세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[이슈 인터뷰] 암호화폐 거래소 보안을 바닥부터 세운 남자
  |  입력 : 2018-01-15 00:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화폐 거래소 ‘한빗코’ 이원연 CISO가 밝히는 보안체계 구축기
“금융권 수준의 보안체계 구축이 목표...보안 안 되면 생존도 못해”


[보안뉴스 오다인 기자] 그는 2003년 공군 군수사령부 산하 군수전산소 정보보호담당으로 보안을 시작했다. 이후 2011년부터 2012년까지 군수전산소 운영실장 겸 군수사령부 정보보호책임관 및 개인정보보호책임관으로 일했고, 2013년 공군본부 정보보호계획담당, 2014년 공군본부 사이버위협대응담당으로 복무했다.

▲한빗코 이원연 정보보호최고책임자(CISO) [사진=보안뉴스]


군에 입대한 해가 1990년, 전역은 2015년 9월에 했다. 군 복무기간 총 25년, 그 중 절반의 세월을 보안으로 보냈다. ‘군에서 배운 보안을 민간에 적용해보고 싶다’는 생각이 전역을 앞둔 때 그의 머리에 있었다. 군 경력 외에 능력을 입증할 것이 없다는 생각에 2014년 7월부터 정보보안 자격증 공부를 시작했다. 그는 현재 정보보안기사, ISMS 인증심사원, PIMS 인증심사원, ISO27001, 개인정보영향평가사(PIA), 개인정보관리사(CPPG), 개인정보보호 전문강사 등 다수의 정보보안 관련 자격증을 보유하고 있다.

그의 이름은 이원연. 2월 개장을 앞둔 암호화폐 거래소 ‘한빗코(Hanbitco)’의 정보보호최고책임자(CISO)다. 이원연 CISO는 한빗코의 개인정보보호최고책임자(CPO) 및 상무를 겸직하고 있다. 이원연 CISO는 전역 직후인 2015년 10월부터 보안 컨설팅 기업인 한국정보기술단 보안사업부 팀장으로 일하다 지난해 12월 한빗코로 이직했다. 한빗코는 플루토스디에스(대표 김지한)가 2017년 3월 20일에 설립한 암호화폐 거래소다.

이원연 CISO는 지난해 12월 한빗코의 CISO로 지명된 뒤, 한빗코의 보안을 바닥부터 세우고 있다. “보안이 안 되면 살아남지 못한다”는 생각으로 치밀하게 아키텍처를 구축하고 있다는 이원연 CISO에게 암호화폐 거래소 보안의 중요성과 보안체계 구축기에 대해 들었다.

“보안 이해도 높은 금융권 출신 대표, 처음부터 거래소 보안이 중심”
한빗코는 암호화폐 거래소의 보안이야말로 암호화폐 거래소가 생존할 수 있는 핵심 가치라 판단하고 “개장까지 미뤄가며” 보안에 심혈을 기울이고 있다. “한빗코는 어떻게 설립 초기부터 보안을 최우선순위로 고려할 수 있었느냐”는 질문에 이원연 CISO는 “대표가 금융권 출신인 만큼 보안에 대한 이해도가 높다”고 답했다. 한빗코의 김지한 대표는 우리투자증권 프라임서비스 그룹장, NH투자증권 IC사업부 대표 등을 역임한 금융 전문가다.

이원연 CISO는 “암호화폐 거래소 보안사고들을 보면 처음에 실험적으로 사업을 시작했다가 사고가 난 경우가 많았던 것 같다”면서 “한빗코는 고객이 믿을 수 있는 암호화폐 거래소를 만들기 위해서 올해 안에 ISMS 자율 인증을 취득하는 것을 목표로 하고 있다”고 말했다.

“지금까지 발생한 암호화폐 거래소의 보안사고들은 대개 내부 직원에 의해 발생했습니다. 일반 직원들이 사용하는 PC나 시스템은 암호화폐 거래소 서버와 망분리가 돼야 하는데도 잘 안 됐다는 뜻이죠. 이건 개인정보보호법에도 명시돼 있어요. 개인정보 유출을 막으려면 당연히 해야 할 일이기도 하고요.” 이원연 CISO는 한빗코의 경우 유니포인트(Unipoint)를 통해 일반 직원 시스템과 암호화폐 거래소 시스템을 망분리한 환경으로 구축했다고 밝혔다.

현재 암호화폐 거래소는 통신판매업자로 분류돼 있지만 한빗코는 스스로의 정체성을 금융기관으로 생각하고 있다고 이원연 CISO는 설명했다. “암호화폐 거래소도 결국 금융기관입니다. 고객의 돈을 받아서 운영하는 곳이니까요. 금융기관에 CISO 지명이 의무화돼 있듯 암호화폐 거래소의 CISO 지명도 당연한 일입니다. 한빗코는 스스로를 금융사와 똑같다고 생각하고, 금융기관 수준의 보안을 목표로 합니다.”

같은 맥락에서 이 CISO는 암호화폐 거래소에 대한 규제도 사실상 당연한 일이라고 말했다. 개인정보보호법 등의 정보보호 관련 법률은 “보안을 위한 최소한의 요건”이며 “이것조차 충족하지 못하면 암호화폐 거래소를 개장할 만한 수준이 됐다고 볼 수 없다”는 것이다. “지금까지도 웹사이트에 ‘개인정보취급방침’이라고 명시해놓은 암호화폐 거래소들이 많습니다. 2016년 정보통신망법이 개정되면서 개인정보취급방침을 ‘개인정보처리방침’으로 변경했는데도 말이죠. 이런 데서 법적 검토가 안 되고 있다는 게 보입니다.”

이 CISO는 법적 검토부터 마무리된 다음에 시스템으로 들어가야 한다고 강조했다. “다른 사례도 있습니다. 개인정보보호법이 개정되면서 이용자의 동의를 받으려면 일정 크기 이상으로 글씨를 키우거나 진하게 하는 등 다른 문구와 구별되게 해야 하는데요. 이것도 적용 안 된 데가 많습니다.” 오랜 기간 보안 실무에 몸 담았고 보안 컨설팅과 심사에도 풍부한 경력을 갖춘 사람이기에 가능한 지적들이다.

“타사의 실수나 사고를 보면서도 많은 점을 배웁니다. 개인적으로 심사하면서 배우는 것도 많고요. 중요한 건 이렇게 배운 걸 실행하는 것입니다.” 이 CISO는 “대부분의 사고가 비밀번호 작성규칙을 지키지 않는다거나 내부자료를 외부로 가져가는 등 사소한 것에 기인한다”면서 “직원들에게 ‘이런 보안 규칙들이 습관화 돼야 살아남을 수 있다’고 강조한다”고 말했다.

“군대가 민간보다 합리적인 부분도 많습니다. 군에서는 보안을 위해 당연시 되던 것들이 민간에선 단순히 업무의 저해요인처럼 여겨지는 경우가 많더라고요. 한빗코는 이제 막 관리체계를 구축했기 때문에 CISO로서 직원들에게 잔소리를 많이 하고 있습니다. 보안을 제대로 세우려면 제가 어느 정도는 나쁜 사람이 돼야 하죠. 그만큼 직원들에게 항상 의견을 달라고 얘기하기도 하고요.”

한빗코의 보안체계 구축기, 처음부터 현재까지
한빗코의 CISO 직책을 맡은 뒤, 이원연 CISO는 개발 단계부터 보안을 점검해나가기 시작했다. “시큐어 코딩 점검부터 시작했습니다. 그 다음, 웹 취약점을 점검했고요.” 이후, 이원연 CISO는 업무용 백신을 구매하는 등 내부망 보안에 특히 힘을 쏟았다.

▲한빗코 이원연 CISO가 보안뉴스와 인터뷰하고 있다 [사진=보안뉴스]


또한, 이 CISO는 한국인터넷진흥원(KISA)에서 소규모 기업을 위해 제공하는 개인정보보호 점검도구를 활용했다고 밝혔다. “KISA에서 좋은 도구를 많이 제공해주고 있습니다. 소규모 기업의 경우, 수천만 원씩 투자해서 각종 보안장비를 구매할 만한 여력이 안 되는데 KISA에서 제공하는 도구들을 활용해볼 것을 권고합니다. 그리고 예산 문제로 기술적인 보안 수준을 높이기 어렵다면, 관리적인 통제를 강화하는 것도 한 방법입니다.” 보안에는 물리적·기술적·관리적 통제가 있다는 이원연 CISO는 “이 세 가지가 따로따로 떨어져 있는 것이 아니”라며 “한 가지가 안 되면 다른 것으로 보완할 수 있다”고 설명했다.

내부망 접근 통제(Access Control)를 위해 와이파이 컨트롤러를 구매하는 등 추가적인 조치도 이어졌다. 사무공간에서의 망분리와 방화벽이 구축된 이후에는 암호화폐 거래소의 취약점 진단을 진행했다. “암호화폐 거래소 사고들을 보면, 서비스가 다운(down)돼서 문제가 커진 경우가 많았습니다. 한빗코는 가용성(Availability)을 확보하기 위해 가장 안정적인 서비스가 무엇이냐는 고민을 했고, 그 결과 클라우드 기반 서비스가 가장 안정적이라는 판단을 했습니다. 저희가 아마존 웹서비스(AWS)를 선택하게 된 이유입니다.”

AWS는 디도스 방어 등 기본적인 보안 기능을 제공한다. 여기에다 이원연 CISO는 “AWS에 설치된 서버에 대한 보안 점검과 침입방지시스템(IPS) 및 웹 방화벽(WAF) 구축도 진행하기 위해 SK 인포섹과 보안관제 협약을 맺기로 했다”고 밝혔다. 한빗코는 수일 내 SK 인포섹과 보안관제 계약 체결을 앞두고 있다.

이와 더불어 한빗코는 2월 개장 전까지 자발적으로 IT 내부감사와 KISA 취약점 점검을 받을 계획이다. “본인이 ISMS 심사원이기도 하지 않느냐”는 질문에 이원연 CISO는 “내가 만든 시스템을 내가 보면 안 된다”고 말했다. “놓치는 것이 없도록 하려면 남이 봐줘야 합니다. 다른 사람의 감사와 점검을 받는 건 좋은 일입니다. 혹시나 간과하는 것이 없도록 제3자가 짚어줄 수 있으니까요.”

“CISO는 보안 전체를 설계할 수 있는 자리이자 기회”
이원연 CISO는 “암호화폐 거래소를 개장했을 때 과연 안전할 수 있을까?”라는 질문을 항상 마음에 품고 보안 관리체계를 치밀하게 구축하고 있다고 말했다. “한빗코는 정부에서 추가적인 규제가 나오더라도 계속해서 충족해 나갈 의지가 있습니다. 규제가 명확하게 주어지면 지키면 되는 겁니다. 못하면 사업을 안 해야 하고요. 다만, 규제들이 명료하게 목록화돼야 업계에 혼란이 적을 것입니다.”

한빗코는 이원연 CISO에게 보안 관리체계 구축과 관련한 전권을 위임했다. 물론 권한이 있는 만큼 느끼는 책임도 크다. “한빗코 CISO로서 암호화폐 거래소 보안의 모든 것을 설계해볼 수 있는 기회를 얻었습니다. 개장 전까지 가능한 한 모든 것을 준비해서 고객이 신뢰할 수 있는 안전한 거래소를 만들고 싶습니다.”
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)