SK커뮤니케이션즈, 기획과 개발단계부터 보안적용

항상 IT보안 관련 이론서에 나오는 말이다. 기획과 개발 단계부터 보안을 적용해야 한다는... 그러나, 실질적으로 그러한 기업 및 서비스 업체는 많지 않은 것이 현실이다. 따라서 SK커뮤니케이션즈의 사례는 부러울 따름이고, 보안을 생각한다는 것은 대한민국에서는 그만큼의 여유가 있다는 얘기와 직결된다. 어느 정도 매출치를 확보하고 있기 때문이라는 얘기다.
난 단지 누구나가 알고 있는 보안의 가치만큼, 혹은 최소한의 그만큼은 지켜지길 바랄 뿐이다.

============================================================================

“실질적이고 전사적인 보안이 아니면 보안이 아니다”

“함께 즐기고 신나고 재미있는 서비스”를 모토로 하고 있는 SK커뮤니케이션즈는 막강한 사이버 세력을 보유하고 있는 커뮤니케이션 전문 닷컴 기업이다.

1인 미디어 서비스 ‘싸이월드(www.cyworld.com)’, 사용자 중심 web 2.0 포털 ‘네이트닷컴(www.nate.com)’, 일촌들의 감성메신저 ‘네이트온(nateon.nate.com)’, 신개념 정보유통 블로그 ‘통’(www.tong.co.kr), 쉽고 재미있는 교육전문 서비스 ‘이투스(www.etoos.com)’, 블로그 전문 사이트 '이글루스(www.egloos.com)' 등이 SK커뮤니케이션즈에서 운영하는 대표적인 사이트들이다.

현재 이 기업은 중국, 일본, 미국, 유럽 등에 ‘싸이월드’를 확장시켜 나가고 있고 이를 발판으로 글로벌 기업으로의 도약을 꿈꾸고 있다. 

이렇게 다양하고 회원수가 많은 사이트를 운영하는데 있어 최대 이슈는 역시 ‘개인정보보호’일 것이다. SK커뮤니케이션즈의 보안은 누가 책임을 지고 있을까. 바로 이 기업 기술본부 시스템보안팀의 송재훈 팀장과 그 팀원들이다. 이들은 어떤 방법으로 고객들의 개인정보보호와 사내 보안을 유지하고 있을까. 그의 이야기를 들어보자.

Interview

송재훈 SK커뮤니케이션즈 시스템보안팀장

“보안부서는 독립적이고 CEO직속이어야 한다”

 

보안과 인연을 맺게 된 계기가 있다면?

대학에서는 재료공학을 전공했지만 컴퓨터를 좋아해 학창시절부터 프로그램 개발자가 꿈이었다. 첫 직장에서는 프로그램 오류를 수정하는 일을 담당했다. 그래서 자연스럽게 보안 취약점에 관심을 가지게 됐다. 프로그램 고치는 일을 하다가 잘못된 부분을 알게됐다. 그때 보안업체에서 연락이 왔고 2003년부터 STG시큐리티에 근무하게 됐다.

그 곳에서는 기술적 보안분야를 담당하다 모의해킹팀장으로 이동했다. 모의해킹 업무를 하면서 웹사이트 보안취약점 점검 등 사이트 안전진단, 사이트 감사 등 여러분야 사이트를 분석할 수 있는 좋은 기회를 잡았다. STG에서 실무경험을 쌓은 후 2005년 11월 경, SK커뮤니케이션즈에서 보안팀을 구성한다는 말을 듣고 지원하면서 지금에 이르고 있다.

보안팀 조직 구성은 어떻게 이루어졌나?

당시에는 운영조직내에서 보안팀을 조직했다. 총 3명이 처음 보안팀을 맡게 됐는데 입사 조건을 내걸었다. 바로 독립된 보안팀 운영과 CEO 직속으로 보안팀을 운영할 수 있도록 해달라는 것이었다. 그 이유는 이렇다. 대부분 사람들이 보안팀을 IT 조직안에 포함시키려고 한다. 그것은 잘못된 것이다. 보안팀이 하는 일은 엄밀히 말해 IT조직과 무관한 일이 많다. 회사 보안 정책을 수립하고 프로세스를 정립하고 임직원들의 보안교육 등을 원활하게 진행하기 위해서는 독립된 부서여야만 가능하다. 보안팀은 정책을 만들고 그것을 모니터링하는 등 보안의 강도를 조절하는 일이 주 업무이기 때문이다.

CEO 직속이어야 한다는 이유는 무엇인가?

보안의 최종 업무는 바로 감사업무다. 회계감사와 경영감사 등이 CEO 직속인것과 마찬가지로 보안감사업무도 CEO 직속이어야만 가능하다. 그래서 보안팀도 CEO 직속이어야 한다고 말했다. 또 보안으로 인해 발생하는 책임은 CEO가 최종적으로 감수해야 한다. 닷컴 기업은 보안이 비즈니스와 직결된 것이기 때문에 보안과 관련된 결정은 CEO의 직권이 필요한 부분이다. 또 보안정책에 대한 실행 부분에서 CEO 직속의 독립된 부서에서 진행하는 것과 IT 조직 내의 보안팀에서 추진하는 것과는 효과면에서 차이가 있기 때문이다. 하지만 현재까지는 우리팀도 CTO 밑에 존재하고 있다.

보안팀의 주요 업무는 무엇인가?

사내보안과 고객을 대상으로 하는 서비스 보안, 개인정보보호, 6개국으로 서비스되는 글로벌 보안 등이 주요 업무다. IT 운영팀과 개발팀에 대한 주기적인 취약점 점검을 실시해 결과를 매주 CTO에 보고하고 있으며 보안 프로세스 수립과 보안 감사 및 보안 교육이 주요 업무들이다.

업무가 상당히 많은 편이다. 운영 사이트도 많고 관련 팀도 많다. 거기에 맞게 프로세스도 정립하고 변화시켜 나가야 하며 각각 취약점 점검도 노동이다. 거기에 보안 시스템 운영까지 긴장의 연속이다. 또한 서비스 편의성 보다는 보안에 중점을 두고 있으며 이를 기획과 개발단계에서부터 실행하고 있다. 그리고 보안에 어느 정도를 투자해야 최적의 투자가 될 것인지를 결정하는 일도 까다로운 업무가운데 하나다.

가장 중점적으로 실행하는 보안사업이 있다면?

현재 전사적으로 정보보호 관리체계를 수립하는 준비단계에 있다. 이를 통해 개인정보보호에 대한 명확한 책임소재를 가릴 계획이다. 실질적으로 개인정보보호를 더욱 강화하려는 준비를 하고 있으며 형식적으로 하는 것은 눈뜨고 못 본다. 보안팀의 의지를 가지고 실질적인 개인정보보호 체계를 수립해 나갈 것이다.

또한 SK컴즈의 싸이월드, 네이트닷컴 등 메인사이트를 해킹하는 일보다 메인사이트에 딸려있는 CP(콘텐츠 프로바이더)사이트를 해킹하려는 시도가 많다. 하지만 CP사이트도 SK컴즈의 가족이라고 생각하고 이들 사이트 관리자들에 대한 보안교육을 대대적으로 실시하고 있다. 한편 보안팀은 대외 협력에도 투자를 하고 있다. 사이버수사대나 국정원, KISA 등과도 취약점 발견 및 대응 등과 관련 다양한 정보를 주고 받고 있다.

사이트 고객 DB는 어떻게 관리하고 있나?

메인 사이트에 대한 외부 해킹 피해건은 지금까지 한건도 없었다. CP해킹 시도가  주를 이루고 있는데 만약 이들 사이트가 뚫린다고 해도 SK컴즈의 회원정보에는 접근할 수 없다. 또한 6개의 주요 사이트가운데 하나가 뚫렸다 하더라도 메인 DB에 접근은 불가능하다. 고객 개인정보는 보안팀에서도 볼 수 없을 뿐만 아니라 철저한 접근 제한으로 보호를 하고 있다.

SK커뮤니케이션즈만의 독특한 보안 업무가 있다면?

철저한 CP 관리에 있다. 이들 콘텐츠 프로바이더들은 주로 부동산, 점, 보험회사 등의 사이트를 운영하고 있으며 영세하고 보안마인드도 부족하다. 결국 도메인을 네이트에서 대여해주고 영업을 하는 사이트이기 때문에 300개가 넘는 CP사이트에 대한 보안교육도 철저히 하고 있다. 365일 상시로 CP사이트에 대한 보안취약점을 모니터링하고 있으며 문제 발생시 즉시 연락을 취해 조치를 하고 있다.

한편 지난해에는 개발자와 운영자 전체를 80시간(2주) 동안 집중적으로 보안교육을 실시했다. 그 결과 이제는 웬만한 보안위협들은 개발팀과 운영팀에서 직접 막아주고 있다. 특히 개발자들도 보안교육만 잘 받고 개발시 보안에 신경을 쓴다면 보안팀과 서비스 실행 이후 마찰도 없기 때문에 자신들도 더욱 편하게 일을 할 수 있다.

보안팀에 대한 안티가 있을 것 같은데?

보안팀은 대부분의 사내 조직과 관련이 돼 있다. 이를 관리하는 것이 힘들다. 계속 확인을 해야 하고 관련 부서와 협의하고 확인하는 작업이 많다. 그래서 안티도 많을 것이다. 또한 대부분의 보안 이슈들이 시급한 문제들이기 때문에 그냥 넘어갈 만한 사안들이 아니다. 그래서 보안업무의 우선 순위를 정하는 것도 스트레스다. 하지만 업무에서 가장 일순위에 두는 것은 항상 고객정보보호가 가장 우선이다.

보안에 관심있는 후배들에게 해줄 수 있는 말이 있다면?

기업에서는 학생들이 생각하는 보안보다 그 업무 영역이 훨씬 넓다는 것을 알아야 한다. 단순히 해커와의 대결만 생각한다면 오산이다. 그것은 극히 일부분이다. IT운영은 기본이고 개발분야에 대한 지식도 웬만큼 갖추고 있어야 한다. 뿐만 아니라 총무팀, 출입보안, 인사팀 등등 모든 부서와 커뮤니케이션이 돼야 하기 때문에 그 분야에 어느 정도 지식이 있어야 대화를 할 수 있다. 또 기업 보안담당자는 정부에서 지시하는 관련 법도 준수를 해야 하기 때문에 이에 대한 지식도 필요하다. 다방면의 다양한 공부를 위해서는 프리랜서 보다는 회사에 소속돼 다양한 경험을 해보는 것이 중요하다고 생각한다.

최근 위협적으로 느껴지는 공격이 있다면?

중국발 해킹은 크게 심각한 수준이 아니라고 생각한다. 최근 가장 위협적인 공격은 바로 디도스(서비스거부) 공격이다. SK는 현재 디도스를 막기위한 방어장비를 사용하고 있어 안전하지만 그래도 방심은 금물, 계속해서 모니터링하면서 방어 준비를 갖추고 있다.

네이버의 고객 보안서비스에 대해 어떻게 생각하나?

어느 것이 정답이라고 단언할 수 없다. 정보보호 기업 입장에서는 긴장해야 할 일이지만 네이버 입장에서는 고객에 대한 서비스다. 뭐라고 말할 수준은 아닌 듯하다. 서로의 영역이 겹치면서 충돌이 발생했다고 생각한다. 하지만 기업 고객을 보호하고 이들의 정보를 지켜야 겠다는 뜻에는 동의한다. 고객을 통해 기업이 돈을 벌고 있는데 고객의 정보를 소홀히 한다는 것은 말이 안되기 때문이다.

SK컴즈도 다각적으로 실질적인 대 고객 보안서비스에 대해 준비를 하고 있다. 고객이 자사 사이트에 들어올 때만 고객을 보호하는 것은 아니라고 생각한다. 그것은 진정한 고객 보호가 아니다. 아마 내년쯤 SK컴즈에서도 고객 보안서비스가 제공될 예정이다. 그 형태는 아직 뭐라고 말할 수 없다.

보안업무에서 가장 중요하게 생각하는 것은 무엇인가?

형식을 싫어한다. 좀더 구체적으로 ‘형식적으로 하는 것’을 싫어한다. 껍데기는 가야 한다. 보안교육도 그렇고 보안 프로세스 정립하는 것도 그렇다. 또 고객의 개인정보보호도 그렇고 사내 보안도 그렇다. 이 모든 것이 형식적으로 이루어지고 전사적으로 이루어지지 않는다면 보안은 제로다. 어느 작은 부분 하나라도 보안이 이루어지지 않았다면 모든 것이 안되어 있다고 생각한다. 이런 점에서 보안은 실질적이고 전사적으로 이루어져야 한다고 생각하고 그렇게 실천하고 있다.  

[길민권 기자(reporter21@boannews.com)]

출처 : 보안뉴스