說明했다. 게다가 大企業이나 公共機關, 金融圈에서는 信賴할 수 있고 立證된 企業의 소프트웨어만 活用하기 때문에 ISO27001을 維持하는 것 自體가 重要하다.

이성훈 IS/SE 팀 매니저는 앞으로 CSAP 및 ISO27017 인증 등도 취득해 나갈 것이라고 답했다. 출처=IT동아 — 이성훈 IS/SE 팀 매니저는 앞으로 CSAP 및 ISO27017 認證等도 取得해 나갈 것이라고 答했다. 出處=IT東亞

잔디의 保安政策을 維持하기 위해 어떤 努力이 投入되고 있는지에 對해서도 물었다. 이에 對해서는 “ISO27001 基準에는 保安目標 및 計劃樹立項目이 있다. 여기에 經營陣의 意志와 方向性이 드러나야 하고, 또 豫算을 어떻게 編成하는가에 對해서도 定해져 있다. 토스랩은 이 基準에 맞춰서 每年保安에 對한 投資를 執行하고 있으며, 收益과 比例해 每年果敢한 水準으로 投資를 넣고 있다. 앞서 進行한 두 引證以外에도 公共 클라우드 認證인 CSAP, 클라우드 情報保護標準 ISO27017 亦是取得할 準備를 하고 있다”며 具體的인 計劃을 말해주었다.

‘情報保護의 先導事例가 되고, 文化도 바꾸고 싶어’

토스랩의 保安을 責任지는 이성훈 매니저의 目標는 最高保安責任者로도 불리는 CSO(Chief Security Officer)이다. 내로라하는 大企業에서 스타트업으로 자리를 옮긴 理由도 追求하는 方向이 明確해서다. 이 매니저는 “國內企業의 情報保護最高責任者는 CISO로 부르지만, 이는 IT 側面에 局限된다. 反對로 海外에서는 情報保護의 責任을 CSO에게 一任한다. CSO는 單純히 IT뿐만 아니라 物理的인 施設에 對한 管轄이나 人事, 經營等保安이 必要한 總體的인 分野를 다룬다. IT 側面뿐만 아니라 保安에 對한 모든 것을 책임지는 職責이다. CISO라는 職責이 CSO로 發展하기 위해서는 進步的인 企業文化가 必要하고, 토스랩이 여기에 符合한다. 情報保安 컨설턴트로서 토스랩을 情報保護의 先導企業으로 만드는 것은 勿論, 企業文化側面에서도 본받을 수 있는 企業으로 다듬는 게 目標”라며 抱負를 밝혔다.

東亞닷컴 IT專門 남시현 記者 (sh@itdonga.com)