[한국정보공학기술사 보안을 論하다-12] 스타트업도 보안 전략이 필요하다

경영진의 의지, CISO 지정과 조직 구성, 그리고 임직원의 인식 개선 병행돼야
제로트러스트 모델 도입 통한 최소한의 보안 요건 적용 필요

[보안뉴스= 이이람 기술사/한국정보공학기술사회 미래융합기술원 부원장] 2010년대에 급부상한 실리콘밸리 빅테크 기업은 일명 FAANG(Facebook, Apple, Amazon, Netflix, Google의 앞자리)으로 불리우며, 여전히 글로벌 테크 산업의 중심을 차지하고 있다. 하지만 차세대 테크 기업들이 지속적으로 등장하며 시장의 판도를 바꾸고 있다.

모든 유망 테크기업이 유니콘 기업이었던 것은 아니지만, Airbnb, Uber, Snapchat은 성공적인 유니콘 기업의 대표적인 예이다. 스타트업이 인공지능, 전기차, 공유 경제, 반도체 등 다양한 혁신 분야에서 두각을 나타내며 유니콘 기업이 된다. 실리콘밸리에서는 점차 FAANG에 버금가는 영향력을 확대해가는 유니콘 기업이 늘고 있다.

국내에서도 유니콘 기업의 등장을 기다리며 스타트업 생태계가 빠르게 성장하고 있다. IMF 시대를 지나 네이버와 카카오 같은 1세대 인터넷 기업이 탄생했고, 이어 쿠팡, 우아한형제들(배달의민족) 등 전통 대기업과는 다른 성장 과정을 거친 혁신 기업들이 등장했다. 디지털 전환과 모바일 중심의 소비자 경험을 바탕으로 새로운 시장을 개척하며 국내 경제의 새로운 주역으로 자리 잡았다.

이렇게 국내 빅테크로 성장한 기업들은 초기에 강력한 시드 자금을 기반으로 사업을 추진하는 경우도 있지만, 대부분의 초창기 기업은 제한된 리소스를 효율적으로 활용하며 사업을 확장해 나가는 과정을 통해 성장한다. 초기 단계에서는 MVP(Minimum Viable Product)를 통해 시장 반응을 검증하고, 이후 투자 유치를 통해 확장성을 확보하는 전략을 취하기 때문에 많은 스타트업들이 기본적인 보안 조치를 간과하거나 우선순위를 미루는 경향이 있다.

그러나 스타트업의 보안은 기업의 생존과 성장에 있어 핵심적인 요소이다. 스타트업은 고객과 투자자, 파트너와의 신뢰를 기반으로 하며, 사업 지속 가능성은 신뢰를 형성하는 여러 요소 중 큰 부분을 차지하고 있다. 즉, 개인정보가 유출되거나 랜섬웨어 등 보안 사고로 인하여 서비스가 중단되는 경우 기업의 평판을 심각하게 훼손하며, 고객 이탈로 이어질 수 있다.

문제는 피해 범위가 해당 스타트업만으로 끝나는 것이 아니라 해당 상품을 사용하는 기업 고객에까지 영향을 미칠 수 있다는 것이다. 최근 발생한 뉴스레터 발송 서비스를 제공하는 S사 개인정보 유출 사고를 보면, S사에서 유출된 개인정보를 이용하여 정부부처를 사칭하는 메일이 발송되는 등 2차 피해가 이어졌으며, 개인 고객은 물론이고 해당 서비스를 사용하는 기업 고객에까지도 영향을 미쳤다.

스타트업이 시장 변화에 민감하게 반응하며 창의적인 서비스를 출시하고 있지만, 기업 입장에서는 도입을 검토할 때 스타트업의 보안 수준에 대하여는 보수적으로 접근할 수밖에 없다. 특히, 위수탁 계약이 체결된다면 위탁사도 수탁사 보안 관리의 책임이 있기 때문이다. 스타트업이 성장을 이유로 보안을 소홀히 하는 것은 자기 위로일 뿐이다. 성장하면서 점점 쌓여가는 보안 부채(負債)는 어느 순간 기업의 성장에 브레이크를 걸 만큼 큰 부담이 될 수 있다.

그렇다면 인력과 자원이 한정된 스타트업에서 보안을 적용하려면 어떻게 해야 할까?

가장 우선으로 꼽는 것은 경영진의 의지다. 물론, 회사의 한치 앞도 보기 힘든 상황에서, 직접적으로 매출을 발생시키지도 않으며 오히려 소비성으로 보이는 보안을 최우선으로 하기는 쉬운 일이 아니다. 그렇지만 앞서 S사의 사례와 같이 보안 사고 발생 시 그 파급력이 운영하는 회사뿐만 아니라 고객까지 미칠 수 있기 때문에 보안은 선택이 아니라 필수이며 소비가 아닌 투자임을 인식해야 한다.

코로나 19로 인하여 영상 통화 서비스로 떠오른 Z사는 초기에는 보안 문제로 비판을 받았다. 그러나 이를 기회로 삼아, 엔드투엔드 암호화(E2EE, End to End Encryption)와 다중 인증(MFA, Multi Factor Authentication), 정기적인 보안 감사 등 보안을 강화하며 현재는 신뢰를 회복하고 크게 성장했다. 이렇듯 생존과 성장을 핑계로 무작정 보안 투자를 회피하는 것보다는 회사의 성장에 따라서 어떻게 보안을 적용할 수 있을지에 대한 전략을 수립하는 것이 필요하다.

그 다음 필요한 것은 조직과 인프라이다.
조직은 정보보호최고책임자(CISO)를 지정하는 것에서 시작한다. 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」 제45조의 3 및 동법 시행령 제36조의7에 따라 신고의무 제외대상에 해당하지 않은 중기업 이상의 정보통신서비스 제공자는 정보보호 최고책임자를 부서의 장 이상으로 지정 및 신고해야 한다. 정보보호최고책임자는 정보보호 전략을 수립·시행하고, 정보보호 실태와 관행을 정기적으로 감사하고 개선하며, 정보보호 위험을 식별 및 평가하여 대책을 마련하는 역할을 한다. 이뿐 아니라 정보보호최고책임자의 가장 중요한 역할은 경영진과 소통하며 보안 전략을 제시하고 보안 투자를 이끌어내는 것이다.

정보보호최고책임자를 중심으로 정보보호 조직이 꾸려지게 되고, 정보보호 담당자가 구성원이 된다. 일반적으로 스타트업의 정보보호 담당자는 특정 분야에 집중된 Specialist보다는 전체적인 보안 상황을 파악하고 전략적으로 대응할 수 있는 Generalist가 요구된다. 스타트업이 직면하는 다양한 보안 문제를 효율적으로 대응해야 하기 때문이다. 스타트업의 정보보호 담당자는 기업에서 보안이 어떻게 적용되는지 전반적인 보안 체계와 프로세스를 이해하고, 이를 클라우드와 네트워크, 시스템, 애플리케이션 등 여러 영역에 보안을 적용하는 다양한 역할을 수행해야 한다.

그러나 보안 분야는 광범위하기 때문에 소수의 Generalist만으로 보안을 꾸려나가기에는 한계가 있다. 따라서 스타트업이 성장함에 따라 Specialist를 추가로 채용하여 보안 위험을 체계적으로 관리하고 전문성을 강화해야 한다.

인프라(Infrastructure)는 하드웨어, 소프트웨어, 네트워크 등 IT 환경을 구성하는 요소를 통칭하며, 크게 임직원이 업무를 위해 사용하는 업무용 인프라와 서비스를 위한 서비스 인프라가 있다. 스타트업의 경우 서비스는 클라우드를 이용하여 구축하게 되며, CSP(Cloud Service Provider)나 MSP(Managed Service Provider)에서 다양한 산업군과 규모에 따라 서비스를 위한 클라우드 아키텍처를 어떻게 설계해야 하는지에 대하여 Best Practice를 제공하고 있다.
여기에는 개발망과 운영망의 분리, Public과 Private 구성과 같은 기본적인 보안 설계 원칙이 적용되어 있다. 임직원이 업무를 위해 사용하는 업무용 인프라와 외부에서 업무용 인프라나 서비스 인프라에 접근하는 구간에 대하여는 제로트러스트(Zero-Trust) 모델을 고려해볼 수 있다.

제로트러스트는 ‘절대 신뢰하지 말고, 항상 검증하라’는 원칙으로 모든 접근을 검증하고, 최소한의 권한을 부여하는 방식이다. 코로나 19로 원격근무가 확산되면서 신뢰할 수 있는 물리적인 장소인 사무실에서 신뢰할 수 있는 회사 자산으로 업무용 인프라에 접근했던 문화가 재택이나 외부 등 신뢰할 수 없는 물리적인 장소에서 회사 자산이 아닌 자산으로 신뢰할 수 없는(회사 자산을 반출하여 사용하는 경우도 있지만 코로나에 감염된 경우 회사에 방문할 수 없어 개인 자산으로도 접속하는 등) 공개된 인터넷망을 통해 업무용 인프라에 접근이 필요한 업무 방식으로 바뀌면서 제로트러스트가 확산됐다.

스타트업의 경우 업무용 인프라를 온프레미스로 구축하기보다는 SaaS(Software as a Service)형태의 시스템을 구매하여 사용하는 경우가 많다. 예를 들어, HR(Human Resource)시스템, 채용시스템, 메일과 같은 협업시스템 등 임직원을 관리하고, 임직원이 업무를 수행하며 조직간 협업하기 위한 여러 시스템이 필요하다. SaaS 형태이다 보니 어디서든 어느 기기에서든 접근이 가능하므로, 제로트러스트 모델을 적용하여 접근을 안전하게 관리할 수 있다. 제로트러스트 모델을 적용하기 위한 방안을 간략하게 제시하면 다음과 같다.

1. 접근 기기 및 위치 제한: 접근하려는 기기와 접근 위치를 고려하여 접속을 검증하고 필요 시 차단한다.
2. 다중 인증 도입: 아이디와 비밀번호 외에 OTP(One Time Password) 등 다른 인증 요소를 도입하여 인증을 강화한다.
3. 역할기반 접근 제어(RBAC, Role Based Access Control): 사용자의 역할에 따라 중요한 시스템과 데이터 접근에 필요 최소한의 권한을 부여한다.
4. 로깅 및 감사: 모든 접속과 권한 변경에 대해 기록을 남기고, 실시간 모니터링 또는 사후 감사에 활용될 수 있도록 관리한다.

이렇게 제로트러스트 모델을 통해 최소한의 보안 요건을 적용할 수 있다.

마지막으로는, 임직원의 인식 개선이다. 스타트업의 업무 환경이나 인프라가 안전하지 않을 수 있음을 수용하고 업무를 수행할 때에는 보안 수칙을 준수하려고 노력해야 한다. 인프라가 잘 구축된 큰 도시는 밝고 안전을 위한 여러 시설도 있지만, 인프라가 적은 작고 외진 마을이라면 조명도 적거나 없고 경찰서나 소방서 등 안전시설도 즉시 접근하기 어려운 경우가 많다. 아무래도 도시에 있을 때보다는 외진 마을에 갔을 때에는 안전에 대한 위협으로 조심조심하게 된다. 스타트업의 경우 보안 위험을 대응하기 위한 조직이나 리소스가 한정적이므로 임직원 스스로가 주의하는 것만으로도 보안을 향상하는데 많은 도움이 된다.

대한민국은 대창업(大創業)의 시대이다. 나라에서는 예비창업부터 초기창업, 재도전창업 등 창업에 많은 지원을 하고 있다. 이전에는 기술적인 난이도가 있거나 초기자금이 적지 않았고, 창업이 쉽지 않았지만, 지금은 아이디어만 있다면 누구나 창업이 가능하다. 창업에 대한 접근성이 좋아진 것은 긍정적인 일이지만, 보안 수준은 가장 약한 고리의 수준이라는 말처럼 상대적으로 보안 위험 관리가 미흡한 초창기 기업의 보안 위험 파급력은 예상할 수 없다. 많은 보안 조치를 한 번에 할 수는 없지만 사업 초기부터 보안에 대한 위험을 인지하고 사업계획을 세울 때 단계적 성장 전략을 세우듯 성장 단계별 보안 전략을 통해 보안을 강화해나간다면 점점 쌓이는 보안 부채를 안정적으로 관리할 수 있다.
[글_ 이아람 기술사]

필자소개_
- 한국정보공학기술사회 미래융합기술원 부원장
- 정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, 개인정보 영향평가 전문인력

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)