B2B SaaS 시장에서 고객이 가장 궁금해하는 것 중 하나가 바로 보안인데요. 

‘우리 회사의 정보를 여기에 업로드해도 괜찮을까?’ ‘우리 회사의 대외비를 여기서 관리해도 괜찮을까?’ 많은 기업들이 업무 효율화를 위해 서비스 도입을 검토하면서도 이런 고민을 해요. ZUZU는 초기 스타트업부터 상장사, 대기업까지 모든 고객사가 보안에 대한 걱정없이 ZUZU에서 법인 관리를 할 수 있도록  매년 보안을 강화하고 있어요.

고객사의 정관부터 주주명부, 스톡옵션 등을 안전하게 관리하기 위해 코드박스가 어떻게 물리보안과 정보보안 수준을 높여가고 있는지, 박태진 CISO(정보보호 최고책임자)님에게 들어보았어요.

사실 코드박스로 합류를 결정한 직후에는 보안에 대한 기대가 크진 않았습니다. 

작은 조직에서 제품 개발에 더 신경을 쓰다보면 어쩔 수 없이 보안에 소홀할 수 있거든요. 그런 측면에서 코드박스에 처음 합류했을 때, 개인정보보호에 필요한 보안 인프라, 직원분들의 보안 의식이 이미 높은 수준이어서 인상 깊었습니다. 

코드박스는 서광열 대표님이 개발자 출신이시고, ZUZU 이전에 블록체인 기술을 활용한 서비스를 개발 중이었는데요. 절대적인 보안과 신뢰 제공 모델을 기반으로 하는 블록체인 정신을 바탕으로 모인 팀이다보니 자연스럽게 보안을 1순위로 둘 수 있었던게 아닐까 싶습니다.

디지털 방송 미들웨어에서 개발팀장을 해왔고 사내벤처 co-founder 경력도 가지고 있습니다.

이후 모빌리티 중견기업에서 DevOps/운영 팀장으로서 클라우드 정보보안을 맡으며 개인정보보호 업무 중심으로 커리어를 쌓아왔습니다. 

ISMS 인증을 준비하면서 보안을 더 강화하자는 이유도 있었지만, 고객사들이 안심하고 사용할 수 있는 서비스라는걸 공식적으로 인증할 수단이 필요한 부분도 있었습니다. 

ZUZU 서비스 초기 단계에서는 ZUZU를 사용하는 고객사들 상당 수가 스타트업 이었지만 현재 ZUZU 서비스가 고도화됨에 따라, 상장 직전의 후기 스타트업, 상장사, 대기업까지 고객사의 범주가 확장되고 있습니다. 성숙기업이 외부 서비스를 검토할 때, 보안 이슈는 서비스 도입 여부를 결정하는 주요 요인 중 하나입니다.  코드박스가 아무리 내부적으로 잘 관리 되더라도 고객사들 입장에서는 우리가 얼마나, 어떻게 보안에 대비하는지 확인하기 어렵습니다. 따라서 ZUZU가 고객사가 요청하는 보안 수준을 모두 충족하고 있다는걸 입증하기 위해서라도 ISMS 인증은 필수적인 선택이었습니다. 

작년 8월부터 인증 준비를 시작했고 ISMS 인증 심사 마무리 단계에 있습니다. 곧 좋은 소식이 들려올 것 같아요. 👏

(i) ISMS란?

ISMS는 기업과 기관이 각종 보안 위협으로부터 주요 정보자산을 보호하기 위해 수립, 관리, 운영하는 종합적인 체계입니다. 

이를 통해 정보 자산의 비밀을 유지하고 결함이 없게 하며 언제든 사용할 수 있게 한 보호 절차와 과정을 제공합니다. 최근 정보통신 분야의 새로운 기술 발달로 개인정보와 기업, 기관 기밀의 유출 위험도 커지고 있어 이에 대응할 지속적인 높은 수준의 보안 관리 활동이 가능한 정보보호 관리체계입니다.

ISMS 크게 (1)관리체계 수립 및 운영, (2)보안 대책 운영 두가지로 구성되며, (3)개인정보 처리 단계별 요구사항 구현을 추가하면 ISMS 인증까지 받을 수 있습니다. ZUZU서비스의 보안활동은 위 3가지를 활동을 모두 포함하여 수행하고 있습니다.

인프라적인 측면

보안사안을 제외하고 간단하게 말씀드리면 가장 먼저 여러 클라우드 리전(Region)에 흩어져 있던 서비스 자원을 모두 구글 클라우드 서울리전으로 통합하는 작업이 생각납니다. 그리고, 주주 클라우드 서비스를 업무목적 및 중요도에 따라 Private 네트워크로 분리하여 DMZ, 서버팜, DB존, 개발존 등으로 나누고 네트워크 구성도를 완성하게 되었습니다. 이후 클러스터 고가용성(High Availability), 확장성(Scalability) 확보하고 제로 트러스트 보안 구축을 위한 솔루션을 순차적으로 도입완료 또는 도입진행 중에 있습니다.

보안적인 측면

제로 트러스트라는 것은 '조직의 네트워크 경계 내부 또는 외부에서 사용자와 장치를 자동으로 또는 암묵적으로 신뢰해서는 안 된다'는 원칙에 기반한 보안 프레임워크입니다. 기본적으로 리소스에 대한 액세스 권한을 부여하거나 유지하기 전에 출처나 위치에 관계없이 모든 액세스 요청을 엄격하고 지속적으로 확인 및 인증해야 한다고 가정하는 것입니다. 

안전한 서비스 제공을 위해서도 정보보호팀은 꼭 필요하지만 더 많은 고객사에게 닿기 위해서는 반드시 정보보호팀이 필요하다 생각합니다.

ZUZU 서비스의 특성 상 고객사가 기 보유한 개인정보를 많이 다루게 됩니다. 개인정보보호법에 따르면 ZUZU 서비스는 주주 개인정보 처리업무를 위탁을 받아 처리하는 경우가 되며, ZUZU 서비스 고객사는 개인정보 처리 주체가 됩니다. 즉, 코드박스는 개인정보 수탁사이고 ZUZU 서비스 고객사는 개인정보 위탁사입니다. 

후기 스타트업, 상장사까지 고객사 층이 넓어지는 현 시점에서 ZUZU 서비스가 정부 인증 수준의 보안 역량을 갖추지 못한다면 ISMS 인증 의무대상자인 위탁사에게는 B2B 서비스를 제공할 수 없게 됩니다. 이러한 상황을 방지하기 위해, 코드박스 정보보호팀에서는 ISMS 인증을 준비하고 그에 상응하는 보안 체계를 마련했습니다.

코드박스 모든 구성원들은 보안에 드는 비용과 노력을 모두 투자로 생각하고 있습니다. 위에서 시켜서 억지로 하는 문화가 아니라 본인 스스로 개인정보보호에 문제가 있다고 생각이 드는 사항에 대해서는 내부 메신저 채널을 이용해 수시로 정보보호팀과 공유하고 여러 법령을 찾아보고 필요하다면 외부 법률 전문가에 자문도 이루어집니다. 이러한 사례들은 현재 내부 메신저 대화 내용에서 쉽게 찾아볼 수 있고 자연스런 문화로 정착되었다고 자부하고 있습니다. 물론 경영진도 이러한 활동에 적극적으로 참여하고 계시고 관련 투자를 아끼지 않고 있습니다.

코드박스 구성원 모두가 자발적으로 정보보안에 투자하고 인증 취득을 위해 들이는 모든 노력은 결국 대외적 긍정적인 기업 이미지에 도움이 되고 고객의 신뢰도 향상으로 보답 받을 수 있다고 믿고 있습니다. 더욱이 인증 활동 안에 포함되어 있는 기술 취약점 진단 등은 중요 데이터 안정성을 강화하여 외부 해킹으로부터 보호받을 수 있습니다. 또한 개인정보 처리 단계별 정보보호 법적 준거성 확보 및 침해사고와 그에 따른 집단 소송 시에도 기업 피해를 최소화할 수 있습니다. 이러한 중요성을 사내 보안 세미나 혹은 공지 사항 등으로 더욱 자주 공유 드리고 있습니다.

우선 2024년 3분기 내에 ISMS 인증을 완료할 예정입니다. 또한 현재 모회사인 두나무에서 전체 자회사의 보안 운영 정책을 일원화하고, 지원체계를 수립해가는 계획이 시행되고 있습니다. 각 계열사 별로 보안 솔루션은 꾸준히 운영되고 자체적으로 보강되고 있었으나 각 사별로 조금씩 다른 운영 체계의 기준을 맞추고 접근통제, 모니터링 등 보안 수준을 보다 강화하여 보다 더 업그레이드하려는 상황입니다.

운영 계획을 자세히 공유하긴 어려우나, 총 4단계로 진행될 예정이고 Phase 1: PC보안, Phase 2: 서버보안, Phase 3: 관제, Phase 4: 자동화 순서로 진행될 예정입니다. 

그 외에 코드박스 자체적으로 2024년 보안운영계획도 가지고 있으며, 이는 사내 보안 세미나 혹은 ‘정보보호의 날’ 공지를 통해 꾸준히 진행될 예정입니다.