인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 야놀자 신규 미션 ‘10X’는 보안전략에서도 이어진다. 10X는 전세계 여행정보와 데이터를 플랫폼‧클라우드 솔루션 기술 등으로 연결, 여행을 10배 더 쉽게 만들겠다는 야놀자의 새로운 의지다. 이를 위해선 안전한 보안전략이 필수적으로 수반된다. 이용자가 정보보호 걱정 없이 야놀자 플랫폼과 기술을 손쉽게 이용할 수 있어야만, 해당 미션을 성공적으로 완료할 수 있다.

이에 야놀자 정보보안 유닛은 10배 안전한 ‘10X 시큐리티’ 미션을 채택했고, 글로벌 보안 프로젝트에 시동을 걸었다. 국내뿐 아니라 해외 멤버사(계열사)까지 글로벌 수준에 맞는 보안 역량을 갖추겠다는 프로젝트다. 동시에 보안조직 내부 개발 역량도 높이고 있다.

이와 관련 김창오 야놀자 최고정보보호책임자(CISO)는 <디지털데일리>와 보안리더스 인터뷰를 통해 “야놀자가 글로벌 넘버원 여가 부문 테크기업으로 나아가는 데 있어, 보안도 이에 준하는 역량을 갖추기 위해 기여할 것”이라고 포부를 전했다.

◆글로벌 보안 프로젝트 8월 킥오프, 내년 중 체계 완성 목표

우선, 야놀자는 지난달 ‘글로벌 보안 프레임워크(가칭)’ 프로젝트를 킥오프 했다. 이 프로젝트는 글로벌 시장으로 확장 중인 야놀자 성장에 맞춰 해외 어느 지역, 어떤 환경에 있는 멤버사라도 글로벌 스탠다드 보안 수준을 갖추는 것을 목표로 한다.

공시에 따르면 야놀자 계열회사 수는 현재 국내외 멤버사를 포함해 총 69개다. 야놀자는 글로벌 사업을 진행하면서, 해외에 위치한 여러 멤버사들이 생겨났다. 멤버사들은 지역부터 규모, 사업 방식, 환경, 사용하는 언어까지 모두 다르다.

야놀자는 이 프로젝트를 통해 해외에 있는 작은 멤버사라도 공격자들이 쉽게 침투할 수 있는 틈을 주지 않겠다는 의지를 내비쳤다. 이를 통해 신뢰도를 제고하는 한편, 멤버사 전반적으로 일정 수준 이상의 보안 역량을 키우고 관리하겠다는 복안이다. 해외사업을 전개하며, 미 나스닥 상장을 준비하는 야놀자 입장에선 기업의 글로벌 신뢰도를 높일 수 있는 방법 중 하나로도 보인다.

김창오 CISO는 “멤버사들이 보안을 강화할 수 있는 기반을 제공해, 글로벌 사업을 하는 기업으로서 그룹 내 모든 멤버사들이 일정 수준 이상 보안성을 갖출 수 있는 프로젝트를 진행한다”며 “관리적인 기준을 마련해 프레임워크를 구성하고 시스템화해 구현하고자 한다”고 말했다.

이어 “모든 멤버사에 시스템화한 보안활동 체계를 제공해 위험 수준과 위협을 관리할 수 있도록 해, 각자의 보안 수준과 예측 가능한 위협 요인을 항시 파악 가능하도록 만들 것”이라며 “시스템으로 관리할 수 있게 되면, 각자의 보안 수준뿐 아니라 우리가 어떤 위협을 받고 있지에 대해서도 전부 공유할 수 있다. 그룹 차원에서도 어떤 보안 위협에 직면해 있는지 전반적인 가시성을 확보할 수 있다”고 설명했다.

이번 프로젝트를 준비하며, 김 CISO는 해외 멤버사 보안 책임자들까지 모두 만나 프로젝트 필요성을 설득하고 공감대를 형성했다고 한다. 오히려 “우리에게 꼭 필요한 프로젝트”라는 피드백을 받았다는 후문이다. 글로벌 수준 정보보호 활동 체계를 수립하기 위해, 현재 야놀자는 각 멤버사 보안 현황을 분석하고 필요한 사항들을 모아 체계적으로 분류하고 있다. 내년 중 보안체계를 완성하겠다는 계획이다.

◆내부 역량으로 비정상행위 식별…정상 사용자에겐 쾌적한 이용 환경을

이와 함께 김 CISO는 10X 시큐리티가 가능한 이유로 보안 조직 내부 개발 역량에 대한 경쟁력을 꼽았다.

야놀자는 자체적으로 데이터 기반 지능적인 위협 대응(Intelligence Threat Response by data-driven security) 활동이 가능한 서비스 플랫폼을 개발‧구현하고 위협정보 인텔리전스관리시스템과 비정상행위탐지시스템 등을 제공하기 위해 노력 중이다. 야놀자 보안 전문가에게는 최적화된 효율적인 보안 활동을 가능하게 하고, 내부 임직원에게는 생산성을 높일 수 있는 편리한 보안활동을 위한 도구를 지원하기 위해서다.

김 CISO는 “물론 외부 솔루션도 있지만, 야놀자가 위협정보 인텔리전스관리시스템과 비정상행위탐지시스템 등을 직접 개발하는 이유는 플랫폼과 서비스 환경 특성에 따라 데이터 내용과 흐름이 다르기에 솔루션을 내재화해야 할 필요가 있다”고 부연했다.

예를 들어 커머스 플랫폼엔 매일 접속하는 패턴이 있다면, 여행 플랫폼은 특정 기간에만 주로 이용하는 패턴을 보인다. 이는 비정상 패턴이 기준이 통상적인 기준과 다를 수 있는 부분이다. 여행업계에서 발생시키는 이벤트와 데이터, 이용자 패턴 등이 다르기에, 이러한 부분에 기민하게 대응하고 적용할 수 있도록 구축할 수 있어야 한다.

이에 야놀자는 외부 공격으로부터 발생할 수 있는 비정상 행위에 대해 기계학습으로 분석하고 식별함으로써 공격자를 특정하고 통제할 수 있는 FDS(Fraud Detection System)를 개발하고 있다.

연내 파일럿 형태로 동작하고 이를 지속적으로 고도화하는 계획을 세우고 있으며, 위협 데이터를 전문적으로 분석하는 인공지능(AI)·머신러닝(ML) 분석 전문가들이 함께하고 있다. 이들은 모두 야놀자에서 활동하는 전문가들로, 위협 데이터 학습를 통해 위협을 더 정확하고 빠르게 탐지할 수 있는 모델을 개발하고 있다는 설명이다. 향후에는 공격을 미리 예측할 수 있는 모델로 구현해 위협을 예측하고 예방할 수 있기를 기대하고 있다.

김 CISO는 “야놀자의 FDS는 서비스 전반에 대한 비정상행위를 방지하는 시스템으로, 위협을 예측할 수 있어야 한다”며 “방어체계를 구동할 수 있는 환경을 갖추는 단계까지 간다면, 이용자에게 좀 더 안전한 서비스 환경을 제공할 수 있을 것”이라고 강조했다.

또 “통상적인 것은 외부 시스템을 이용할 수 있으나, 보다 정확하고 정밀하게 위협을 식별하고 구분해야 한다면 (학습을 통해 만들어진) 자체적인 모델링이 필요하다”며 “공격자들이 AI를 활용하고 있는 만큼, 공격 방어를 위해 적극적인 AI 기술을 활용해야 한다. 하루에 수십만건 이상 발생하는 이벤트와 로그를 사람이 수동으로 보고 판단하고 대응하기엔 불가능하다”고 말했다.

이러한 보안 활동을 통해 야놀자는 정상적인 사용자를 잘 식별할 수 있기를 기대하고 있다. 정상 사용자를 파악하게 되는 건, 고객의 서비스 이용 허들을 낮춰줄 수 있다는 의미다. 정상 사용자에게 2차 패스워드나 본인 인증을 계속 요구할 이유는 없다.

김 CISO는 “보안에 대한 역량을 갖추고 있다면 정상 사용자를 식별해 인증의 중복 절차를 밟을 필요가 없도록 조정할 수 있다”며 “보안성을 높게 달성하면서도 생산성도 높일 수 있게 된다. 보안은 단순히 차단하고 막는 것만이 목적이 아니며, 위협을 똑똑하게 식별하고 제거함으로써 정상 사용자에게는 깨끗하고 쾌적한 서비스 환경을 제공해 줄 수 있다”고 제언했다.

<다음 기사에서 계속>

◆김창오 야놀자 CISO 주요 약력

▲ 現 ㈜ 야놀자 CISO/CPO (정보보안유닛, Head of Information Security)

▲ 現 ICT 국제 표준전문가

▲ 現 ISO TC307 전문위원 / WG5 그룹장

▲ 現 ITU-T SG17 Q4 Associate Rapporteur

▲ 現 ITU-T SG17 Q3/Q4/Q7/Q13/Q14 Editor

▲ 現 ICT표준화 전략맵 전담반 위원

▲ 前 고려대학교 정보보호대학원 사이버보안학과 겸임교수

▲ 前 카카오모빌리티 CISO/CPO

▲ 前 (주)쿠팡 정보보안실장, 인증감사팀장, 핀테크사업부 보안/인프라/플랫폼팀장

▲ 前 블루코트 컨설팅/기술이사

▲ 前 ㈜ 엔씨소프트 정보보안실 대팀장, 운영보안/보안기획팀장, 정책관리팀장/부장