인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] “2025년 여기어때 보안 키워드는 제로(Zero)입니다.”

최근 디지털데일리와 <보안리더스> 인터뷰를 진행한 여기어때 윤진환 최고정보보호책임자(CISO)는 올해 목표를 묻는 질문에 이같이 밝혔다.

약 7년 전 2018년 11월 여기어때 CISO로 합류한 그는 여기어때 사이버위협 대응을 강화하기 위해 서비스 관련 오탐을 유관부서와 일일이 확인해 제거하는 한편, 그 외 공격위협을 무조건 선차단하는 정책을 반영하는 단호한 결정을 내린 장본인이기도 하다. 당시 여기어때는 하루에 몇 백건 보안관제 탐지 알람 메일이 발송되는 상황이었다.

이에 윤 CISO는 여기어때 보안관제 분석·대응 절차 기본을 “차단을 할 수 있다면 모두 차단, 그리고 가능한 빨리”로 정했다. 서비스에 영향을 주지 않는 범위에서 오탐을 줄이는데 많은 시간을 투입했고, 탐지단계에서 차단하고, 초동대응 단계에서 공격IP 차단 후 상세분석에서 공격유효성 검증까지 진행하는 식이다. 현재는 선대응을 간소화하고, 검증과정에서 리소스를 투입해 사이버 위협으로부터 예방 대응 할 수 있는 구조를 갖추게 됐다.

여기어때는 여기서 더 나아가 ‘제로’에 도전한다. 이를 위해 여기어때는 지난해부터 개인정보 노출 제로화 여정을 진행하는 한편, 서비스 고위험 취약점 제로화를 추진하고 있다. ‘제로트러스트(Zero Trust)’ 환경 구성까지 마련하고 있다. 이를 모두 관통하는 건 ‘제로’다.

◆올해 여기어때 보안정책, ‘제로’ 전략 어떻게 꾀하나?

윤진환 CISO에 따르면 여기어때의 개인정보 노출 제로화 여정은 이미 시작됐다. 여기어때는 지난해에 이어 개인정보처리시스템 개인정보 암호화‧비식별화 여부를 확인하고, 식별되는 개인정보를 자동 탐지‧개선할 수 있는 개인정보 탐지 인공지능(AI) 솔루션을 도입해 애플리케이션 영역에서 운영하고 있다. 데이터베이스(DB) 영역에서도 개인정보 탐지‧식별 AI 솔루션 개념검증(PoC)을 준비 중이다.

윤 CISO는 “내부적으로 개인정보에 대한 암호화와 비식별화를 하고 있으나, 그럼에도 놓치는 부분이 있을 수 있다. 이에 AI 솔루션을 지난해 PoC 후 도입했다”며 “애플리케이션과 DB영역에서도 개인정보 노출을 제로화할 수 있도록 준비하고 있다”고 설명했다.

특히, 올해 여기어때는 서비스 고위험 취약점 제로화를 위해 ‘클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP, Cloud Native Application Protection Platform)’ 프로젝트에 돌입한다.

CNAPP의 CSPM(Cloud Security Posture Management), CWPP(Cloud Workload Protection Platform), CIEM(Cloud Infrastructure Entitlement Management) 등 기능을 활용하고, 소스코드 보안취약점 자동화 구현을 통해 배포되는 정보를 실시간 알람 푸시를 통해 확인한다. 또, 자체 개발 구축한 ‘VIMS(Vulnerability Intelligence Management System)’로 상시적으로 보안 취약여부 확인과 개선을 관리하겠다는 복안이다.

윤 CISO는 “여기어때 서비스는 아마존웹서비스(AWS) 기반인데, 이러한 서비스형소프트웨어(SaaS) 환경을 보호하기 위해선 많은 인력이 필요하다. 인프라 보호뿐 아니라 클라우드 보안까지 해야 하기 때문”이라며 “하나로 통합해 관리할 수 있는 솔루션을 오래전부터 찾았고, 2년 이상 PoC와 테스트를 거쳤다. AWS 클라우드 환경 내 보안 취약점을 제거하면서, 취약점에 대한 부분을 제로화하고자 한다”고 설명했다.

이어 “중요서비스에 대한 보안취약점 진단을 정기적으로 진행하며, 사전보안성 검토를 포함해 여기어때 서비스별 보안 취약점 지표를 시각화했다”며 “각 개발팀에서 해당 정보를 확인, 많이 발견되는 취약점과 서비스별 점수를 통해 개발 때 유의해야 하는 개발 소스에 대해 가이드를 제공한다. 개발단계부터 보안 취약점이 노출되지 않게 예방을 강화하고자 지난해 시스템 개발을 완료해 올해 첫발을 내딛는다”고 강조했다.

◆여기어때, 제로트러스트 구현 확대…‘AI 보안’도 계속된다

이와 함께 여기어때는 올해 제로트러스트와 인공지능 보안 도입에 드라이브를 건다. 여기어때는 제로트러스트를 단계적으로 적용하고 있는데, 올해에는 SaaS 업무 환경에서 생체인증을 통해 접속할 수 있는 환경으로 확대하는 방안을 도모하고 있다.

윤 CISO는 “작년에 네트워크 관련한 제로트러스트 환경 구현에 나섰다면, 이제는 통합 생체인증 전환을 적용하고 있다”며 “구독형 SaaS 환경으로 변화하면서 접근 경로가 증가하며 관리에 어려움이 발생할 수 있다. 이에 제로트러스트 전략을 올해에도 연속적으로 진행하고, 대상을 점점 확대할 방침”이라고 전했다.

이와 함께 여기어때는 AI 기술을 통한 ‘능동형 사이버 침해예방 체계 전환’ 목표를 세웠다. 윤 CISO는 지난해 미션으로 ‘AI 데이터’를 내세우기도 할 정도, AI에 대한 관심을 드러내고 있다.

이와 관련 여기어때는 오래전부터 단계적으로 ▲보안로그 통합화 ▲사이버보안 시각화 ▲보안플랫폼화까지 추진해 왔다. 그러던 중 AI 데이터화 단계에 이르러 많은 시간과 리소스, 더 많은 데이터와 AI 기술이 필요했다.

이에 여기어때는 한국인터넷진흥원(KISA)과 협업해 기존 자체 개발 운영 중인 보안관제분석대응시스템의 AI 데이터셋을 반영한 ‘AI-쉴드(AI-SHIELD)’를 선보였다. 여기어때는 KISA와 관련 업체와 협업을 통해 정확성, 범위 확대 등을 지속 발전시킬 계획이다.

윤 CISO는 “AI 데이터화 단계에서 고민하고 있을 때 마침 KISA에서 AI 데이터셋 실증을 참여하게 됐다”며 “KISA에서 제공한 AI데이터셋을 활용해 데이터 수집과 샘플링, 라벨링 과정까지 상당부분의 리소스를 절감할 수 있었다. 실제로 보안관제 탐지에서 초동분석의 중요한 포인트에 소요되는 시간을 AI 판단으로 리소스를 절감하는 상당한 효과를 보고 있다”고 말했다.

<다음 기사에서 계속>

◆ 윤진환 여기어때 CISO 주요 약력

▲ 現 여기어때컴퍼니 사이버보안센터 CISO/CPO(정보보호 및 개인정보보호 책임자)

▲ 前 (주)컴투스 정보보호팀 팀장(개인정보 및 정보보호)

▲ 前 한국문화정보원 문화체육관광사이버안전센터 총괄 책임

▲ 前 (주)컴투스 서비스기획운영팀 개인정보 및 정보보호 담당

▲ 前 한국정보보호진흥원(KISA) 침해사고대응센터 연구원

▲ 前 (주)현대HDS 정보시스템부 IT기획 담당

▲ 숭실대학교 IT정책경영학과 공학박사

▲ ISO27001 선임심사원, ISMS-P 인증심사원

▲ IT서비스부문 CISO 대상(과학기술정보통신부 장관표창) 수상

▲ IT아키텍처공모전 대상(과학기술정보통신부 장관) 수상