[e터뷰] "기술·정책·프로세스 '3박자' 갖춘 보안체계 구축할 것"

김남진 카카오페이 정보보호최고책임자(CISO)가 지난 4일 이데일리와의 인터뷰에서 정보보호체계 고도화에 대해 설명하고 있다.(사진=카카오페이 제공)

[이데일리 이후섭 기자] 카카오페이는 최근 화이트해커 2명을 뽑았고, 이번 주부터 새로 1명의 화이트해커가 더 출근할 예정이다. 간편결제 서비스를 넘어 증권·보험 등으로 금융 영역을 넓히고 있는 카카오페이가 무슨 일로 화이트해커를 이렇게 연달아 채용할까.

바로 지난 1일 새로 선임된 김남진 정보보호최고책임자(CISO)가 본인 직속의 정보보안팀을 새로 구성하면서 인력을 확충하고 있기 때문이다. 현재 정보보안팀에는 10명이 근무하고 있는데, 조직개편을 하면서 이에 맞춰 인력도 연내 20명까지 늘릴 계획이다.

화이트해커까지 가세한 보안팀 구성…“연내 20명으로 늘릴 것”

김 CISO는 지난 4일 진행한 이데일리와의 인터뷰에서 “정보보안팀을 기능에 따라 보안정책과 보안기술로 나누고, 보안기술 분야에는 △보안관제 및 침해사고 대응 업무를 수행하는 `블루팀` △해킹 등 공격자 입장에서 회사의 리스크를 찾는 `레드팀` △보안 솔루션을 도입·운영하는 `보안 엔지니어링팀` 등 역할에 따라 3개의 팀으로 운영할 것”이라며 “기술적으로 보안 수준이 높다고 해서 그 회사의 보안 수준이 높다고 하기도 어렵다. 보안기술뿐 아니라 보안 정책과 프로세스 등의 정보보호체계도 잘 만들고 운영돼야 전체적인 보안 수준이 높다고 할 수 있다”고 설명했다.

최근 레드팀에서 근무할 유능한 화이트해커를 잇따라 채용한 것으로, 김 CISO는 이달 내 정보보안팀의 조직개편을 완료하겠다는 목표다. 20명 규모의 팀을 꾸리면 핀테크 업계에서는 손꼽히는 규모의 보안팀을 갖추게 되며, 글로벌 모델에 가까운 조직으로 만들기 위해 앞으로 규모를 더 키울 계획도 있다. 정보보안팀 뿐만 아니라 개인정보보호팀도 별도로 있어 CISO의 업무를 도와준다.

정상수치 측정하고, 이상 패턴 보이면 리스크 찾아내 관리

김 CISO는 유럽계 은행에서 처음 일을 시작해 노무라증권을 거쳐 골드만삭스증권에서 8년 가까이 근무했다. 인프라 시스템 엔지니어부터 시작해 인프라 매니저, 아시아 태평양지역 기술·운영리스크 관리자 등을 역임했다. 이후 쿠팡에서 핀테크 보안·개인정보 및 IT 인프라 책임자를 맡았고, 토스증권 CISO를 거쳐 카카오페이에 합류하게 됐다.

김 CISO는 “데이터 규모가 있고, 사용자가 많은 서비스를 운영하는 회사에서 보안 업무를 주도적으로 수행해 보는 것이 꿈이었다”며 “전 국민 플랫폼 서비스를 운영하는 카카오페이에서 정보보호 전략을 만들고 결정할 수 있는 역할을 한다는 것은 인생에서 놓칠 수 없는 기회라고 생각했다”고 말했다.

그가 카카오페이에 와서 제일 먼저 주도하고 있는 일은 외국계 금융사에서 접했던 IT 리스크 관리·평가 모델을 도입하는 것이다. 정보보안팀을 재정비하고, 인력을 늘리는 것도 리스크 평가모델 구축을 위한 사전작업을 체계적으로 진행하기 위함이다.

IT 리스크 평가 모델은 아직 표준화된 모델이 존재하지는 않지만, 여러 측정치(메트릭·metric)를 활용해 보안위험 수준을 지표화하고 이를 기반으로 보안리스크를 관리하는 개념이라고 보면 된다.

즉 IT시스템 관련 평소 정상적인 상황에서의 수치를 측정하고, 이를 기준으로 이상 패턴을 보일 경우 위험을 측정·관리하며 그에 대한 리스크를 찾아내는 모델을 의미한다.

김 CISO는 “엔드포인트 위험을 평가한다고 할 때 백신이 전체 엔드포인트 중 몇 %의 단말에 정상적으로 설치되고 작동하는지, 최근 3일 이내 업데이트를 수행하지 않은 단말의 비중은 얼마나 되는지 등의 수치를 메트릭으로 활용해 정량적인 위험을 측정할 수 있다”며 “이를 `한계값`으로 설정하고 이보다 수치가 높아지거나 낮아지는 상황이 발생하는 빈도 등을 통해 엔드포인트의 위험을 관리할 수 있다”고 설명했다.

이어 그는 “단순히 외국계 금융사에서 접했던 리스크 평가 모델을 그대로 가져오는 것이 아니라 국내 스타트업에서 일하면서 보고 배웠던 장·단점을 최대한 반영해 카카오페이의 모델에 접목시킬 것”이라며 “현재 보안 이벤트를 분석해 패턴 및 시나리오 기반의 위협을 찾아내는 통합보안관제(SIEM) 솔루션 구축을 진행하고 있는데, 연내 적어도 회사의 리스크 형태를 확인할 수 있는 단계까지 완성할 계획”이라고 자신했다.

망분리 `합리화` 필요…웹격리 기술 등 유연하게 적용할 수 있어야

김 CISO는 망분리 규제에 대해서도 언급했다. 망분리 적용범위를 `합리화`할 필요가 있다는 것이다. 그는 “망분리를 규정하고 있는 개발·보안·운영의 `접속목적`이 위험 수준을 결정하는데 합리적인 기준인지 의문이 있다”며 “물리적 망분리 외에 대안이 없을 정도로 위험이 높은 환경에 대해서는 망분리 규정을 유지하더라도, 그 외 환경에 대해서는 웹격리 기술 등을 유연하게 적용할 수 있는 환경이 만들어지길 바란다”고 강조했다.

국내 CISO 제도에 관해서는 “보안의 중요성을 강조하는 방향으로 가고 있는 것은 긍정적으로 생각한다”면서도 “최근 추세는 보안을 현업에서 운영업무를 수행하는 조직보다 2선에서 위험을 관리하는 조직으로 보는 경향이 크다. 위험 관리측면에서 어떤 방법이 더 효율적인지에 대한 고민이 필요해 보인다”고 진단했다.