CISO 태진님을 만나다

2024년 4월 16일

B2B SaaS 시장에서 고객이 가장 궁금해하는 것 중 하나가 바로 보안인데요. 


‘우리 회사의 정보를 여기에 업로드해도 괜찮을까?’ ‘우리 회사의 대외비를 여기서 관리해도 괜찮을까?’ 많은 기업들이 업무 효율화를 위해 서비스 도입을 검토하면서도 이런 고민을 해요. ZUZU는 초기 스타트업부터 상장사, 대기업까지 모든 고객사가 보안에 대한 걱정없이 ZUZU에서 법인 관리를 할 수 있도록  매년 보안을 강화하고 있어요.


고객사의 정관부터 주주명부, 스톡옵션 등을 안전하게 관리하기 위해 코드박스가 어떻게 물리보안과 정보보안 수준을 높여가고 있는지, 박태진 CISO(정보보호 최고책임자)님에게 들어보았어요.

“블록체인으로 시작된 코드박스 팀, 보안의식도 남달랐습니다”

Q. 코드박스 오셨을 때, 코드박스 보안의 첫인상은 어떠셨나요?


사실 코드박스로 합류를 결정한 직후에는 보안에 대한 기대가 크진 않았어요.

작은 조직에서 제품 개발에 더 신경을 쓰다보면 어쩔 수 없이 보안에 소홀할 수 있거든요. 그런 측면에서 코드박스에 처음 합류했을 때, 개인정보보호에 필요한 보안 인프라, 직원분들의 보안 의식이 이미 높은 수준이어서 인상 깊었습니다.


코드박스는 서광열 대표님이 개발자 출신이시고, ZUZU 이전에 블록체인 기술을 활용한 서비스를 개발 중이었는데요. 절대적인 보안과 신뢰 제공 모델을 기반으로 하는 블록체인 정신을 바탕으로 모인 팀이다보니 자연스럽게 보안을 1순위로 둘 수 있었던게 아닐까 싶어요.

Q. 코드박스는 준비 1년만에 ISMS 인증을 획득하였는데요! ISMS 인증은 어떻게 준비하게 되셨나요?


ISMS 인증을 준비하면서 보안을 더 강화하자는 이유도 있었지만, 고객사들이 안심하고 사용할 수 있는 서비스라는걸 공식적으로 인증할 수단이 필요한 부분도 있었어요.


ZUZU 서비스 초기 단계에서는 ZUZU를 사용하는 고객사들 상당 수가 스타트업 이었지만 현재 ZUZU 서비스가 고도화됨에 따라, 상장 직전의 후기 스타트업, 상장사, 대기업까지 고객사의 범주가 확장되고 있어요. 성숙기업이 외부 서비스를 검토할 때, 보안 이슈는 서비스 도입 여부를 결정하는 주요 요인 중 하나에요. 코드박스가 아무리 내부적으로 잘 관리 되더라도 고객사들 입장에서는 우리가 얼마나, 어떻게 보안에 대비하는지 확인하기 어렵죠. 따라서 ZUZU가 고객사가 요청하는 보안 수준을 모두 충족하고 있다는걸 입증하기 위해서라도 ISMS 인증은 필수적인 선택이었어요.


(i) ISMS란?

ISMS는 기업과 기관이 각종 보안 위협으로부터 주요 정보자산을 보호하기 위해 수립, 관리, 운영하는 종합적인 체계입니다. 


이를 통해 정보 자산의 비밀을 유지하고 결함이 없게 하며 언제든 사용할 수 있게 한 보호 절차와 과정을 제공합니다. 최근 정보통신 분야의 새로운 기술 발달로 개인정보와 기업, 기관 기밀의 유출 위험도 커지고 있어 이에 대응할 지속적인 높은 수준의 보안 관리 활동이 가능한 정보보호 관리체계입니다.


ISMS 크게 (1)관리체계 수립 및 운영, (2)보안 대책 운영 두가지로 구성되며, (3)개인정보 처리 단계별 요구사항 구현을 추가하면 ISMS 인증까지 받을 수 있습니다. ZUZU서비스의 보안활동은 위 3가지를 활동을 모두 포함하여 수행하고 있습니다.

Q. 코드박스가 준비 1년 만에 ISMS 인증을 획득하였는데요! 태진 님이 보시기에 이번 ISMS 인증이 ZUZU 서비스 측면에서, 그리고 코드박스 업무 체계 면에서 어떤 긍정적인 효과를 가져올까요?


코드박스는 고객사 민감정보를 취급하는 온라인 주주 서비스를 제공하면서 보안의 중요성을 인지하고, 자율적으로 정보보호 및 개인정보보호 관리 체계를 구축하고 있었어요. 그 구축 과정에서 ISMS(Information Security Management System) 인증 심사를 받을 수 있도록 준비했고요. 준비한지 1년 만인 올해 8월 ISMS 인증을 드디어 받게 되었네요. (인증 번호: ISMS-KISA-2024-081)


ISMS 인증 획득은 여러 가지 긍정적인 효과를 가져왔습니다.

(1) 보안 수준 향상 : 사무실 엔드포인트 보안 구축으로 서비스 개발/운영/지원 시 안전한 환경을 갖추게 되었고, 클라우드 보안 구축으로 지속적이고 끊김없는 서비스 제공이 가능

(2) 업무 효율성 증대 : 정보보호 관리 체계를 도입함으로써 내부 업무 프로세스가 정비되고, 직원들의 정보보호 인식이 개선되어 업무 효율성 증대

(3) 고객 신뢰도 증가 : 인증을 받은 기업은 정보보호 및 개인정보보호에 대한 신뢰도 상승


ISMS 준비 과정에서 구성원들이 적극적으로 보완을 위해 참여해주신 게 너무 감사했습니다. 각자의 위치에서 고객사 데이터와 개인정보를 안전하게 지키기 위해 프로세스를 개선하고 규정을 지키도록 노력해 주셨어요. 이 자리를 통해 다시 한번 구성원 분들께 감사드려요.

ISMS 인증은 획득했다고 끝이 아닌데요. 매년 인증을 갱신하려면 기존 보안 체계를 더욱 공고히 해야 한다고 들었습니다. 코드박스는 향후 무엇에 집중할 예정이신가요?


체계를 만드는 것에서 그치지 않고 유지를 위해 노력하고 있어요. 작년 8월부터 매월 ‘정보보호의 날’ 활동을 진행하며 저희가 세운 원칙과 히스토리를 관리하고 있어요. 이름에 ‘날'이 들어가지만, 일주일 정도 작업을 하게 되는데요. 좀 더 촘촘하게 정보보완을 하기 위해 업무가 2주 이상으로 늘어나는 경우도 있어요.


2024년 하반기에는 객관적인 보안검사를 위해 외부 보안 전문가에게 보안 감사 및 평가를 받을 계획이에요. 이 외에도 임직원 정기 정보보호 교육을 통해 조직의 정보보안 수준을 높이고, 신규 사업 진행 시 개인정보 흐름도 검토 작업을 통해 ZUZU의 신뢰도를 높여갈 계획이에요.


“보안은 더 많은 고객사에게 닿기 위한 필수 역량입니다”

Q. 코드박스의 정보보호팀을 이끌고 계시는데요. 정보보호팀에서 주요하게 진행한, 혹은 진행했던 프로젝트에는 무엇이 있나요?


인프라적인 측면

보안사안을 제외하고 간단하게 말씀드리면 가장 먼저 여러 클라우드 리전(Region)에 흩어져 있던 서비스 자원을 모두 구글 클라우드 서울리전으로 통합하는 작업이 생각나네요. 그리고, 주주 클라우드 서비스를 업무목적 및 중요도에 따라 Private 네트워크로 분리하여 DMZ, 서버팜, DB존, 개발존 등으로 나누고 네트워크 구성도를 완성하게 되었어요. 이후 클러스터 고가용성(High Availability), 확장성(Scalability) 확보하고 제로 트러스트 보안 구축을 위한 솔루션을 순차적으로 도입완료 또는 도입진행 중에 있습니다.


보안적인 측면

제로 트러스트라는 것은 '조직의 네트워크 경계 내부 또는 외부에서 사용자와 장치를 자동으로 또는 암묵적으로 신뢰해서는 안 된다'는 원칙에 기반한 보안 프레임워크이에요. 기본적으로 리소스에 대한 액세스 권한을 부여하거나 유지하기 전에 출처나 위치에 관계없이 모든 액세스 요청을 엄격하고 지속적으로 확인 및 인증해야 한다고 가정하고 있습니다. 


Q. 정보보호팀의 활동은 코드박스의 B2B SaaS 제품인 'ZUZU'의 보안 측면에 어떻게 영향을 미치나요?


안전한 서비스 제공을 위해서도 정보보호팀은 꼭 필요하지만 더 많은 고객사에게 닿기 위해서는 반드시 정보보호팀이 필요하다 생각해요.


ZUZU 서비스의 특성 상 고객사가 기 보유한 개인정보를 많이 다루고 있어요. 개인정보보호법에 따르면 ZUZU 서비스는 주주 개인정보 처리업무를 위탁을 받아 처리하는 경우가 되며, ZUZU 서비스 고객사는 개인정보 처리 주체가 되는거죠. 즉, 코드박스는 개인정보 수탁사이고 ZUZU 서비스 고객사는 개인정보 위탁사입니다.


후기 스타트업, 상장사까지 고객사 층이 넓어지는 현 시점에서 ZUZU 서비스가 정부 인증 수준의 보안 역량을 갖추지 못한다면 ISMS 인증 의무대상자인 위탁사에게는 B2B 서비스를 제공할 수 없게 될 수 있어요. 이러한 상황을 방지하기 위해, 코드박스 정보보호팀에서는 ISMS 인증을 준비하고 그에 상응하는 보안 체계를 마련했습니다.


“보안을 위한 노력, 고객의 신뢰로 돌아올 겁니다”

Q. 현실적으로 보안 체계를 강화하는 과정에서는 비용 부담이 발생하는 것으로 알고 있습니다. 코드박스에서는 이러한 부담을 어떻게 바라보고 있는지 궁금합니다. 


코드박스 모든 구성원들은 보안에 드는 비용과 노력을 모두 투자로 생각하고 있어요. 탑다운으로 하는 문화가 아니라 본인 스스로 개인정보보호에 문제가 있다고 생각이 드는 사항에 대해서는 수시로 정보보호팀과 공유하고 여러 법령을 찾아보고 필요하다면 외부 법률 전문가에 자문도 이루어지고 있어요. 이러한 사례들은 현재 내부 메신저 대화 내용에서 쉽게 찾아볼 수 있고 자연스런 문화로 정착되었다고 자부하고 있어요. 물론 경영진도 이러한 활동에 적극적으로 참여하고 계시고 관련 투자를 아끼지 않고 있기도 하고요.


Q. 정보 보안을 위해 필요로 하는 절차가 불편함으로 다가올 수 있는데요. 이런 불편함을 감수하기 위해 정보 보안의 중요성을 이해하는 것이 중요해보입니다. 중요성을 이해시키고 공감을 얻기위해 어떤 노력을 하고 있나요? 


정보보안에 투자하고 인증 취득을 위해 들이는 모든 노력은 결국 대외적 긍정적인 기업 이미지에 도움이 되고 고객의 신뢰도 향상으로 보답 받을 수 있다고 믿고 있어요. 더욱이 인증 활동 안에 포함되어 있는 기술 취약점 진단 등은 중요 데이터 안정성을 강화하여 외부 해킹으로부터 보호받을 수 있기도 하고요. 개인정보 처리 단계별 정보보호 법적 준거성 확보 및 침해사고와 그에 따른 집단 소송 시에도 기업 피해를 최소화할 수 있다는 장점도 있어요. 결국 정보보호의 위한 활동이 조직과 서비스측면에서 중요하다는 것을 구성원들이 인지할 수 있도록 공유 드리고 있습니다.



Q. 코드박스의 정보보안 강화를 위해 예정된 활동이 있다면?


모회사인 두나무에서 전체 자회사의 보안 운영 정책을 일원화하고, 지원체계를 수립해가는 계획이 시행되고 있어요. 각 계열사 별로 보안 솔루션은 꾸준히 운영되고 자체적으로 보강되고 있었으나 이제는 각 사별로 조금씩 다른 운영 체계의 기준을 맞추고 접근통제, 모니터링 등 보안 수준을 보다 강화하고 있어요.


운영 계획을 자세히 공유하긴 어려우나, 총 4단계로 진행될 예정이고 Phase 1: PC보안, Phase 2: 서버보안, Phase 3: 관제, Phase 4: 자동화 순서로 진행될 예정이에요. 그 외에 코드박스 자체적으로 보안운영계획을 가지고, 사내 보안 세미나 혹은 ‘정보보호의 날’ 공지를 통해 꾸준히 진행될 예정이에요.


  • sns-icons
  • sns-icons
  • sns-icons
  • sns-icons
made with Greeting