우아한형제들

김동현 / 정보보호 최고책임자

Interview 01

담당업무 소개

우아한형제들의 정보보호 최고책임자(CISO)로서 동현님께서 맡고 계신 주요 역할을 소개 부탁드립니다.

안녕하세요, 정보보호실 김동현입니다. 우아한형제들에서의 제 역할을 간략히 소개드리면 고객에게 안전하고 불편함 없는 서비스를 제공하기 위해 정보보호와 개인정보보호 관련 여러 업무를 수행하는 조직을 이끌고 관리하고 있다고 말씀드릴 수 있겠습니다.

정보보호실의 주요 역할을 조금 더 구체적으로 이야기해보면 1) 서비스와 관련하여 보안적 위험 요소는 없는지 보안성을 검토하고 필요한 경우에는 아키텍처 검토도 진행합니다. 2) 침해 예방, 침해 시도에 대한 탐지 및 대응도 담당하고 있고 3) 신규 서비스가 론칭될 때마다 진행하는 취약점 진단업무와 정기적으로 진행하고 있는 기존 서비스에 대한 취약점 진단도 있네요. 4) 마지막으로 우아한형제들 구성원분들이 사용하는 VPN과 같은 보안 시스템, 보안 솔루션, 보안 서비스 운영도 담당하고 있습니다.

그 밖에도 정보보호관리체계나 ISO27001과 같은 인증 취득에 필요한 준비와 업무도 수행하고 있고 구성원 대상의 정보보호, 개인정보보호 교육과 보안 캠페인도 맡고 있어요. 회사의 서비스 이벤트나 신규 사업을 기획하는 경우에는 개인 정보 이슈가 없는지 검토하는 일도 있습니다.

지금까지 소개드린 업무들은 저희 실의 구성원분들이 주로 담당하고 있고, 저는 이러한 업무들이 문제없이 잘 진행되도록 지원하고 도움을 주는 역할을 하고 있습니다. 또한 구성원 개인이 성장할 수 있도록 코칭하는 역할도 빼놓을 수 없겠습니다.

Interview 02

정보보호의 주요 목표

우아한형제들의 정보보호 최고책임자로서 특별히 중요하게 생각하시는 것은 무엇인가요? 세 가지만 말씀 부탁드립니다

정보보호 최고책임자로서 특별히 중요하게 생각하는 첫 번째는 침해 사고가 발생하지 않도록 하는 것입니다. 그래야 고객분들이 믿고 서비스를 이용하지 않을까요? 우리나라에서 보안은 법적 요건에 따라 적용되기도 하지만, 이 법적 요건의 궁극적 목적 역시 침해 사고가 발생하지 않도록 해서 이용자의 정보를 보호하는 것입니다. 그래서 침해 사고가 발생하지 않도록 하는 것을 가장 중요하게 여기고 있어요.

그리고 첫 번째 만큼 중요하게 생각하는 것은 사람입니다. 오랜 시간 보안 분야에서 일을 해 왔는데, 결국 보안은 사람이 하는 일이더라고요. 그것도 보안을 담당하는 사람만이 아니라 회사에 재직 중인 전체 구성원들이 지켜야 하는 책임이 있는 거죠. 전사 구성원이 보안에 대한 이해를 바탕으로 보안 규정을 잘 챙기고 지켜준다면 침해 사고 발생 가능성을 최소화할 수 있습니다. 결국 정보보호 최고책임자가 해야 하는 역할은 구성원들이 보안에 대한 바른 인식과 이해를 하고, 이를 실천하도록 만드는 것입니다. 어렵고 시간이 오래 걸리는 일이지만 꾸준하게 하고 있습니다.

마지막으로는 꾸준한 정진입니다. 한편으로는 도전 때로는 노력이라는 모습일 수도 있겠습니다. IT업계에 있는 이상 빠른 환경의 변화는 피할 수 없습니다. 그리고 기술과 서비스가 먼저 변화하고 보안은 언제나 조금씩 늦을 수밖에 없어요. 이런 조금씩 늦는 타이밍에 침해 사고가 발생하게 되는 것이고요. 이 시간차를 줄이기 위해서는 어제와 같은 모습으로 오늘 일을 하면 안됩니다.

매일 같은 업무를 하지만 항상 더 나은 방법을 고민하면서 도전해야 하고, 새로운 기술과 서비스에 대한 학습의 노력을 게을리할 수 없습니다. 힘들고 어려운 과정이지만, 보안을 업으로 삼고 남에게 부끄럽지 않으려면 꾸준히 발전하고 정진하는 노력을 해야 합니다.

Interview 03

성취의 순간과 과정

우아한형제들의 보안 체계와 역량을 강화하는 다양한 과제들 중 가장 큰 성취감을 느꼈던 사례를 이야기해주세요.

가장 큰 성취감을 느낀 두 가지 사례를 들려드릴게요. 먼저는 선례가 없던 것을 해본 경험입니다. 배달의민족 서비스에는 배민 포인트와 같은 전자금융 서비스가 제공되고 이 서비스를 클라우드에서 운영하기 위해서는 법에 따라 클라우드컴퓨팅 서비스 이용을 위한 금융감독원 보고를 진행해야 합니다. 그런데 규정에 따라 이용 보고를 하다 보니, 2018년 12월에 새롭게 생긴 규정이라 선례가 없었습니다. 그래서 참고 자료 없이 우리 스스로 만들고 검토해가며 진행할 수밖에 없었고 꽤 시간이 소요된 일이었지만, 클라우드컴퓨팅 서비스 이용 보고를 무사히 마칠 수 있었습니다. 이 경험이 선례가 되어 이후부터는 전자금융 서비스를 추가하며 저희 보고자료를 참고해서 빠르게 업무를 진행하고 있습니다. 클라우드컴퓨팅 서비스 이용보고를 하기 위해서 클라우드 보안에 대한 체계를 새롭게 마련하고 기존의 체계를 수정하기도 했었는데요, 이 과정이 클라우드 보안에 대해 Best Practice를 찾아가는 과정이라고 생각되고 이 과정에서 결과물이 하나씩 만들어졌죠. 이때 참여했던 구성원들이 성취감을 느낄 수 있지 않았나 싶습니다. 저를 포함해서요.

>> 동현님의 유튜브 영상 보러가기

2019년 1월 1월, 전자금융업자가 클라우드서비스를 이용할 수 있는 법적 제도가 마련되었습니다. 우아한형제들에서는 기존에 IDC에서 운영하던 전자금융 서비스를 클라우드 서비스에서 운영하기로 결정하고, 어려운 여정을 시작했습니다.

두번째 기억에 남는 과제는 보안 캠페인을 진행했을 때입니다. 보다 정확하게 이야기하면 저희가 주관하여 진행한 것이 아닌 다른 부서에서 진행하는 것을 도와줬다는 것이 더 맞겠네요. 다른 회사의 경우, 보안 캠페인은 보안팀에서 준비하고 진행하지만 사내 구성원들은 관심 없는 경우가 많습니다.

그런데 우아한형제들에서의 보안 캠페인은 당시 피플팀과 전사교육팀에서 주도해 주고 정보보안팀은 오히려 도와주는 역할로써 진행되었어요. 피플팀과 전사교육팀에서 저희를 초대해서 보안 캠페인 컨텐츠에 대한 전문가로서의 아이디어와 의견을 제시하면 제작과 진행을 두 팀에서 맡겠다고 제안하시더라고요. 개인적으로 유사 전례가 없어서, 조금 당황스럽기조차 했습니다. 어쨌든 보안 캠페인은 피플팀과 전사교육팀의 주도하에 즐겁게 잘 진행이 되었습니다. 그때의 흔적이 아직도 회사 회의실에 남아있고요. 입사할 때 회사에 대해 기대했던 모습을 경험할 수 있었던 좋은 기억으로 남아있습니다.

Interview 04

역량에 관한 생각

정보보호실에서 좋은 역량을 발휘하기 위해서는 어떤 자질과 역량을 갖춰야 할까요?

우아한형제들의 주요 과제의 키워드가 성장이다 보니, 신규 기술을 도입하거나 사업을 확장하는 데 주저함이 없습니다. 또한 서비스도 외부에 알려진 것보다 더욱 다양한 서비스들이 있어요. 정보보호실의 최우선 업무 목표는 다양한 서비스가 안전하게 제공되도록 하는 일이므로 서비스와 시스템 구조들을 잘 알고 이해해야 합니다. 또한, 시스템상 취약점을 해결하기 위해서는 우아한형제들의 서비스 구조와 시스템 환경을 파악하여 위험관리 정책을 수립하고 유지 보수하는 일 또한 중요합니다.

그렇기 때문에 우선 호기심이 많아야 합니다. 하나의 사례로 배달대행 업체들과의 협업 프로젝트가 있습니다. 우아한형제들의 고객인 가게 사장님들이 저희 우아한형제들의 주문접수 프로그램과 배달을 대행해 주는 업체의 프로그램을 동시에 사용하면서 배달정보를 수동으로 옮겨 적는 불편함이 있었어요. 이러한 불편함을 해결하고자 배달정보를 자동으로 연동해 주는 프로젝트를 진행했고, 정보보호실은 배달대행 업체의 보안 수준을 검토하는 과제를 맡아 검토의 기준이 되는 보안 요구 사항을 정의해야 했습니다.

보안 요구 사항을 정의하기 위해서는 크게 세 가지 사항을 고려할 필요가 있습니다. 첫 번째는 배달 정보와 데이터 연동이 필요한 서비스 구조와 흐름에 대한 이해를 갖추는 것이 필요합니다. 서비스 시스템 구조에 대한 이해를 기반으로 정보/데이터의 전달 과정을 이해하지 못하면 사업 목적에 맞지 않는 불필요한 보안 요구 사항을 도출하거나, 반대로 필요한 보안 요구 사항을 누락할 수 있기 때문입니다.

두 번째는 현장 점검을 위한 문서의 사전 점검입니다. 문서를 점검하며 기본적인 프로그램 환경은 파악이 가능했기 때문에, 우리가 미처 접해보지 않은 환경이라면 현장점검 전에 배달대행 업체에서 사용하는 환경을 학습하여, 어느 정도 내용을 숙지해야 보안 요구 사항을 준수하는지 확인할 수 있습니다.

세 번째로 보안 요구 사항을 준수하고 있는지 확인하기 위한 현장 점검을 진행합니다. 점검 과정에서 보면 배달대행 업체마다 프로그램 환경이 다 달랐는데요. 온프레미스(On-Premise) 환경에서 서비스를 운영하는 업체, 클라우드 환경에서 서비스를 운영하는 업체, 클라우드 환경도 AWS, GCP, Azure 등 다양했고요. 또, AWS 사용한다고 하더라도 각기 운영하는 방식이 달랐습니다.

현장을 점검하면서도 끊임없이 호기심을 가지고 질문하지 않으면, 배달대행 업체가 보안 요구 사항을 제대로 준수하고 있는지 확인할 수 없습니다. 겉으로 보기엔 준수하는 것처럼 보여도 깊게 들어가 보면 그렇지 않은 경우도 있기 때문이죠.

이처럼 서비스와 기술, 그리고 이와 관련된 컴플라이언스에 대한 지속적인 현황 파악이 이루어져야 적절한 보안체계를 만들고, 가이드 하는 것이 가능합니다. 그래서 호기심을 바탕으로 새로운 것들을 꾸준히 학습하는 배움에 대한 끊임없는 노력이 필요한 것입니다.

또 한 가지를 꼽자면 커뮤니케이션 능력입니다. 아마 보안업무를 해왔던 사람들이라면 모두 공감할 텐데요, 보안업무는 다른 부서의 협조 없이 보안 조직에서만 진행할 수 있는 일은 굉장히 적습니다. 대부분의 보안업무는 다른 부서의 도움과 협조로 이루어집니다.

타 부서의 원활한 협조를 구하는 것은 탁월한 커뮤니케이션 능력이 갖춰져야만 가능합니다.\ 일의 목적을 명확하게 이해시키고, 우리가 할 일과 상대방이 할 일을 서로 다르게 이해하지 않도록 정확하게 전달하는 것 그리고 일의 필요성에 대한 공감대를 형성하는 것은 커뮤니케이션을 통해서 이루어지기 때문입니다. 일단 이 두 가지 역량을 잘 갖춘다면 역량을 키우고 발휘하는 데도 도움이 될 것으로 생각됩니다.

Interview 05

우아한형제들 조직문화

동현님께서 우아한형제들을 최종적으로 선택하신 가장 큰 이유 세 가지가 궁금합니다.

전 우아한형제들을 선택한 이유가 여러가지 있진 않았습니다. 중요한 이유 단 한 가지만 있었어요. 우아한형제들이 가지고 있는 독특한 조직문화요. 일반적으로 회사에서 보안업무를 하는 사람들은 굉장히 외롭게 일을 합니다. 보안 업무의 특성상 다른 부서의 협조가 있어야 원활하게 업무를 할 수 있는데, 다른 부서에서는 보안 업무와는 심리적으로도 거리를 두려고 하는 것이 일반적인 모습인 것 같아요.

그래서 전사 구성원과 보안 업무를 다 같이 할 수 있으면 좋겠다는 꿈(?)을 가지고 있었죠. 그러다 우연히 우아한형제들이라는 회사에 대해 접하게 되었는데, 조직문화에 대한 첫인상이 ‘굉장히 독특하다’였습니다. 구성원들 간에 협업 문화가 잘 자리 잡고, 회사 내에서 의사소통이 투명하게 이루어지는 회사의 모습이었어요. 조금 더 찾아보니 구성원들이 회사에 대한 애정이 넘쳐나는 것도 신기했죠. ‘배려와 협동’을 통해 고객 창출과 만족이라는 성과를 이루고, 잡담을 중시하는 등의 문화와 관련 정보들을 찾아볼수록 이런 문화를 가진 회사라면 꿈을 실현시켜볼 수도 있겠다는 생각이 들어서 지원을 했었습니다. 마침 그때 제가 지원할 수 있는 직무를 채용하고 있었던 인연도 있었고요. 우아한형제들은 당시에 제가 지원한 유일한 회사였고, 현재에도 동료들과 배려와 협동의 가치를 실천하며 일을 하고 있습니다.

우아한형제들의 정보보호 담당자가 되고자 하는 분들께 면접 노하우를 한 가지만 말씀 부탁드립니다.

아, 너무 어려운 질문인데요. 저희가 면접을 볼 때는 시작 전에 지원자분들께 꼭 먼저 말씀드리는 것이 있어요. 저희가 드리는 질문의 대부분은 정답이 없고, 저희가 기대하는 답이 따로 없으니 평소에 하시던 생각을 그냥 솔직하게 말씀해 주시면 된다고요.

면접 노하우란 결국 질문에 대한 답을 잘하는 것이겠죠? 면접 노하우를 말씀드리기 어려운데 그럼에도 불구하고 한 가지 말씀드린다면, 지금까지 해왔던 업무가 본인에게 어떤 의미였는지를 한 번씩 생각해 보시고 글로써 정리해보시면 어떨까 싶습니다. 해왔던 업무가 본인에게 생각의 전환 또는 깊이를 가져다 줬을 수도 있고 업무적 역량을 키워 줬을 수도 있을 텐데요. 이것들을 체계적으로 구조화하고 정리해서 머릿속에 담는 훈련을 하신다면 어떤 질문을 받더라도 헤매지 않고 답을 잘 하실 수 있지 않을까요?

>> 우아한형제들 기업정보 보러가기

>> 지금 채용중인 IT 직무 보러가기