토스랩 '잔디'에게 묻다, '협업 툴에게 보안이 더 중요한 이유는?'

IT동아 · 2022.03.15 16:07:49

[IT동아 남시현 기자] “기업만 보안에 신경을 쓰면 된다는 말은 옛 말이다. 지금은 내부 사용자들이 외부를 통해 정보에 접근하는 일이 많아졌고, 또 개인 장치의 성능도 향상되면서 개인 사용자에 대한 보안 위험도 커졌다. 지금의 보안은 특정 기업, 보안 담당자만 하는 게 아니라 각 구성원이 전사적으로 구축해야 한다고 보면 된다”

토스랩 사무실에서 만난 이성훈 IS/SE(정보보호&기술영업)팀 매니저에게 정보 보안에 있어서 개인의 역할이 어떤가에 대해 묻자 돌아온 대답이다. 이날 인터뷰에 응한 이성훈 매니저는 롯데정보통신, 이글루시큐리티 등 전문 보안업체에서 20여 년 이상 경력을 쌓아온 정보보호 컨설턴트로, 토스랩에는 2020년 7월 합류해 현재 보안 관련 업무를 전담하고 있다. 특히, 이성훈 매니저는 토스랩의 ISO27001 인증에 주도적인 역할을 했으며, 지난 2월에는 국내 기업으로는 처음으로 CSA STAR의 최신 버전 ‘CCM 4.0.2’ 인증을 취득하도록 이끌었다. 그를 통해 기업의 보안 체계와 관련 동향에 대해 들어보는 시간을 가졌다.

기업의 정보보호 부서, 어떤 일 하나?

잔디를 서비스하는 토스랩의 이성훈 IS/SE(정보보호 및 기술영업)팀 매니저. 출처=IT동아

토스랩은 스타트업으로는 드물게 독립적인 보안 부서를 두고 있으며, 이성훈 매니저가 부서의 실무를 맡고 있다. 그가 속한 IS/SE 부서는 정보 보호, 그리고 토스랩이 서비스하고 있는 협업 툴 ‘잔디’의 기술 영업을 진행한다. 내부적으로는 사내 보안과 정책 지침, 점검, 보안 교육 등을 진행하며, 공공기관이나 한국인터넷진흥원(KISA), 행정안전부 등 외부 기관의 보안 점검도 대응한다. 또한, ISO27001, CSA STAR 등의 까다로운 인증 기준을 충족하기 위해 꾸준히 보안 관련 업무를 진행하고 있다.

일단 토스랩이 갖춘 정보보호 관리체계는 어떻게 작동하는지에 대한 설명을 부탁했다. 이 매니저는 “가장 먼저 정보통신망법과 개인정보보호법에 근거해 정보보호 관리체계를 수립한다. 여기에는 인재 채용이나 보안 서약서, 패스워드 정책, 보안 사고에 따른 지침 등에 대한 내용이 담겨있다. 그 다음에 보안에 대한 기술적 분류를 거치고, 취약점 점검을 진행한다. 이때 취약점 점검은 모의 해킹 등을 통해 진행하고, 이렇게 도출된 취약점에 대한 위험 분석을 진행한 다음 보호 대책까지 만들어 조치를 취하는 게 기본이다”라고 말했다.

이성훈 매니저가 토스랩의 보안 체계에 대해 설명하고 있다. 출처=IT동아

여기에 토스랩은 정보보호위원회를 구성해 전사적인 보안 체계를 구축했다. 정보보호위원회는 ISO27001나 ISMS(정보보호 관리체계 인증)을 취득한 기업은 연 1회 개최하는 게 원칙이지만, 토스랩은 정보보호위원회의 실질적인 효과를 거두기 위해 정보보호 최고책임자(Chief Information Security Officer, 이하 CISO)를 필두로 한 웹, 모바일, 백엔드, 인사, 경영 등 모든 부서로 구성된 정보보호위원회 회의를 월 1회 개최한다. 덕분에 보안 우려나 보안 관련 현안이 발생하더라도 빠르게 내용을 공유하고, 관리할 수 있다. 특히나 현안에 대한 처리가 빠른 스타트업 특성 덕분에 월 1회 회의가 큰 효과를 보고 있다는 평가다.

당시 새벽에 오간 Log4j 대처 관련 로그 및 대화 기록을 보여주고 있다. 출처=IT동아

지난해 12월 전 세계 보안업계를 뒤집은 취약점, ‘Log4j(로그포쉘)’에 대한 대처만 봐도 그렇다. Log4j는 특정 명령어를 전달하는 것만으로도 상대방의 제어권까지 탈취할 수 있어 사상 최악의 취약점이라고 불린다. 이 매니저는 “토스랩 뿐만 아니라 전 세계 IT 기업들이 이 문제를 해결하기 위해 발 빠르게 움직였던 사건이다. 토스랩의 경우에는 보안위원들이 토요일 새벽에 실시간으로 문제를 공유하고 취약점을 리스트업해서 긴급하게 환경설정을 변경했다. 그 이후 보안 패치를 통해 가능한 시스템부터 순차적으로 조치를 했고, 발생 이후 한달 간 문제가 발생하지 않았다”라고 회상했다. 만약 보안 담당자가 없거나, 실시간으로 대응하지 않았다면 문제가 될 수 있는 상황이었다.

일반적인 잔디 사용자에 대한 편의도 덧붙였다. 이 매니저는 “잔디의 모든 보안은 ISO27001이나 ISMS 등을 통해 관리되는 환경에 있다. 예를 들어 잔디에 메시지를 입력하면 입력과 동시에 암호화되며, 외부 해킹 등을 통해 탈취할 수 없다. 만약에 암호화된 메시지를 탈취했다고 해도 대상은 물론 복호화 키, 통제 항목 등이 필요하므로 걱정할 필요가 없다”라면서, “만약 추가적인 보안에 대한 요구가 있더라도, 토스랩은 독립적인 보안 부서를 운용하므로 곧바로 피드백을 받으실 수 있다”고 말했다.

ISO27001, CSA STAR, 모두 고객 신뢰 위한 노력

토스랩이 취득한 ISO27001 인증서 및 CSA STAR 4.0.2 인증서. 출처=IT동아

이처럼 토스랩이 발 빠르게 대처할 수 있었던 배경에는 ISO27001, 그리고 CSA STAR 등이 적용된 덕분이다. ISO27001은 정책, 지침, 인적, 물리시설, 환경, 기술 영역, 접근 통제, 인증 암호화, 로깅, 개인정보 등 14개에 대한 보안 항목이 있으며, 여기서 또 114개의 세부 항목으로 나뉜다. 아울러 CSA STAR는 미국 클라우드 보안 연합에서 국제 클라우드 보안 인증이다. ISO27001과 다르게 보다 더 구체적으로 기술적인 보안 요구사항이 있으며, 클라우드의 테크니컬 보안에 대한 신뢰성을 확인한다. 점검 항목도 17개 항목에 261개의 세부 항목으로 더 까다롭다. 그렇다면 왜 토스랩은 이렇게 복잡한 규정들을 지키고 있는 것일까. 정답은 바로 시장 신뢰에 있었다.

이 매니저는 “기업에서 협업 툴을 도입할 때 가장 먼저 나오는 질문이 바로 보안이다. 하지만 우리가 아무리 보안에 대해 강조하더라도 공식적으로 증명되지 않는다면 신뢰성이 없다. 여기서 공신력을 확보할 수 있는 방안이 ISO27001이며, 한발 더 나아간 게 CSA STAR 4.0이다. 특히나 두 인증 모두 매년 점검을 거치고, 갱신되기 때문에 꾸준히 시장의 신뢰를 확보하기 위해 노력해야 한다는 공통점이 있다. 이를 보유하고 있다는 점 자체가 토스랩을 믿고 사용할 수 있다는 의미다”라고 설명했다. 게다가 대기업이나 공공기관, 금융권에서는 신뢰할 수 있고 입증된 기업의 소프트웨어만 활용하기 때문에 ISO27001을 유지하는 것 자체가 중요하다.

이성훈 IS/SE 팀 매니저는 앞으로 CSAP 및 ISO27017 인증 등도 취득해 나갈 것이라고 답했다. 출처=IT동아

잔디의 보안 정책을 유지하기 위해 어떤 노력이 투입되고 있는지에 대해서도 물었다. 이에 대해서는 “ISO27001 기준에는 보안 목표 및 계획 수립 항목이 있다. 여기에 경영진의 의지와 방향성이 드러나야 하고, 또 예산을 어떻게 편성하는가에 대해서도 정해져 있다. 토스랩은 이 기준에 맞춰서 매년 보안에 대한 투자를 집행하고 있으며, 수익과 비례해 매년 과감한 수준으로 투자를 넣고 있다. 앞서 진행한 두 인증 이외에도 공공 클라우드 인증인 CSAP, 클라우드 정보보호 표준 ISO27017 역시 취득할 준비를 하고 있다”며 구체적인 계획을 말해주었다.

‘정보보호의 선도 사례가 되고, 문화도 바꾸고 싶어’

토스랩의 보안을 책임지는 이성훈 매니저의 목표는 최고보안책임자로도 불리는 CSO(Chief Security Officer)이다. 내로라하는 대기업에서 스타트업으로 자리를 옮긴 이유도 추구하는 방향이 명확해서다. 이 매니저는 “국내 기업의 정보보호 최고책임자는 CISO로 부르지만, 이는 IT 측면에 국한된다. 반대로 해외에서는 정보보호의 책임을 CSO에게 일임한다. CSO는 단순히 IT뿐만 아니라 물리적인 시설에 대한 관할이나 인사, 경영 등 보안이 필요한 총체적인 분야를 다룬다. IT 측면뿐만 아니라 보안에 대한 모든 것을 책임지는 직책이다. CISO라는 직책이 CSO로 발전하기 위해서는 진보적인 기업 문화가 필요하고, 토스랩이 여기에 부합한다. 정보보안 컨설턴트로서 토스랩을 정보보호의 선도 기업으로 만드는 것은 물론, 기업 문화 측면에서도 본받을 수 있는 기업으로 다듬는 게 목표”라며 포부를 밝혔다.

글 / IT동아 남시현 (sh@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	연예인 안됐으면 어쩔 뻔, 누가 봐도 천상 연예인은?	운영자	24/06/17	-	-
971	메타넷 정석춘 전무 “오픈시프트에 익숙한 기업이 클라우드 시대 주도할 것”	IT동아	22.04.01	137	0
970	'진지해도 웃을 땐 웃자', 소소한 웃음 주는 2022년 만우절 소식들 [10]	IT동아	22.04.01	3996	1
969	크로스앵글 이현우 대표 "가상자산은 묻지마 투자? 투자자 이해 돕는 서비스 필요"	IT동아	22.04.01	181	1
968	美 스마트폰 3위로 부활한 모토로라, 프리미엄 시장 노린다 [1]	IT동아	22.04.01	403	0
967	[모빌리티 인사이트] 이제는 차 안에서 건강도 같이 챙기세요	IT동아	22.03.31	594	0
966	마이크로프트 "업무 생산성 증진, 그게 협업툴의 본질입니다" [1]	IT동아	22.03.31	243	0
965	인포매티카 “디지털 전환 막는 데이터 단편화, AI 관리 솔루션이 해답”	IT동아	22.03.31	159	0
964	인텔, 20년 만에 그래픽 카드 재도전···· 엔비디아·AMD 양극 체제 깨질까 [23]	IT동아	22.03.31	1787	5
963	케이파워 "버려지는 벼 껍질로 친환경 스팀 보일러부터 탄소배출권까지" [5]	IT동아	22.03.31	777	2
962	뜨거워진 프리미엄 공기 청정기 시장··· 블루에어도 4년 만에 돌아왔다	IT동아	22.03.31	214	0
961	[홍기훈의 ESG 금융] ESG가 베타에 미치는 영향 Part 6: 스마트폰 보급으로 인한 의료수요 증가	IT동아	22.03.31	137	0
960	비슷한 제품 너무 많은 IoT 시장, 차별화 전략 어떻게?	IT동아	22.03.30	784	0
959	시놀로지, DSM 7.1 비롯한 2022년 신제품 다수 선보여	IT동아	22.03.30	124	0
958	[리뷰] 작지만 속은 꽉 찬 빔 프로젝터, 엡손 EF-12	IT동아	22.03.30	155	0
957	[리뷰] VR 영상 촬영의 신기원, 캐논 RF5.2mm F2.8L 듀얼 피시아이	IT동아	22.03.30	113	0
956	중소·벤처 기업과 소상공인 디지털화 도울 ‘K 비대면 바우처’ 열린다	IT동아	22.03.30	114	0
955	[리뷰] 확실히 좋아졌다, 컬러풀 아이게임 지포스 RTX 3080 울트라 OC 12GB LHR [14]	IT동아	22.03.29	2681	1
954	보수적인 '보험'도 변한다.."똑똑하고, 세심한 보험이 살아남을 것"	IT동아	22.03.29	166	0
953	[리뷰] 위험한 창문 청소는 끝, 이노스 퓨어뷰 W5 창문 로봇 청소기	IT동아	22.03.29	134	0
952	[스케일업] 딥파인(1) 남과 다른 미래 그려 XR 업계 ‘두드러진 언더독’ 돼라	IT동아	22.03.29	122	0
951	[IT운영관리] 5. "RPA 도대체 어떻게 도입해야 하나?", C레벨과 실무진 위한 RPA 이모저모 [1]	IT동아	22.03.29	209	0
950	[칼럼] 기업에 CI/CD가 필요한 10가지 이유	IT동아	22.03.29	115	0
949	아이폰SE3, ‘가성비’와 ‘가심비’ 사이의 선택 [17]	IT동아	22.03.29	1531	2
948	[주간투자동향] 원프레딕트, 300억 원 규모의 시리즈C 투자 유치	IT동아	22.03.28	116	0
947	OTT 파편화, 1인 가구 시대…늘어난 '계정 공유' 안 막나, 못 막나	IT동아	22.03.28	176	0
946	中 스마트폰 ‘Big 3’ 모두 폴더블 스마트폰…경쟁 격화 예고 [20]	IT동아	22.03.28	1857	6
945	[리뷰] 100인치급 TV를 내 집으로? 초단초점 프로젝터, 엡손 EH-LS300W	IT동아	22.03.26	237	1
944	"일상의 불편함, 포기하지 말고 건의하세요"	IT동아	22.03.25	195	1
943	뮤직카우 사태에 위축되는 스타트업 업계	IT동아	22.03.25	322	1
942	대전환의 시대 속 소상공인, "뒤쳐지지 않으려면 디지털 전환 필수"	IT동아	22.03.25	171	1
941	‘월드 백업 데이’ 앞둔 3월말, NAS 활용한 ‘백업 3-2-1’ 전략에 주목	IT동아	22.03.25	180	1
940	[상생플러스] 집토스 임규형 팀장, “청년을 위한 부동산 거래 상품을 만들고 있습니다”	IT동아	22.03.25	159	1
939	[리뷰] '상시 착용에 특화'··· 신개념 오픈형 이어폰, 소니 링크버즈	IT동아	22.03.25	218	1
938	페북, 인스타 등 ‘SNS 로그인’ 경보…해킹 앱 발견 [3]	IT동아	22.03.25	2297	3
937	외국계 IT기업에서 일한다는 것은? – 한국레드햇 하시연 이사	IT동아	22.03.24	208	1
936	[IT강의실] NFT 입문 4부.."일상의 많은 것들이 NFT가 될 것"	IT동아	22.03.24	186	1
935	[리뷰] 애플워치도 고속 충전, 벨킨 부스트업 프로 맥세이프 3 in 1 충전 패드	IT동아	22.03.24	1388	1
934	[김 소장의 ‘핏(FIT)’] 하늘을 뒤덮는 위성, 6G를 위한 고민과 갈등	IT동아	22.03.24	164	1
933	다중 작업이 많은 컴퓨팅 환경, '가성비보다 CPU 구성 확인해야'	IT동아	22.03.24	286	1
932	마이크로닉스 “게이밍 기어 자체 개발팀 보유, 우리가 국내 유일”	IT동아	22.03.24	203	1
931	인공지능이 바꾼 사진 문화, 거세지는 찬반 양론	IT동아	22.03.24	246	1
930	[모빌리티 인사이트] “전기 배달이요!” 전기차, 어디서든 충전 받으세요	IT동아	22.03.24	551	1
929	틱톡 "청소년 보호 정책 및 기능 강화, 플랫폼의 사회적 의무" [4]	IT동아	22.03.24	752	1
928	한국보건산업진흥원이 예비창업패키지 통해 지원한 스타트업 9곳	IT동아	22.03.23	146	1
927	5월 구글 I/O 2022 엿보기, 안드로이드13·스마트워치 기대	IT동아	22.03.23	179	1
926	인스타360, 모듈형 액션 캠 'ONE RS'로 고프로에 도전장	IT동아	22.03.23	164	1
925	'군침이 싹 도는 로봇 청소기?'··· 이색 콜라보에 지갑 여는 MZ세대 [37]	IT동아	22.03.23	3350	4
924	유니콘 기업 무신사 "독보적 성장의 비결은 콘텐츠다"	IT동아	22.03.22	162	1
923	프리미엄 로봇청소기 선보인 에코백스, 국내 시장 공략 본격화한다	IT동아	22.03.22	189	1
922	[IT강의실] 똑같이 생긴 썬더볼트 4와 USB 4, 어떤 점이 다른가	IT동아	22.03.22	340	1

최근 방문

즐겨찾기

즐겨찾기 갤러리

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

기업의 정보보호 부서, 어떤 일 하나?

ISO27001, CSA STAR, 모두 고객 신뢰 위한 노력

‘정보보호의 선도 사례가 되고, 문화도 바꾸고 싶어’

▶ [소부장 스타트업] 시큐리티플랫폼 "IoT 보안, 앞으론 기본이 될 것"▶ [IT신상공개] 노트북과 스마트폰 잇는다, 삼성전자 갤럭시 북2 프로·프로 360▶ [IT애정남] 개인정보유출, 처벌과 보상은 어떻게 되나요?

추천 비추천

댓글 영역

① NFT 발행

② NFT 구매

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

디시콘

디시콘 검색결과(0)

인기 디시콘

지갑 연결

▶ [소부장 스타트업] 시큐리티플랫폼 "IoT 보안, 앞으론 기본이 될 것"▶ [IT신상공개] 노트북과 스마트폰 잇는다, 삼성전자 갤럭시 북2 프로·프로 360 ▶ [IT애정남] 개인정보유출, 처벌과 보상은 어떻게 되나요?