백제현 여기어때 CISO의 보안 24시⋯정보보안 결국 ‘사람’으로 귀결
상태바
백제현 여기어때 CISO의 보안 24시⋯정보보안 결국 ‘사람’으로 귀결
  • 신동훈 기자
  • 승인 2018.06.07 09:32
  • 댓글 0
이 기사를 공유합니다

새벽 6시 30분부터 퇴근시간까지⋯마지막 원칙의 보루를 지키는 사람이자 의사소통자

[CCTV뉴스=신동훈 기자] 스타트업에게 보안은 계륵 같은 존재이다. 정보보호 전담 조직과 전담 인력 구성의 필요성은 알고 있으나, 당장 눈에 보이는 위협이 아니기에 투자 순위가 항상 뒤로 밀려나 있다. 여기에 ‘설마 우리 회사가 해킹을 당하겠어?’라는 안일한 인식도 한몫한다.

“잊지말자 170324”

여기어때를 운영하는 위드이노베이션의 사옥 곳곳에 붙어 있는 표어이다. 2017년 3월 24일 여기어때는 해킹 사건으로 인해 과징금 3억 100만원, 과태료 2500만원이라는 중징계를 당했다. 여기어때는 빠르게 성장하는 기업의 속도에만 중시했지, 속도와 함께 보안이라는 균형을 잡지 못했었다. 사건이 발생한 후 여기어때는 외양간 고치기에 나선다. 그 전까지 여기어때는 보안 담당자가 있었지만, CISO와 같은 컨트롤 타워가 부재했다. 심명섭 여기어때 대표는 CISO의 필요성을 여실히 느끼고 완벽한 보안 인프라 구축과 함께 CISO의 영입에 본격 나서게 된다.

CISO(Chief Information Security Offier)는 정보보호최고책임자로써, 기업의 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원을 말한다. CISO는 기업 경영에 있어 보안 위험성을 사전에 파악, 예방하고 보안 컴플라이언스 준수 여부 등을 총체적으로 관리/감독해 기업의 중요 정보가 외부로 유출 또는 침해 받지 않도록 하는 막중한 임무를 맡는다.

여기어때를 운영하는 위드이노베이션의 CISO 백제현(코드원)

여기어때는 해당 사건을 반면교사 삼아 CISO를 영입해 보안이 완벽한 회사로 변화하고자 하는 마음이 컸다. 하지만, 이런 보안사고가 발생하면 경험이 풍부하고 우수한 보안인력은 기피하게 돼 CISO 영입이 쉽지 않다. 그래도 여기어때는 법학 기반의 정보보안 경력과 포렌식 분야 경력, 관리적 보안 그리고 무엇보다 보안인식 제고에 대한 성과가 높은 CISO를 찾았고 백제현 CISO가 물망에 올랐다. 백 CISO 역시 여기어때 입사에 대해 고민이 많았다고 한다.

백제현 CISO는 “당시, 여기어때 보안사고 직후라 부담감이 있었지만, ‘정보보안 하는 사람이 보안사고 난 곳에 가지 않으면 누가 가겠는가?’란 당연한 이치를 생각하니 부담감을 금방 잊을 수 있었다”며 “직무 전문성 면접과 조직 적합성 면접을 거치며 여기어때 합류하고자 하는 의지도 더욱 단단해졌고, 운명처럼 7월 12일(정보보호의 날)에 입사하게 됐다”고 전했다.

과연 CISO 영입이 정말 효과가 있을지? 그리고 CISO가 어떻게 기업의 정보보안 수준을 빠르게 높일 수 있을지? 등 기업들이 CISO 실효성에 대한 고민이 있을 거라 생각된다. 이에 본지는 백제현 CISO의 하루 일과를 시간대별로 구성, CISO가 어떤 일을 하는지 ‘백제현 CISO의 보안 24시’를 가상으로 꾸며봤다. ‘보안사고 사례 → 보안개선 사례’로 위상이 변화하고 있는 여기어때를 만나보도록 하자.

[06:30] 백제현 CISO의 출근시간 그리고 생활보안점검 수행시간

백제현 CISO의 출근시간은 새벽 6시 30분이다. 백 CISO는 6:30~7:30까지 약 1시간 동안 직접 여기어때 사무실을 돌며 생활보안점검을 시행한다. 생활보안점검이란, 시스템 환경이 아닌 직원 개개인이 사용하고 있는 사무공간을 백 CISO가 육안으로 확인하는 점검을 말한다.

책상 위에 문서 방치, PC 전원 종료, 사물함 잠금 등 다양한 생활 속 보안사항을 체크한다. 백 CISO는 “정보보안 관점에서는 생활보안점검을 통해 직원들의 보안 의식수준을 판단하고 있다. 사람은 생각하는 대로 행동하기 때문”이라고 전한다.

특히, 백 CISO는 단순히 사무실을 둘러보는 것이 아니다. 사무공간 내 식별된 보안이슈 사항을 꼼꼼히 살펴본다. 특히 임원들의 사무환경은 일반 직원보다 더 꼼꼼하게 살펴본다. 이 과정에서 필요하다면 관련 증적(사진, 메모 등)을 남기고 증적에 근거해 생활보안점검 결과보고서를 작성한다. 이렇게 꼼꼼히 진행하다보니 매일 1시간을 생활보안점검에 쓴다.

필자는 물론 이 글을 읽는 독자들도 궁금한 사항이 있을 것이다. 왜 굳이 새벽에 나와 점검을 하는가? 백 CISO 역시 직원에게 같은 질문을 들은 적이 있다고 겸연쩍게 웃어 보였다.

백 CISO는 “직원들이 보는 앞에서 생활보안점검을 한다면, 직원들이 얼마나 부담되고 불편하겠는가?”라고 답했다. 이에 직원들이 야근하고 있는 저녁 시간보다 새벽 시간을 택하게 된 것. 새벽 시간을 선택한 덕분에 생활보안점검도 더 수월해졌다고 한다. 직원들이 백 CISO가 새벽에 점검을 한다는 사실을 알고 있기에 퇴근하기 전 사무 환경을 정리하는 등 스스로 생활보안점검을 하고 퇴근하는 것. 백 CISO는 “새벽에 생활보안점검을 함으로써 직원에게 부담을 덜 주게 됨은 물론 직원들이 퇴근 시 스스로 생활보안점검을 하게됐다”고 말했다.

[07:30] 최신 보안위협, 보안이슈 등 별도 정리해 전사공지

랜섬웨어 관련한 보안 이슈를 전사 공지한 백제현 CISO

생활보안점검을 마친 백 CISO는 최신 보안위협이나 보안이슈 식별, 정보보안 전문 매체나 신문을 통해 필요한 정보를 점검한다. 특별한 이슈는 별도로 정리해 직접 전사에 공지한다.

백 CISO는 가장 3월에 전사 공지했던 보안이슈는 “‘랜섬웨어 관련 이슈’와 ‘스마트폰까지 위협하는 지능형지속위협(APT) 관한 이슈’였다”며 “랜섬웨어나 스마트폰 모두 개인에게 공격 대상이 되는 상황이라 직원 모두가 반드시 알아야 되는 보안 이슈로써, 이를 통해 ‘스마트폰과 기업 PC간 접점을 갖지 못하도록 하는 기업의 보안정책’을 이해할 수도 있게 된다”고 설명했다.

현재는 좋은 추억으로 남아있지만, 작년 말 이런 이슈 공지를 너무 많이 띄웠다고 볼멘 소리도 들었다고 백 CISO는 언급했다. 백 CISO는 “매주 금요일에 진행하는 올핸즈미팅(All-Hands-Meeting) 때 보안공지가 필요한 이유에 대한 설명과 질의응답을 가진 뒤 볼멘소리가 많이 줄었고 이런 현상이 직원의 보안 인식 수준이 높아지고 있다고 생각한다”고 말했다.

현재 전사 보안 공지는 정보보안 이슈, 내용뿐만 아니라 직원 개인의 안전을 위협할 수 있는 이슈도 공지하고 대책을 안내하고 있다. 백 CISO는 관련한 실 사례를 소개하기도 했다.

’이메일을 통한 랜섬웨어 공격위험과 대응방법’에 대한 전사 공지를 한 지 1시간도 안되어 어느 직원으로부터 연락이 왔는데, 방금 공지한 랜섬웨어 메일로 보이는 메일을 수신했다는 연락이었다. 정보보안팀에서 곧바로 확인해보니 실제 랜섬웨어 메일이었던 것.

백 CISO는 “전 직원을 대상으로 보안공지를 하는 것이 얼마나 중요한지 저 스스로도 새삼 깨닫게 되는 사례였고, 신고해준 직원에게도 무척 감사하다”며 “이 사례는 정보보안은 담당자만의 업무가 아닌 구성원 모두가 함께 지켜야 하는 ‘공동의 가치’라는 진리를 증명해 준 사례이기 때문”이라고 전했다.

[09:00] 정보보안팀과 주요 보안 이슈 토론 및 대응 방안 토의

백 CISO가 전사 공지한 내용 등 정보보안팀과 주요 보안 이슈를 토론하고 이에 대응 가능한 방안 등을 논의한다. 필요시 운영부서 직원도 토론에 참여시킨다.

[10:00] 정보보안 정책 및 지침 또는 메뉴얼 현행화 및 최신화 검토

전 날 퇴근 전 준비했던 익일 보안조치 예정사항 등을 점검하고 정보보안 정책과 지침 등 매뉴얼의 업데이트 작업을 검토 혹은 진행한다.

[11:00] 위드이노베이션 보안의 날 행사 주관

오늘은 위드이노베이션 보안의 날(매월 첫 주 목요일)이다. 본사와 지사뿐 아니라 고객센터까지 전사적으로 보안 활동을 진행한다. 전 부서에서 보안점검을 실시하고 전월 입사자 대상 정보보안 교육도 실시된다. 부서 보안점검은 정보보안팀에서 실행하는 보안감사와 별개로 실행되는데, 부서 스스로 보안수준을 직접 느낄 수 있는 항목들을 점검하도록 설계되어 있으며, 담당 업무별로 특화된 보안점검이 가능하도록 만들어져 있다. 점검 결과는 부서장이 서명 후 정보보안팀으로 보내진다.

백제현 CISO는 “보안의 날 행사를 통해 부서 내 정보보안 문화가 형성되고 부서장의 의사결정 과정에서 정보보안 철학이 반영되도록 하는 것이 보안의 날을 시행하는 가장 중요한 이유”라고 보안의 날 행사를 하는 취지에 대해 설명했다.

[14:00] 정보보호실무위원회 주관 회의

정보보호실무위원회 주관 회의가 이 날 열렸다. 정보보안 가이드가 필요한 개발부서 및 운영부서와 협업을 통해 부서 내 정보보안 이슈 발굴, 보안 가이드 제공을 목적으로 회의가 개최됐다.

여기어때에서는 임원급 경영진이 참여해 정보보호와 관련된 심의를 하는 ‘정보보호위원회’와는 별개로, 부서 내 정보보안 관련 이슈를 발굴하고 해결하기 위한 목적으로 ‘정보보호실무위원회’를 운영하고 있다. 실무위원회는 정보보안 이슈나 보안 컴플라이언스 이슈를 가지고 있는 부서라면 누구나 참여가능하다. 백 CISO는 “작년 하반기 약 10회 정도 정보보호실무위원회가 개최됐다. 본 회의를 통해 보안을 충족하는 서비스를 만들어 내고 보안 컴플라이언스를 준수하는 프로세스를 적용하는데 있어 실무부서와 정보보안팀이 긴밀하게 협업할 수 있다”고 전했다.

[15:00] 백 CISO와 함께하는 신규 입사자 정보보호 교육

정보보호 교육을 진행하고 있는 백제현 CISO
정보보호 교육을 경청하고 있는 여기어때 직원들

보안의 날 부대행사인 신규 입사자 정보보호 교육이 오후 3시에 진행됐다. 신규 입사자는 CISO와 정보보안 관련한 대면 교육을 받은 뒤 정보보안 가이드(소책자)를 배부 받는다. 백 CISO가 직접 대면 교육을 하는 이유는 정보보안의 중요성과 위상을 알리기 위함이다.

백 CISO는 “실제 사례를 통해 ‘왜 위험한지’를 먼저 알려주고 ‘어떻게 하면 안전할 수 있는지’를 알려주는 방식으로 교육을 하고 있다. 신규 입사자 대상 교육은 계속 할 예정인데, 직원들이 정보보안의 필요성과 기능을 제대로 이해하지 못한다면 회사의 정보보안 수준은 언제든지 흔들릴 수 있기 때문”이라고 강조했다.

정보보안 교육을 받은 후 가장 큰 변화는 “문의가 많아진다”고 백 CISO는 언급했다. 정보보안에 대해 무관심했던 과거에서 교육을 받은 후 “편리한 업무처리 이면에는 위험이 존재할 수 있다”는 경각심을 일깨우게 되고 그 결과 정보보안 가이드를 요청하는 경우가 증가하는 것.

정보보안 가이드 관련해 여기어때에서는 관리적 보안 관점에서 11종의 정보보안 지침을 운용하고 있다. 현행 법령의 반영을 최우선 고려사항으로, 정보통신망법이나 개인정보보호법 등 정보보안 관련 법률을 기반으로 수립돼 있다. 이렇게 수립된 각 지침들은 사내 그룹웨어에 공지되어 있지만, 전체 페이지가 100페이지가 넘고 11종이나 되는 각종 지침을 적시에 참고한다는 게 쉽지 않다. 때문에 정보보안팀에서는 ‘직원들이 반드시 알아야 하는 사항’, ‘입사/근무/퇴사 시 준수해야 하는 사항’, ‘관리자가 준수해야 할 사항’ 등을 선별해 약 3페이지 분량으로 생활보안가이드를 제작, 배포하고 있다.

[16:30] 개인정보 수명주기 별 개인정보보호 방안 강화

어느 덧 늦은 오후 시간이 됐다. 백 CISO는 여기어때에서 가장 중요한 ‘개인정보 수명주기 별 개인정보보호 방안 강화’에 대해 검토한다. 운영부서의 기획단계에서부터 보안 컴플라이언스가 적용되고 개인정보의 수명주기 동안 개인정보가 보호될 수 있는 관리적/기술적 조치 점검에 들어간다.

백 CISO는 “기업에서 CISO가 수행하는 중요한 역할 중에 하나는 기업의 미션을 지원함과 동시에 기업의 안전도 보장하는 방안을 수립하고 적용하는 것이다. 즉, 수익을 추구하는 기업의 속성을 저해하지 않으면서 기업과 고객 모두가 안전해 질 수 있는 방안을 도출해 기업에 적용하는 것을 의미한다”며 “CISO가 없다면, 모든 업무과정이 ‘속도’ 중심으로만 진행된다. 해킹 사건 이전의 여기어때가 이와 유사한 상황이었을 것”이라 전했다.

현재 백 CISO가 들어온 뒤, 여기어때는 모든 업무에 정보보안 과정을 적용해 ‘속도’ 중심에서 ‘속도와 방향’을 함께 고려하도록 조직의 체질을 바꿨다. 특히 정보보호관리체계(ISMS) 인증을 준비하는 과정에서 모든 직원이 정보보안의 중요성과 필요성을 깊이 공감하게 됐으며, 인증을 위한 심사 이후에도 ISMS 수준을 높이고 있다.

백 CISO는 ‘관리적 보안 수준’을 상당히 높은 수준으로 강화해 나가는데 중점을 두고 있다. 개발부서는 기획단계에서부터 보안가이드를 요청하고 적용하는데 그 것이 대표적인 예다. 백 CISO는 “보안 컴플라이언스 강화 관점에서 개인정보보호법과 정보통신망법 등에 기반한 보안 법령 준수도 지속적으로 관리하고 있다”며 “무엇보다 해킹사고 이후 약속했던 5대 보안강화(▲회원정보와 예약정보 분리 및 암호화 ▲닉네임과 가상번호로 대체 ▲CISO 영입 및 개인정보보호팀 강화 ▲해킹예방 모니터링 시스템 도입 ▲신규 보안솔루션 도입)도 완벽하게 적용했다”고 말했다.

또한, ‘기술적 보안조치’ 강화도 병행하고 있다. 백 CISO는 “개인정보처리시스템을 클라우드 환경으로 이관한 후 클라우드 적재적소에 다수의 보안솔루션을 도입해 운영하고 있으며 개인정보처리망과 업무망을 물리적으로 분리해 개인정보를 안전하게 처리할 수 있는 환경을 구축했다”며 “시스템 이벤트 모니터링과 외부 전문기관의 보안관제 서비스를 병행해 적용하고 있다”고도 전했다.

[18:00] 당일 보안조치 사항 및 익일 보안조치 예정사항 정리

어느 덧 퇴근시간이다. 백 CISO는 보안의 날 행사로 진행된 부서자체 보안점검 결과를 집계, 각 부서별 보안점검 사항을 검토하고 정보보안 관점에서 보완해 나갈 이슈를 도출했다. 또, 익일 보안조치 예정사항도 마무리했다. 그리고 자신의 사무실 생활보안점검을 끝으로 하루를 마무리한다.

퇴근 전 “잊지말자 170324”를 한 번 더 돌이켜보는 백 CISO. 해킹사건 이후 어느 덧 1년이 지났다. 백 CISO는 나름대로 관리적/기술적으로 많은 프로세스와 기능 그리고 다양한 솔루션을 통한 많은 보안 솔루션을 적용하는데 최선을 다했다고 자부한다.

백 CISO는 “이제는 여기어때가 ‘보안사고 사례’에서 ‘보안개선 사례’로 위상이 변화하고 있으며, 일부 스타트업에서 여기어때 정보보안 체계를 벤치마크하고 있다”며 “현재 보안 수준에 머무르지 않고 새롭게 나타나는 내/외부 위협에 대응이 가능하도록 정보보안 수준을 지속적이고 효과적으로 관리해 나갈 예정”이라고 전했다.

정보보안의 시작과 끝 그 중심 결국은 ‘사람’

여기어때를 운영하는 위드이노베이션의 CISO 백제현(코드원)

가상으로 백제현 CISO의 하루일과를 쫓아보았다. 새벽 6시30분부터 퇴근 시간까지⋯누구보다 먼저 출근하고 보안점검을 직접 진행하며 CISO로써, 막중한 책임을 다하고 있는 모습이다. 그는 여기어때 근무 전 다른 곳에서도 6시30분에 출근했다. 기업의 CISO로써 가져야 할 마음가짐에 대해 백제현 CISO는 “마지막 원칙의 보루를 지키는 사람이자 의사소통자”라 강조한다. 기업 내에서 실행되는 많은 업무들의 목적은 수익창출이며 속도가 중요 요소이다. 허나, 속도를 중요시 하다 보면 가장 중요한 보안을 놓치기 마련인데, CISO는 속도와 보안의 균형을 맞추는 역할을 수행한다.

백재현 CISO는 “CISO는 기업의 현안에 지속적인 관심을 가지고 있어야 하며, 언제가 되더라도 실무부서에서 요청하는 보안가이드를 적시해 할 수 있는 사전 대비를 하고 있어야 한다”고 말했다.

덧붙여 “정보보안 법률과 지침에 기반해 실행되는 업무이다 보니 언뜻 보기에 타 부서와 크게 의사소통을 할 일이 없어 보일 수 있으나, 그 반대”라며 “규정과 지침을 기업 내에 내재화 시키는 과정에서 임직원들의 동참과 이해가 없다면 결과적으로 기업의 보안 수준을 높이는데 실패할 수도 있다. 때문에 기업 내 여러 부서와 좋은 의사소통 채널과 방식을 유지해야 한다”고 강조했다.

특히 백 CISO는 보안은 결국 사람이 가장 중요하다는 걸 강조했다. 겹겹히 보안 자물쇠를 채워놨어도 결국 뚫리는 이유는 사람이 가장 큰 요인이기 때문이다. 최근 그는 ‘정보보안 보안인식 제고’라는 주제로 강연을 했는데 “거의 10년만에 이 주제로 하는 것 같다”며 “최근 정보보안 인식이 사람 중심으로 바뀌고 있는 거 같아 다행이다”라고 언급하기도 했다.

정보보안은 ‘담당자만의 업무가 아닌 구성원 모두가 함께 지켜야 하는 공동의 가치’라고 늘 강조하며 정보보안 인식제고를 최우선 목표로 하고 있는 백 CISO. 그래서 그가 총괄하는 정보보안의 시작과 끝 그리고 중심에는 언제나 ‘사람’이 있다.

백제현 CISO는⋯

(현) 위드이노베이션 정보보호최고책임자(CISO)
(현) 한국ISLA협의회(KISLAA) 정회원(2016)
(전) Asia-Pacific ISLA 보안실무자 부문 수상(2012)
(전) (ISC)2 CISSP Authorized Instructor
(전) CISSP KOREA 부회장



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.