인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 배달의민족을 운영하는 우아한형제들은 아마존웹서비스(AWS)를 통해 서비스를 제공하는 대표적인 기업이다. 디지털전환 흐름에 맞춰 클라우드 사용이 전방위로 확대되는 상황에서, 이를 일찍부터 도입해 온 우아한형제들은 어떠한 보안정책 및 전략을 수립하고 있을까?

이와 관련 우아한형제들 김동현 최고정보보호책임자(CISO)는 <디지털데일리>와의 보안리더스 인터뷰를 통해 AWS와 온프레미스(구축형)를 동시에 고려한 보안체계를 수립해 운영하고 있다고 밝혔다.

김동현 CISO는 “우아한형제들과 기존 기업 간 가장 큰 차이점은 클라우드 서비스 사용에 있다. 2016년부터 AWS를 사용하기 시작해, 이제 거의 모든 서비스를 AWS에서 제공하고 있다”며 “다만, 외부 전자금융 서비스를 제공하는 회사들과 안전한 통신을 위해 온프레미스(On-Premise)를 거치는 네트워크 구성을 갖추고 있고, 사내 임직원 서비스를 위해 온프레미스에 장비들을 운영하고 있다”고 말했다.

우아한형제들은 AWS와 온프레미스를 동시에 이용하는 하이브리드 인프라를 갖춘 만큼, 이에 맞는 보안전략을 구현하고 있다는 설명이다. AWS보안 경우, ‘AWS 웹애플리케이션방확벽(WAF)’ ‘가드듀티(Guardduty)’ 등 AWS 네이티브 보안 서비스들과 외부 보안 서비스를 병행해 사용 중이다. 온프레미스에선 차세대방화벽(NGFW) 등 전통적인 보안장비 및 솔루션을 구축했다.

◆AWS로 ‘보안’하려면? “끊임없이 공부해야 합니다”

김 CISO는 클라우드 인프라를 활용하면서 보안정책을 수립하려면, 끊임없이 공부해야 한다고 강조했다. 매년 새로운 기능이 나오는 만큼, 이를 조직과 기업 니즈에 맞게 안전하게 활용할 수 있는 방법을 찾아야 하기 때문이다.

김 CISO는 “개발자들만 AWS를 쓰는 건 아니다. 보안 조직에서도 AWS를 어떻게 안전하게 이용할 수 있을지 고민을 많이 하고 있다”며 “AWS와 같은 클라우드 서비스는 매년 새로운 기능들과 서비스를 계속 발표하고 있고, 이 중에는 보안서비스도 물론 있다. 클라우드 사업자가 새로운 서비스를 출시했을 때, 이를 그대로 사용하기 보다는 정책 등을 기업과 조직에 맞게 설정해야 한다”고 설명했다.

이어 “잘 사용하려면, 정확한 이해가 필요하다. 이번에 새롭게 나온 보안 관련 서비스는 무엇인지, 어떻게 고도화됐는지, 잘 활용할 수 있는 방법은 무엇인지 알아야 한다”며 “특히, 새롭게 나온 서비스를 안전하게 쓰기 위해 어떤 가이드를 줘야 하는지 공부해야만 한다. 이 때문에 공부해야 할 영역이 끝없이 생기고 있다”고 덧붙였다.

그럼에도, 클라우드 인프라를 선호하는 이유는 무엇일까. 물론, 비용적 측면도 있다. 배달의민족은 식사 시간 때 트래픽이 급증하고 평상시에는 사용률이 낮다. 이로 인해 서버를 탄력적으로 운영해야 하는 만큼, 클라우드를 사용하는 편이 비용 절감 측면에서도 유리하다.

이보다 IT인프라 측면에서 중요한 요인을 꼽으라면 ‘유연성’이다. 우아한형제들은 필요에 따라 인프라 구조를 변경한다. 온프레미스 경우 한 번 구축하면 변경하기 쉽지 않지만, 클라우드는 좀 더 유연하게 바꿀 수 있다. 또한, 각 영역만 보지 않고 서로 유기적으로 연계해 상황을 볼 수 있다는 장점도 있다. 이는 보안 관점에서도 유리한 측면에 있다는 설명이다.

김 CISO는 “유연하게 변화할 수 있는 환경이 클라우드”라며 “시간이 흐르고 트래픽이 많아지면 아키텍처 구조를 바꿔야 할 때가 온다. 클라우드 경우, 온프레미스보다 손쉽게 바꿀 수 있어 적용된 보안 서비스를 변경하기 편하다”고 부연했다.

또 “이상징후가 발생했을 때도, 온프레미스 환경에선 각 담당자가 본인 권한이 있는 장비와 시스템만 주로 보게 되지만, 클라우드에선 다른 영역 담당자들까지 접근해 소통하면서 문제를 해결하기 용이한 환경”이라고 전했다.

◆“새롭게 나아가기 위해, 원점에서 전면 재검토하고 싶어”

김 CISO는 이같은 클라우드 인프라 환경을 십분 활용해 새로운 도전을 구상 중이다. 그는 보안 관점에서 아키텍처를 원점에서 전면 재검토하겠다는 청사진을 그리고 있다.

관련해 김 CISO는 “불확실한 시대에서 흔들리지 않으려면, 기본으로 돌아가 기본에서 다시 생각하고 바라봐야 한다”며 “기존 아키텍처를 제로베이스(원점)에서 평가해보자. 이것의 존재 필요성부터 논해보자는 것”이라고 말했다.

김 CISO는 “그래야만 또 새롭게 나아갈 수 있다. 방향이 잡히면 허물고 새롭게 지어야 하겠지만, 설계부터 해보는 단계니 기존의 고정관념에서 바라보지 않을 것”이라고 강조했다.

이는 클라우드 인프라를 사용하기에 가능한 생각이지만, 또 한 편으로는 클라우드를 사용하기 때문에 되돌아 생각해야 하는 부분이기도 하다.

김 CISO는 “클라우드 환경에서 아키텍처 변경은 온프레미스와 비교해 상대적으로 쉽다. 그렇다 보니, 상황이나 사례에 따라 계속해서 가이드를 해줘야 한다”며 “이 과정에서 파편화되거나 모순될 수도 있다. 일관성을 유지하고자 기본으로 다가가는게 중요하다”고 말했다.

우아한형제들 경영진에서도 ‘기본으로 돌아가자’는 메시지를 내부에 던진 바 있다. 경영진은 일하는 방식에 대해 짚은 것이지만, 김 CISO는 보안 인프라 측면에서 ‘기본’을 바라보기로 한 것이다.

김 CISO는 “원점에서 재검토해 아키텍처를 바꾸면 오히려 비용을 절감할 수도 있다”며 “예를 들어 과거 10대 서버에서 하던 업무를 7~8개로 줄여서 효율적으로 할 수 있는 방안도 찾을 수 있기 때문”이라고 했다.

그는 “지난해 보안운영·위협대응(SOAR), 보안정보·이벤트관리(SIEM) 교체를 진행했는데, 올해와 내년에도 기존 온프레미스 장비 교체 시점이 온다”며 “제로베이스에서 검토해 기존 아키텍처를 유지해 장비를 교체할지, 새로운 아키텍처를 고민해 새로운 형태의 제품을 도입할지 고민하고 있다”고 말했다.

<다음 기사에서 계속>

◆김동현 우아한형제들 CISO 주요 약력

▲우아한형제들 CISO/CPO(기술이사) 2018년 6월 ~ 현재

▲아키섹컨설팅 이사 2018년 1월 ~ 2018년 6월

▲조이보안컨설팅 이사 2015년 4월 ~ 2017년 11월

▲한국정보보호시스템 책임컨설턴트 2015년 1월 ~ 2015년 4월

▲코리스랩 책임컨설턴트 2014년 2월 ~ 2014년 12월

▲삼성생명보험주식회사 정보전략팀 보안부문 책임 2011년 10월 ~ 2013년 4월

▲이베이코리아(G마켓) IS팀/PIS팀 과장 2007년 6월 ~ 2011년 9월

▲LG전자기술원 주임연구원 2005년 1월 ~ 2006년 5월

▲한국정보보호진흥원 연구원 2002년 2월 ~ 2004년 12월