피플
대한민국 1등 뷰티 앱 지킴이, 화해 정보보안팀
2024. 07. 03
안녕하세요. 대한민국 1등 뷰티 앱 화해입니다.
화해의 중요한 자산인 정보와 데이터를 안전하게 지키며 최전선에서 활약하고 있는 화해 정보보안팀을 소개합니다!
이번 인터뷰에서는 정보보안팀 리더 은영님을 만나 화해 정보보안팀의 역할과 책임, 정보보안 정책 수립 시 고려하는 핵심 요소는 무엇인지, 그리고 발생할 수 있는 보안 위협에 대한 대응 방안 등에 대해 자세히 이야기 나눠주셨는데요.
대한민국 1등 뷰티 앱 화해의 정보를 지키는 정보보안팀의 이야기, 지금 함께 만나볼까요? 😄
Q1. 안녕하세요 은영님! 간단한 자기소개 부탁드려요.
안녕하세요. 화해 정보보안팀 리드 서은영입니다. 😊
화해 정보보안팀은 빠르게 실행할 수 있는 클라우드 환경에서 정보보호관리체계를 수립하고 운영하는 조직이에요. 이를 통해 고객들이 화해를 신뢰하며 안심하고 서비스를 이용할 수 있도록 보안을 철저히 책임지고 있습니다.
Q2. 정보보안팀은 어떤 일을 하나요?
화해 정보보안팀은 2022년에 별도의 팀으로 조직이 분화되면서 팀빌딩을 통해 보안팀의 미션과 로드맵을 수립하고 매년 성장하고 있어요. 2022년 최초로 ISMS 인증을 받았고, 이를 지속적으로 유지하고 있는데요. 정보보호관리체계를 수립하고 운영하면서, 조직 보안을 위한 전반적인 업무도 수행하고 있어요. 주요 업무는 크게 컴플라이언스 기반 보안, 기술 보안, 물리 보안으로 나뉘어요.
컴플라이언스 기반 보안은 개인정보보호법, 정보통신망법을 기반으로 조직의 정책, 지침, 규정 등을 재/개정하여 법을 준수할 수 있도록 기반을 마련하는 업무에요. 최근 개인정보보호법이 크게 개정되면서 화해의 정책, 지침, 규정 등을 재검토하게 되었는데요. 이를 통해 팀 내부적으로 법에 대해 더 깊이 있게 이해하고 학습하게 되는 계기가 되었어요.
기술 보안은 서버, DB, PC 등 인프라의 취약점을 진단하며 자산 현행화, 취약점 점검, 결함 조치 등을 진행하는 업무예요. 우리 자산의 결함을 사전에 파악하고 조치하여 외부 위협과 내부 정보 유출을 최소화하기 위한 작업을 진행해요. 또한, 보안 솔루션 도입 여부를 결정하기 위해 AWS, GCP 서비스 또는 3rd party 솔루션을 조사하고, PoC를 수행하면서 우리 조직에 적합한 솔루션을 검토하고 구축한 후 자체적으로 운영하고 있어요.
물리 보안은 임직원의 보안 인식을 향상시키기 위해 주기적으로 클린데스크, 월간 보안 정기점검을 진행하는 업무에요. 임직원들이 스스로 PC 보안과 개인정보 접속 시 규정을 준수하도록 셀프체크를 통해 보안 인식을 높이고, 인지할 수 있도록 주기적인 활동을 수행하고 있어요.
Q3. 화해에 합류하신지는 얼마나 되셨나요? 합류하게 된 계기가 있을까요?
화해에 합류한 지는 벌써 2년이 넘었어요. 그 전에는 대기업 고객사의 보안 솔루션을 구축하고 운영하며 관제 등의 업무를 수행했었어요.
고객사에서 권한을 위임받아 업무를 수행했는데, 주도적으로 의사 결정을 하고 업무를 진행시키기에는 많은 의사 결정권자들을 설득하는 과정이 필요했어요. 그로 인해 드는 시간과 비용 이슈로 인해 진행되지 못하는 과제들도 많았는데요. 그럼에도 불구하고 당시 흔치 않았던 AWS 클라우드 환경과 온프레미스 환경에서 보안 업무를 수행하면서, 남들이 경험하지 못한 다양한 업무를 경험하게 되어 자부심을 느꼈어요. 하지만 4년여의 시간이 지나자 보안 운영 업무는 점점 루틴 업무로 자리 잡았고, 어느 순간 다른 보안 종사자들에 비해 뒤처지고 있다는 생각이 들더라고요. 그러던 중 화해 채용 담당자로부터 면접 제의를 받게 되었고, 주변 지인들에게 물어보니 최근 굉장히 성장하고 있는 플랫폼이라고 들어 관심을 가지고 도전하게 되었어요.
처음 면접을 볼 때가 아직도 또렷이 생각이 나는데, 당시엔 아직 화해에는 정보보안 조직이 팀으로 구성되지 않았고 새롭게 팀빌딩을 해야 하는 상황이었어요. 그래서 전형을 진행하면서도 더 쉬운 길에 대한 고민을 했던 것 같아요. 하지만 지금까지는 잘 구성된 환경에서 숟가락 하나 얹는 정도의 역할만 했다면, 화해에서는 우수한 동료들과 함께 동료들의 신뢰를 바탕으로 모든 것을 주도적으로 할 수 있을 것 같은 도전 정신이 생기더라고요. 게다가 채용 담당자분이 친절하게 하나하나 설명하고 안내해 주셔서 최종적으로는 화해에 입사를 결정하게 되었어요.
그렇게 화해에 입사해보니 초반에는 제 생각보다 더 많은 업무를 해야 해서 당황스러웠던 것도 사실이에요. 😅 그렇지만 팀원들의 도움을 받아 하나씩 차근차근 해내면서 성취감도 느끼고, 이전에 부분적으로만 하던 업무를 화해에서는 모든 과정에서 다 참여하며 보안 업무를 더 넓게 볼 수 있는 계기가 되었어요. 화해 입사는 저를 크게 성장시킨 최고의 결정이었다고 생각하고, 화해 정보보안팀을 더욱 나아가는 팀으로 만들기 위해 계속 노력할 예정이에요.
Q4. 화해 정보보안 정책 및 프로세스 수립 시 고려하는 핵심 요소는 무엇인가요?
화해는 고객에게 올바른 정보를 제공하고 서비스를 연속적이고 지속적으로 제공하는 것을 가장 중요시하고 있어요. 따라서 서비스 가용성에 초점을 두고 보안 정책을 수립하고 있는데요. 가용성을 제공하면서 보안을 놓치지 않기 위해 많은 부분에서 고민을 거듭하고 있어요. 아무래도 빠른 실행을 중요시하는 조직이라, 보안이 개입되면 실행이 지연될 수 있는 만큼 신속하게 할 수 있는 방안을 팀 내부적으로 계속해서 고려하고 있습니다.
특히, 주로 화해 개발자 분들이 보안 정책으로 인해 직접 겪게되는 고충이 많으실텐데요. 이를 해소하기 위해 연관 조직의 어려움을 듣고 대응 방안에 대해 협의하는 과정을 통해 절충안을 마련하여 보안 정책을 수립하고 배포하고 있어요. 보안 정책으로 인해 영향을 많이 받는 엔지니어링 조직 및 연관 부서에서 많은 지원을 해주셔서 항상 감사하게 생각하고 있답니다. 😊
Q5. 화해 정보보안팀만의 차별점과 강점은 무엇인가요?
화해는 목적에 따라 AWS와 GCP 환경에서 서비스를 제공하고 있어요.
멀티 클라우드 환경에서 서비스를 제공하다 보니 각 CSP에서 제공하는 보안 서비스를 적절하게 활용하여 보안을 강화할 수 있고, 리소스가 분산되어 있는 만큼 고가용성을 향상시키고 빠른 장애 대응이 가능해요. 따라서 화해 서비스는 지속적으로 제공될 수 있는 기반이 마련되어 있다고 할 수 있어요.
더불어 화해 정보보안팀은 모든 보안 업무에 대해 권한을 가지고 주도적으로 업무를 수행할 수 있어요. 그래서 대부분의 보안 업무에 대한 의사결정이 빠르고, 신기술 도입이 빠른 조직이라 새로운 환경을 계속 검토하여 신기술에 대해서도 민첩하게 대응해야 해요. 최근에는 ECS로 환경이 이관되고 있어서 ECS 환경에서의 보안 검토 사항을 계속 학습하고 고민하며 업무에 반영하고 있어요. 이렇듯 화해 정보보안팀은 계속해서 학습하며 성장할 수 있는 조직이라고 말할 수 있어요!
Q6. 만약 정보보안 사고가 발생한다면, 대응 및 복구 프로세스는 어떻게 운영하고 계신지 궁금해요.
정보보호위원회 및 위기관리위원회가 조직되어 있어, 정보보안 사고가 발생하는 경우에 대비하여 도상 훈련을 수행하고 있어요. 사고가 발생했을 때 각 조직별 역할을 정의하고 수행해야 하는 활동들에 대한 절차를 마련해 두었죠.
또 데브옵스팀에서도 매년 장애에 대한 게임 데이를 주관하여 데이터 유실, 시스템 장애에 대한 도상 훈련을 진행하고, 실제 사고가 발생한 상황을 만들어 복구하는 과정을 수행하고 있어요. 주기적으로 훈련을 하여 실전에서 어떻게 대응해야 하는지 감을 익히고, 누락된 절차에 대해서는 업데이트를 하며 장애/사고에 대한 대응 방안을 마련하고 있어요.
Q7. 버드뷰 구성원의 보안 인식을 높이기 위해 따로 교육이나 훈련 프로그램 등을 운영하고 있으신가요?
임직원의 보안 인식을 향상시키기 위해, 월 1회 정보보안의 날을 만들어 매월 마지막 주에 보안을 위한 셀프진단 설문을 하고 있어요. 주말/공휴일 개인정보 시스템 접속 기록에 대한 소명 처리, 매체 제어, 백신 설치, MFA 설정 등의 항목들을 검토하고 있어요. 또한 매년 해킹 메일 훈련을 수행하여 악성코드가 심어진 메일이 어떻게 오는지, 그런 메일을 받았을 때 어떻게 대처해야 하는지에 대한 가이드를 배포하고 있어요. 훈련이 거듭될수록 신고율이 높아지고 감염자가 줄어들고 있어 뿌듯해요.
또한 훈련 이외에도 의심되는 메일이 있으면 저희 팀에 문의를 주고 있어서 악성 메일에 대한 임직원 대응 수준이 높아지고 있어요. 이 외에도 신규 입사자 보안 교육이나 클린데스크 활동 등을 하고 있으며 앞으로도 임직원의 보안 인식 향상을 위해 할 수 있는 활동들을 고민하고 수행하고자 해요.
Q8. 화해에서 가장 기억에 남는 프로젝트는 무엇인가요?
가장 기억에 남는 프로젝트는 시간이 가장 오래 걸렸던 ‘망분리 환경 구축 프로젝트’예요.
임직원들이 망분리가 무엇인지, 왜 해야 하는지 인지하지 못하는 시기였던지라, 이 환경이 왜 필요한지 설득하고 이해하는 과정이 굉장히 길었어요. 하지만 법적 요구사항이라 꼭 진행해야 했어서 고민이 많았어요. 더불어 망분리 환경 구축을 위한 비용도 만만치 않아 모든 상황이 좋지 않았어요. 그래서 점진적 환경 배포를 하는 방향으로 타협안을 결정하고, 개인정보처리자와 DBMS에 접속하는 개발자로 나누어 배포를 하게 되었어요.
이 과정이 정말 쉽지 않았지만 팀원들이 열심히 고민해 주고 연관 조직에서도 이해해 주셔서 잘 진행되고 있어 뿌듯함과 안도감이 들어요. 이 과정에서 소통의 중요성과 상대방의 관점에서도 한 번 더 생각하게 되는 계기가 되었던 것 같아 더 기억에 남아요.
Q9. 정보보안 업무를 하며, 개인적으로 가장 중요하게 생각하는 역량은 무엇인가요?
정보보안팀은 독립적이지만 혼자서는 존재할 수 없어요. 모든 임직원이 함께 참여해 주어야 진행되는 일이라 소통을 가장 중요하게 생각해요.
그렇기에 본인이 알고 있는 배경 지식과 상대방의 배경 지식을 이해하고, 상대방의 업무와 환경을 이해해야 비로소 제대로 된 소통이 이루어질 수 있다는 생각을 해요. 보안 지식은 기본적으로 있어야 하는 것이지만, 이런 지식을 상대방의 입장을 고려하여 표현하지 못하면 쉬운 협업도 어려워질 수 있기 때문이에요. 특히 개발 조직과는 많은 협업이 필요하기 때문에, 개발자의 입장을 고려하지 않는다면 어떤 프로젝트도 성공적으로 수행하기는 어려워요. 이에 원활한 커뮤니케이션이 가장 필요한 역량이지 않을까 싶어요.
Q10. 추후 화해 정보보안팀에 지원할 예비 지원자분들에게 전해주고 싶은 한 마디는?
화해 정보보안팀은 매년 성장하고 있어요!
화해팀은 신기술에 대한 실험을 지속적으로 하며 조직에 적합한 경우엔 그 환경을 빠르게 도입하고 있는데요. 이 환경의 변화에 따라 보안 업무도 지속적으로 변화하고 적응해야 하기에 다양한 경험을 할 수 있어요. 같이 성장하며 정보보안 역량을 강화하고 싶은 분들은 저희와 함께 화해 앱 ‘지킴이’ 정보보안팀을 만들어 갈 수 있으면 좋겠습니다! 🤗
이 글이 마음에 드셨다면 다른 콘텐츠도 확인해 보세요!
