Home > 전체기사 > 인터뷰

[인터뷰] 코인원 최중섭 CISO “보안문화가 몸에 밴 직원들이 최고의 경쟁력”

입력 : 2024-01-05 11:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
코인원, 과기정통부 주최 2023년 정보보호 대상 수상
가상자산 업계 최초이자, 10년 무사고 대기록 달성한 코인원
최중섭 CISO “IT 파트 전체 예산의 30% 보안예산으로 사용”


[보안뉴스 김영명 기자] 지난해 7월 ‘가상자산 이용자 보호 등에 관한 법률(법률 제19563호, 가상자산이용자보호법)’이 통과되면서 건전한 가상자산 생태계 조성에 대한 기대감이 한층 커지고 있다. 이러한 가운데 최근 코인원(Coinone)이 가상자산 업계 최초로 정보보호 대상을 수상했다. 설립 10주년인 2024년 1월을 맞아 코인원의 정보보호를 총괄하는 최중섭 CISO를 만났다.

▲가상자산 업계 최초 ‘정보보호 대상’을 수상한 코인원의 최중섭 CISO가 상패와 상장을 들고 포즈를 취했다[사진=보안뉴스]


Q. ‘가상자산 업계 최초’로 정보보호 대상을 수상한 소감은
가상자산 업계가 해킹이나 자금 탈취 등 보안사고가 꽤 많아 전반적으로 인식이 좋지 않은 상황에서 이렇게 코인원이 업계 최초로 정보보호 대상의 영광을 안게 돼 뜻깊습니다. 저는 KISA에 오랜 기간 있으면서 다양한 보안사고를 끊임없이 분석했고, 2022년 9월에 코인원으로 처음 왔는데, 정보보호에 대해서라면 흠잡을 것이 없었습니다. 이번 수상을 계기로 가상자산 업계를 바라보는 부정적인 인식들을 조금이라도 개선했으면 하는 마음입니다.

Q. 최중섭 CISO는 그간 어떤 일을 해오셨는지
저는 처음에 대우통신에서 TDX(전전자교환기)를 양산, 실용화하고 설치하는 일로 사회생활을 시작했습니다. 우리나라가 통신산업에서 세계 선두그룹 반열에 든 것도 TDX 개발이 주된 이유였죠. 8년여간 시스템 개발을 위한 시스템 구축, 운영, 관련 소프트웨어를 개발했습니다.

그 이후 한국전산원(NCA, 현 한국지능정보사회진흥원)에서 KRNIC 망정보센터 내 NNTP(Network News Trans Protocol) 서버를 구축하고 운영하며 도메인 겸 IP 담당자로 7개월간 근무했어요. 2000년에는 KISA KrCERT에서 근무하며 악성코드 탐지 프로그램과 함께 웹셸·악성 URL 등을 탐지하는 휘슬(Whistl), XSS, SQL인젝션 등을 막는 도구를 개발했고요. 2006년부터는 해킹방어대회를 운영하면서 실력 있는 화이트해커를 많이 발굴했죠. 저희 차명훈 대표도 그중 한 명이었습니다.

KISA에 있을 때 정말 큰 사건사고가 많이 터졌는데 가장 기억에 남는 건 2009년의 7·7 디도스 공격이었습니다. 일주일 동안 하루 한두 시간만 자고 일했죠. 그런 사고를 많이 겪다보니 사고의 패턴을 인식하고 한번에 파악하게 되는 눈을 뜨게 됐어요. 해킹대응팀에서 개인정보팀으로 보직이동한지 단 며칠 만에 네이트 사고(2011년 7월)가 터지고, 퇴사 직전에는 넥슨코리아 해킹 사고를 접했어요. 또 애플과 구글의 위치정보 불법수집 사건을 직접 조사하기 위해 미국까지도 갔습니다. 힘들었지만 결과적으로는 사고에 체계적으로 대응할 수 있는 내공이 쌓였다고 볼 수 있죠.

다음으로 네오위즈에서는 만 9년을 일했는데, 네오위즈는 개인정보 암호화, 게임 운영 데이터의 유출 보안은 물론 경쟁력 향상을 위한 소스코드 보안 등 서비스 보안이 매우 철저했죠.

코인원에 오고 나서는 지켜야 할 것이 개인정보는 기본이고 고객의 자금까지 추가됐어요. 해킹으로 고객 데이터가 유출되면 상상할 수 없는 상황이 벌어지기 때문이죠. 지금의 보안사고도 예전과 원인은 크게 달라지지 않아 ‘사고를 예방하는게 최고의 방어’라고 말할 수 있습니다.

▲코인원의 10년 보안 무사고 달성 비결은 ‘보안 캠페인 777’이라며 캠페인 포스터 앞에서 미소 짓는 최중섭 CISO[사진=보안뉴스]


Q. 코인원의 전체 1년 예산 중에 보안 관련 예산은 얼마나 되는지
보통 이제 IT 전체 예산의 5%를 권장하고, 10% 정도 되면 많다고 말을 해요. 하지만 저희는 2023년도, 2024년도 IT 파트 전체 예산의 30%, 3분의 1 정도는 보안에 사용되죠. 이 같은 수치도 전체 IT 예산을 많이 최적화해 줄어든 거예요. 새해에도 이 비율은 그대로 갈 것 같아요. 상황에 따라 최적화를 하더라도 최소한 이 정도는 유지될 것으로 보입니다.

저희 코인원의 보안팀은 ‘보안 스트림(Safety Stream)’이라고 부르고, 17명의 팀원이 함께합니다. 저희는 조직 단위를 ‘스트림’, 그 밑에 팀 단위는 ‘셀(cell)’이라고 칭하거든요. 코인원 전체 직원이 220명 남짓이니까 10% 가까운 비율을 차지하죠. 2023년에 보안팀에 2명을 더 채용하려 했는데 마땅한 실력자를 찾지 못해 아쉽게 해를 넘기게 됐네요.

Q. 정보보안 강화를 위한 코인원만의 특별한 보안문화가 있다면
입사한 처음 며칠간 직원들의 보안인식을 지켜봤어요. 저희는 슬랙(slack)을 소통 도구로 사용해요. 슬랙에는 전 직원이 모인 ‘제너럴’ 채널이 있는데, 어느날 누군가 ‘나는 코인원 최고의 미남’이라는 글을 올렸어요. 알고 보니 그 직원이 자리를 비웠을 때 화면을 잠그지 않았고, 옆자리 직원이 일부러 그 직원인 척 글을 썼죠. 저희의 보안문화 중 하나가 ‘자리를 비울 때는 스크린을 항상 잠근다’는 거예요. 스크린 잠그기가 놀이로 진화했고, 더 나아가 회사 문화로 자리잡았죠.

또 하나는 직원이 조금만 이상한 것이 발견되면 매번 보안팀으로 신고해요. 지난해 여름 무렵 3개월 남짓 티오리에 회사를 대상으로 이메일 공격 훈련, 악성코드 삽입 훈련 등 사이버공격을 의뢰했어요. 담당 팀 외에는 저를 포함해 모두에게 비밀로 진행했는데, 저희 직원이 다 찾아 해결했죠. 이런 보안문화가 모든 직원의 몸에 밴 걸 보고 ‘정말 다르구나’를 느꼈습니다.

저희는 우리가 해야 하는 것과 하지 말아야 할 것을 ‘보안 캠페인 777’로 정해 실천해요. 코인원은 퇴근 시간이 19시라서 ‘매일 오후 7시 퇴근 전, 7가지 보안항목을 점검하고, 매월 7일 검토하자’는 거죠. 이런 문화가 직원들의 몸에 이제 배어 있는 것이 핵심입니다. 코인원의 10년 무사고 비결은 경영진의 뚜렷한 생각을 기반으로 직원이 보안인식을 갖도록 독려한다는 것이죠.

Q. 무사고 10년 달성을 앞두고, CISO의 목표를 다시금 제시한다면
취약점을 만드는 사람도 개발자이기 때문에 개발자도 보안을 인식하도록 하는 게 중요해요. 개발자라면 최소한 만드는 코드에 책임을 져야 하고, 보안을 기본으로 생각하는 마음가짐이 필요하죠. 지난해 7월 ‘가상자산이용자보호법’이 국회를 통과했는데, 규제와 산업 육성이 함께 논의되면 좋겠어요. 회사 모토인 ‘블록체인 인투 더 월드(Blockchain into the world)’가 그 초석이 되기를 바라고 있죠.

2023년 11월 말부터 가상자산 시장이 활성화되면서 SNS나 또 다른 경로로의 공격이 포착되고 있어 보안 모니터링을 한층 강화하는 중입니다. 앞으로도 코인원에서 목표에 따라 효과적인 방어체계를 만들어가며, 20~30년 꾸준히 성장하는데 일조하고 싶습니다. 블록체인, 가상자산은 아직 신산업입니다. 보안인들도 무한한 성장잠재력을 갖춘 가상자산 분야에서 새로운 경험을 시작해 보는 것도 좋은 선택이라고 생각합니다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)