여섯 번째 보안 리더, 쏘카 김정희 CISO ① 쏘카 3개년 보안 전략
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
제한된 보안 인력과 환경 속에서도, 유관부서 간 협업과 소통이 잘 되는 조직이라면 충분히 보안 혁신의 희망을 가질 수 있다. 물론, 기업 경영진 의지가 전제돼야 한다.
이를 보여주는 사례가 모빌리티 플랫폼 ‘쏘카’다. 쏘카는 최근 2년간 빠르게 보안 혁신을 일궈냈다. 일례로, 이전에는 대규모 민감정보가 무분별하게 관리되고 있었지만, 이제는 가명화 처리를 기본으로 한다. 현재 쏘카는 보안 요구사항 준수를 위해 중앙관리시스템을 구성했다. 계정별로 상이했던 보안정책을 일원화하면서, 업무단축과 생산선 향상을 도모하기 위해서다.
이는 핵심 보안인력을 선택적으로 집중할 수 있는 업무에 투입할 수 있는 결과를 도출했다. 보안업무에 대한 경영진과의 직접 소통도 한몫했다. 보안 수준을 높여야 하는 스타트업에서 중견기업으로 나아가는 기업이라면, 쏘카는 참고할 만한 지침이 될 수 있다.
◆3개년 중장기 계획, 성공 사례 ‘쏘카 프라이버시 스캐너’
쏘카가 보안 측면에서 확 달라지기 시작한 시점은 2년전 김정희 최고정보보호책임자(CISO)가 합류하면서다. 그는 쏘카가 보안수준을 높이고자 하는 의지를 실현하는 역할을 맡았다.
김정희 쏘카 CISO는 <디지털데일리>와의 보안리더스 인터뷰를 통해 “자동화‧강제화 시스템 구축과 병행해, 기존 적재된 데이터 보유에 대한 적절성 검토를 통한 정기적 클렌징 작업, 과다하게 노출되고 있는 데이터의 마스킹 추가 적용 등을 진행하면서 보안 수준을 단계적으로 향상시키고 있다”고 말했다.
이는 쏘카의 전략적 3개년 중장기 계획의 일환이다. 김 CISO는 쏘카에 오자마자 2022년 보안거버넌스를 위한 마스터플랜을 수립하고, 2025년을 목표로 3개년 계획을 마련했다. 8대 주요 과제를 도출하는 한편, 정책 재정비와 함께 유관부서와 핫라인 체계를 구축했다.
쏘카 3개년 계획 과제로 성공한 결과물 중 하나는 ‘쏘카 프라이버시 스캐너’다. 이는 김 CISO가 자신하는 성과물이기도 하다.
이와 관련 김 CISO는 “카셰어링 비즈니스 모델 특성상, 고객들이 운전면허증과 이미지, 사진 등을 입력하게 된다. 처음 쏘카에 왔을 때 주 저장소에 어마어마한 데이터들이 산발적으로 많았지만, 기술적 보호조치는 미비했다”며 “이를 자동으로 스캐닝해서 클렌징하는 시스템을 자체 구축했다”고 말했다.
데이터와 보호 항목 등에 대한 현황파악을 대대적으로 진행한 후, 식별된 이미지와 데이터에서 추출할 수 있는 패턴을 검색해 마스킹하고 제거하는 등 익명화 처리를 한 것이다. 이에 따라 민감정보에 대한 기술적 보호조치와 가명화 처리가 가능한 시스템을 운영하게 됐다.
김 CISO는 “내부적으로 굉장히 성공적으로 운영하고 있으며, 보안 조직에서 만족도가 높다”며 “내년 이후 오픈소스화 계획도 있다”고 강조했다.
◆자동화 구축, 인력‧시간 투자 70% 이상 단축
이와 함께 김 CISO가 가장 중요하게 생각하는 부분 중 하나는 ‘자동화’다. 쏘카는 분야별 자동화를 통해 업무 효율화를 증대시킬 수 있도록 과제를 수시로 도출하고 있다.
김 CISO는 “다양한 서비스형소프트웨어(SaaS) 툴을 사용하고, 운영 부서마다 상이한 환경에서 업무를 한다. 적은 보안인력으로 동일한 보안정책을 채택하기 어려운 상황이 발생하고 있다”며 “또, 100% 클라우드 운영 환경에서 서비스를 하다 보니 보안 컴플라이언스 요건들이 자동적으로 반영될 수 있는 자동화 시스템에 현재 집중하고 있다”고 설명했다.
식별된 자산의 위험분석 평가에 자동화를 도입한 이유도 업무생산성을 향상하기 위해서다. 정보보호관리체계인증(ISMS), 내부회계 감사 대응을 위한 위험평가 첫 단계가 자산을 식별하고 중요도 등급을 부여하는 일이다. 클라우드 환경에서의 식별은 확장성‧유연성이 탁월한 반면 자산을 목록화하고 관리하는데 어려움이 따르기도 한다.
이에 쏘카는 자산생성 때 자산식별을 위한 태깅을 강제화‧자동화했다. 더 이상 보안인력이 수동으로 자산 식별화를 하지 않아도, 자동으로 목록화할 수 있는 시스템을 올해 1분기 완료했다. 이러한 자동화 구축은 자산을 목록화하는데 소요되는 인력‧시간에 대한 투자를 구축 전에 비해 70% 이상 단축시켰다.
김 CISO는 “보호조치를 적용해야 하는 자산에서 누락되는 자산과 위험평가에서 누락되는 것들이 없어지게 될 것으로 기대한다”며 “식별된 자산을 목록화하는 데서 끝나는 것이 아니라, 이를 통해 위험평가를 수행하게 된다”고 부연했다.
또 “클라우드 리소스 활용을 통해 위반사항을 자동으로 탐지하게 하고, 탐지된 위반사항에 대한 보호조치 기준을 자동으로 반영할 수 있게 하는 시스템을 지속 구축하고 있다”며 “이러한 활동이 휴먼에러를 최소화하고, 이행 시간을 단축시키면서 보안성을 향상시키는 모습을 하나씩 증명해 나가고 있다”고 덧붙였다.
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
이처럼 쏘카가 자동화와 효율화를 꾀하는 이유는 인력 관리 문제에서 비롯된다. 쏘카 같은 중견기업은 성수기 업무량 기준으로 보안조직을 확대하기 어렵다. 이에 자동화를 통해 인력을 효율적으로 운영하는 한편, 단순하고 반복적 질의 등을 식별해 임직원 스스로 인지하고 반영할 수 있는 프로세스를 만들고 공표한다.
아울러, 김 CISO가 자동화에 이어 강조한 부분은 ‘강제화’다. 올해 1분기 강제화 돌입 전, 김 CISO는 자율적으로 3개월간 전 부서가 보안 강제화를 선택할 수 있도록 했다.
예를 들어, 이전에는 개발자들이 소스코드상에서 같이 배포하지 말아야 할 부분도 함께 배포하는 일들이 빈번했다. 이에 따라 쏘카는 외부로 전달되면 안 되는 키 등이 포함된 소스코드 배포 자체를 시스템으로 막았다. 인지되지 않은 상태로 배포될 때 리스크를 사전 제거하는 프로세스다. 다만, 개발자 입장에선 불편하다. 하루라로 빨리 서비스를 출시해야 하는데 해당 프로세스 때문에 배포가 늦어질 수 있기 때문이다.
쏘카는 3개월 계도기간 알림을 주되, 자율적으로 판단하도록 했다. 개발자들이 문제되는 소스코드를 배포하려고 할 때마다 ‘이 소스코드에 엑세스 값이 있다. 배포하면 안 되는데 그냥 배포할까? 아니면 제거하고 배포할까?’라는 선택지를 주는 알림을 보여주는 식이다.
김 CISO는 “이 기간 개발자 보안인식 제고 강화가 이뤄졌고, 3개월 이후엔 공지대로 엑세스 키나 비밀번호가 있으면 배포할 수 없도록 강제화 운영을 하고 있다”며 “특정 항목을 넣지 않으면 자산을 생성할 수 없게 했는데, 이 또한 인식재고 기간이 3개월 걸렸다”고 설명했다.
궁긍적으로 데브섹옵스(DevSecOps) 방향을 지향하는 쏘카는 올해 하반기에도 7개 과제를 준비했다. 보안 관련 리스크 제거를 위한 자동화 시스템을 구축하는 한편, 소스코드 생성부터 배포 시점까지 보안 준수 사항이 함께 적용되는 파이프라인도 구성한다. 외부 애플리케이션 프로그래밍 인터페이스(API) 게이트웨이를 자동으로 관리하고 보안리스크를 점검하는 기준을 담은 ‘API 전송 관리 게이트웨이 프로젝트’, 샌드박스, 외부 위협탐지 프로세스 강화 등도 예고됐다.
김 CISO는 “쏘카는 하고 싶지 않아서 안 하는 경우는 없는 문화다. 프로세스 당위성을 공유하고, 자율적 계도기간을 거친 후 이행을 하기에 다행히 임직원 불만은 크지 않았다”며 “대기업에선 어려울 수 있지만, 쏘카 규모와 문화에선 적합했다”고 전했다.
이뿐 아니라, 쏘카는 지속적인 신규 서비스 출시 등 사업 속도에 맞춰 보안 컴플라이언스 검토가 신속하게 이뤄질 수 있는 환경을 구축했다. 이에 계정 삭제, 신규 계정 발급 등을 신속하게 반영할 수 있는 멀티계정 정책을 선택했다. 내부정책을 준수하지 않는 로그 발생 시, 실시간 알림을 발송해 사후확인하는 감사활동 등에 다양하게 활용하고 있다.
김 CISO는 “쏘카 내부 업무환경, 서비스 특성에 맞는 보안 정책을 이행하고 싶다”며 “스타트업에서 시작한 중견기업이다 보니 해야될 일들이 늘어나고 있고, 정비해야 할 부분도 아직 있다. 경영진 및 유관부서와 리스크와 보안정책 이행에 대해 지속적으로 알리며, 단계적으로 구축하겠다”고 전했다.
<다음 기사에서 계속>
◆김정희 쏘카 CISO 주요 약력
▲現) ㈜쏘카, 정보보호최고책임자, 개인정보보호최고책임자
▲現) ISMS-P 인증심사원
▲現) 개인정보보호위원회, 가명정보 전문가
▲前) 사이버대연합 정책분과위원
▲前) 과학기술정통부, 규제심사위원
▲2022년 9월~현재 ㈜쏘카 CISO/CPO
▲2018년 4월~2022년 9월 ㈜위메프 CISO/CPO
▲2013년 11월~2018년 4월 ISMS, ISMS-P 인증심사
▲2012년 5월~2013년 10월 ㈜두산 (개인)정보보호 정책 수립
▲2009년 5월~2012년 5월 NHN㈜/현,네이버(주) (개인)정보보호 정책 수립
▲2000년 7월~2007년 3월 한국인터넷진흥원(KISA) 침해사고대응 및 복구에 관한 연구, 인증제도 수립 지원, 주요정보통신기반시설 보호계획 수립 지원, 정보보호 훈련장 운영 등
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
