토스랩 ‘잔디’에게 묻다, ‘협업툴에 보안이 더 중요한 이유는?’

“기업만 보안에 신경을 쓰면 된다는 말은 옛 말이다. 지금은 내부 사용자들이 외부를 통해 정보에 접근하는 일이 많아졌고, 또 개인 장치의 성능도 향상되면서 개인 사용자에 대한 보안 위험도 커졌다. 지금의 보안은 특정 기업, 보안 담당자만 하는 게 아니라 각 구성원이 전사적으로 구축해야 한다고 보면 된다.”

토스랩 사무실에서 만난 이성훈 IS/SE(정보보호&기술영업)팀 매니저에게 정보 보안에 있어서 개인의 역할이 어떤가에 대해 묻자 돌아온 대답이다. 이날 인터뷰에 응한 이성훈 매니저는 롯데정보통신, 이글루시큐리티 등 전문 보안업체에서 20여 년 이상 경력을 쌓아온 정보보호 컨설턴트로, 토스랩에는 2020년 7월 합류해 현재 보안 관련 업무를 전담하고 있다. 특히, 이성훈 매니저는 토스랩의 ISO27001 인증에 주도적인 역할을 했으며, 지난 2월에는 국내 기업으로는 처음으로 CSA STAR의 최신 버전 ‘CCM 4.0.2’ 인증을 취득하도록 이끌었다. 그를 통해 기업의 보안 체계와 관련 동향에 대해 들어보는 시간을 가졌다.

기업의 정보보호 부서, 어떤 일 하나?

토스랩은 스타트업으로는 드물게 독립적인 보안 부서를 두고 있으며, 이성훈 매니저가 부서의 실무를 맡고 있다. 그가 속한 IS/SE 부서는 정보 보호, 그리고 토스랩이 서비스하고 있는 협업 툴 ‘잔디’의 기술 영업을 진행한다. 내부적으로는 사내 보안과 정책 지침, 점검, 보안 교육 등을 진행하며, 공공기관이나 한국인터넷진흥원(KISA), 행정안전부 등 외부 기관의 보안 점검도 대응한다. 또한, ISO27001, CSA STAR 등의 까다로운 인증 기준을 충족하기 위해 꾸준히 보안 관련 업무를 진행하고 있다.

일단 토스랩이 갖춘 정보보호 관리체계는 어떻게 작동하는지에 대한 설명을 부탁했다. 이 매니저는 “가장 먼저 정보통신망법과 개인정보보호법에 근거해 정보보호 관리체계를 수립한다. 여기에는 인재 채용이나 보안 서약서, 패스워드 정책, 보안 사고에 따른 지침 등에 대한 내용이 담겨있다. 그 다음에 보안에 대한 기술적 분류를 거치고, 취약점 점검을 진행한다. 이때 취약점 점검은 모의 해킹 등을 통해 진행하고, 이렇게 도출된 취약점에 대한 위험 분석을 진행한 다음 보호 대책까지 만들어 조치를 취하는 게 기본이다”라고 말했다.

여기에 토스랩은 정보보호위원회를 구성해 전사적인 보안 체계를 구축했다. 정보보호위원회는 ISO27001나 ISMS(정보보호 관리체계 인증)을 취득한 기업은 연 1회 개최하는 게 원칙이지만, 토스랩은 정보보호위원회의 실질적인 효과를 거두기 위해 정보보호 최고책임자(Chief Information Security Officer, 이하 CISO)를 필두로 한 웹, 모바일, 백엔드, 인사, 경영 등 모든 부서로 구성된 정보보호위원회 회의를 월 1회 개최한다. 덕분에 보안 우려나 보안 관련 현안이 발생하더라도 빠르게 내용을 공유하고, 관리할 수 있다. 특히나 현안에 대한 처리가 빠른 스타트업 특성 덕분에 월 1회 회의가 큰 효과를 보고 있다는 평가다.

지난해 12월 전 세계 보안업계를 뒤집은 취약점, ‘Log4j(로그포쉘)’에 대한 대처만 봐도 그렇다. Log4j는 특정 명령어를 전달하는 것만으로도 상대방의 제어권까지 탈취할 수 있어 사상 최악의 취약점이라고 불린다. 이 매니저는 “토스랩 뿐만 아니라 전 세계 IT 기업들이 이 문제를 해결하기 위해 발 빠르게 움직였던 사건이다. 토스랩의 경우에는 보안위원들이 토요일 새벽에 실시간으로 문제를 공유하고 취약점을 리스트업해서 긴급하게 환경설정을 변경했다. 그 이후 보안 패치를 통해 가능한 시스템부터 순차적으로 조치를 했고, 발생 이후 한달 간 문제가 발생하지 않았다”라고 회상했다. 만약 보안 담당자가 없거나, 실시간으로 대응하지 않았다면 문제가 될 수 있는 상황이었다.

일반적인 잔디 사용자에 대한 편의도 덧붙였다. 이 매니저는 “잔디의 모든 보안은 ISO27001이나 ISMS 등을 통해 관리되는 환경에 있다. 예를 들어 잔디에 메시지를 입력하면 입력과 동시에 암호화되며, 외부 해킹 등을 통해 탈취할 수 없다. 만약에 암호화된 메시지를 탈취했다고 해도 대상은 물론 복호화 키, 통제 항목 등이 필요하므로 걱정할 필요가 없다”라면서, “만약 추가적인 보안에 대한 요구가 있더라도, 토스랩은 독립적인 보안 부서를 운용하므로 곧바로 피드백을 받으실 수 있다”고 말했다.

ISO27001, CSA STAR, 모두 고객 신뢰 위한 노력

이처럼 토스랩이 발 빠르게 대처할 수 있었던 배경에는 ISO27001, 그리고 CSA STAR 등이 적용된 덕분이다. ISO27001은 정책, 지침, 인적, 물리시설, 환경, 기술 영역, 접근 통제, 인증 암호화, 로깅, 개인정보 등 14개에 대한 보안 항목이 있으며, 여기서 또 114개의 세부 항목으로 나뉜다. 아울러 CSA STAR는 미국 클라우드 보안 연합에서 국제 클라우드 보안 인증이다. ISO27001과 다르게 보다 더 구체적으로 기술적인 보안 요구사항이 있으며, 클라우드의 테크니컬 보안에 대한 신뢰성을 확인한다. 점검 항목도 17개 항목에 261개의 세부 항목으로 더 까다롭다. 그렇다면 왜 토스랩은 이렇게 복잡한 규정들을 지키고 있는 것일까. 정답은 바로 시장 신뢰에 있었다.

이 매니저는 “기업에서 협업 툴을 도입할 때 가장 먼저 나오는 질문이 바로 보안이다. 하지만 우리가 아무리 보안에 대해 강조하더라도 공식적으로 증명되지 않는다면 신뢰성이 없다. 여기서 공신력을 확보할 수 있는 방안이 ISO27001이며, 한발 더 나아간 게 CSA STAR 4.0이다. 특히나 두 인증 모두 매년 점검을 거치고, 갱신되기 때문에 꾸준히 시장의 신뢰를 확보하기 위해 노력해야 한다는 공통점이 있다. 이를 보유하고 있다는 점 자체가 토스랩을 믿고 사용할 수 있다는 의미다”라고 설명했다. 게다가 대기업이나 공공기관, 금융권에서는 신뢰할 수 있고 입증된 기업의 소프트웨어만 활용하기 때문에 ISO27001을 유지하는 것 자체가 중요하다.

‘정보보호의 선도 사례가 되고, 문화도 바꾸고 싶어’

본 글은 IT동아 남시현 기자가 작성해 IT동아에 게재되었습니다.