법제도/정책

[보안리더스] 윤진환 여기어때 CISO “위험 예측하려면, 볼 수 있어야죠”

최민지 기자

인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

여기어때 윤진환 CISO. [ⓒ 여기어때]
여기어때 윤진환 CISO. [ⓒ 여기어때]

[디지털데일리 최민지기자] “회사의 보안 건강 상태를 실제로 눈으로 볼 수 있고, 통찰력까지 갖춘 환경을 만들고 싶었죠.”

여기어때 보안플랫폼화를 이끈 윤진환 여기어때 최고정보보호책임자(CISO)는 최근 디지털데일리와 <보안리더스> 인터뷰를 통해 이같이 밝혔다. 이는 윤진환 여기어때 CISO가 품은 보안철학 ‘위험관리’와 맞닿아 있는 발언이다.

실제, 윤 CISO는 인터뷰를 진행하며 위험관리 중요성을 수차례 강조했다. 그는 “클라우드 환경 가속화와 자산이 아닌 구독형 서비스 패턴 변화, 생성형 인공지능(AI)에 이르기까지, 기술 발전은 급변하고 있다”며 “리소스가 현실적으로 부족한 상황에서 100% 보안을 완벽하게 실현한다는 것은 갈수록 불가능한 현실로 다가왔다”고 진단했다.

이어 “이런 환경에서는 위험관리가 더욱 중요하다”며 “꼭 해야 하는 보안개선과 지속적인 모니터링‧관리체계를 통해 위험을 관리하고 비즈니스 조력자로써 보안의 가치를 인정받을 수 있는 역할을 해야 한다”고 말했다.

이에 윤 CISO가 여기어때에 합류 후 가장 우선으로 생각하고 이행했던 부분은 모든 보안로그를 한 곳에 관리할 수 있는 통합보안로그시스템 구축이었다. 이후 보안시각화를 거쳐 플랫폼화에 이르게 됐다. 볼 수 있는 보안 환경에선 위험을 예측할 수 있다는 판단이다. 궁극적으로 적재적소에 맞는 사전예방 활동으로 이어지고, 보안사고 발생을 줄일 수 있는 지름길이라는 설명이다.

◆보안로그 통합화→보안시각화→보안플랫폼화

윤 CISO는 “여기어때 합류 후부터 현재까지, 네트워크에서 단말기까지 보안 건강상태를 시각화해 볼 수 있게 만들고 관리할 수 있는 환경을 구현하는 전략을 채택하고 있다”며 “보안은 보이지 않는 위험을 관리하고 설득해야 한다는 측면에서 매운 어려운 분야다. 그렇지만 눈으로 보는 걸 이야기하는 것과 보이지 않는 걸 막연히 이야기하는 것에는 큰 차이가 있다”고 전했다.

이에 윤 CISO는 ‘시큐리티 헬스 인사이트 네트워크 투 엔드포인트(Security Health Insight Network to Endpoint)’를 보안전략으로 삼고, 여기어때에서 보안로그 통합화를 시작으로 시각화 과정을 거쳐 ‘보안포털’ 플랫폼까지 단계적으로 구축하게 된다. 이러한 기반 환경이 마련됐기에, 여기어때가 개인정보 노출 제로화 여정을 미션으로 삼을 수 있었다. <지난 기사 참조 [보안리더스] 2025년 여기어때 보안 키워드 ‘ZERO(제로)’>

2018년 11월 여기어때 CISO로 합류한 그는 2019년 곧바로 통합보안로그시스템을 구축했다. 보안 관련 모든 로고를 한 곳에 통합해 일원화하자, 업무 속도가 빨라졌다. 이듬해인 2020년에는 시각화를 추진했다. 통합보안로그시스템과 보안운영‧위협대응(SOAR) 기능을 접목해 이기종 간 보안시스템 로그를 상관분석해 네트워크부터 엔드포인트까지 볼 수 있도록 했다.

플랫폼화를 본격적으로 완성한 시기는 2023년이다. 여기어때에 맞는 보안을 완성하기 위해 ▲개인정보지키미 ▲보안문화활동지표 ▲보안포털을 자체적으로 개발해 보안플랫폼을 완성했다.

여기어때 보안포털 화면. [ⓒ 여기어때]
여기어때 보안포털 화면. [ⓒ 여기어때]

◆직관적이고 여기어때다운 ‘보안포털’, 윤 CISO 경험 압축된 결과물

여기어때가 자체적으로 플랫폼을 구축한 덕에, ‘보안포털’은 직관적이면서도 여기어때다움이 묻어날 수 있었다. 포털에 접속하면, 각각의 보안점수가 표시되고 전반적인 상태를 날씨로 표현했다. 침해대응을 위한 위협 현황을 시각적으로 나타내, 즉각 대응할 수 있도록 돕고 있다. 보안과 관련한 모든 활동을 포털 플랫폼을 통해 확인하고 조치할 수 있게 했다.

지난해 한국인터넷진흥원(KISA)과 협업해 개발한 보안분석대응시스템(AI-SHIELD) 플랫폼도 포털과 연결된다. 소스코드 보안취약점 진단 자동화 구현과 여기어때 보안취약점을 관리할 수 있는 VIMS(Vulnerability Intelligence Management System) 보안플랫폼도 마찬가지다. 포털과 플랫폼은 현재도 지속 확장 중이다.

윤 CISO는 보안포털을 시연하며 “보안플랫폼을 시각화한 결과물이 보안포털이고, 별도의 플랫폼들을 하나씩 만들어 포털에 연결시키고 있다”며 “보안포털과 각각의 플랫폼을 자체 개발하고 내재화하고 있다. 물론 처음엔 써드파티를 통해 기술‧솔루션을 도입하지만, 기업에 맞는 차별화된 보안전략을 꾀하려면 결국 내재화하고 스스로 개발해 자체적인 보안환경을 조성할 수밖에 없다. 보안정보‧이벤트관리(SIEM)을 자체 SIEM으로 전환한 이유도 그 때문”이라고 설명했다.

이는 윤 CISO의 지난 경험이 압축된 결과물이다. 윤 CISO는 어려운 일을 도맡아 해낸 경험 많은 현안 해결 전문가다. 여기어때에 오기 전 그는 현대HDS를 시작으로 KISA 침해대응센터, 컴투스‧한국문화정보원 문화체육관광사이버안전센터를 거쳤다.

윤 CISO는 “KISA에 있으면서 많은 침해사고 대응과 훈련들이 몸에 습관적으로 탑재돼 있고, 문화체육관광부 사이버안전센터 구축‧개소를 진행했으며, 게임사에서는 디도스(DDoS) 공격대응 보안관제 환경과 침해사고대응체계를 완성했다”며 “침해사고 대응부터 정보보호관리체계, 개인정보 관리, 시스템 구축‧운영, 임직원 보안인식 개선 등 많은 활동을 했다. 이러한 경험에서 나온 노하우들을 여기어때 보안환경 구축에 녹여낼 수 있었다”고 부연했다.

여기어때 윤진환 CISO. [ⓒ 여기어때]
여기어때 윤진환 CISO. [ⓒ 여기어때]

◆임직원‧파트너 인식 개선 중요…“스며드는 보안 추구”

이와 함께 윤 CISO는 임직원과 파트너사 인식 개선 중요성을 짚었다. 내부 구성원과 협력사를 이용한 사이버공격 사례는 수도 없이 많다. 당연하게도 이들의 보안인식이 높을수록, 기업은 더욱 안전해지게 된다.

하지만, 내부 임직원에게 보안을 강요할 경우 불편함만 앞서기에 반발이 생길 수 있다. 이에 여기어때는 지나치게 보안을 강조하지 않는 방식을 택했다. 대신, “나도 모르게 보안을 하고 있었네”라는 생각이 들 정도로 ‘스며드는 보안’을 추구했다.

여기어때는 개인별 보안문화 활동지표를 개발해 그룹웨어와 연동했다. 임직원 누구나 자신의 보안활동 지표를 볼 수 있게 했다. 매월 정보보호의 날에 기본적인 보안활동 점수와 회사 보안에 대한 아이디어와 제보 등 자발적인 보안 참여를 지표화해, 연말 ‘여기어때 시큐리티 어워즈’에서 시상식을 개최한다.

아울러, 윤 CISO는 동종업계가 함께 파트너사 보안을 기본 수준으로 끌어올릴 수 있는 ‘상생 보안’ 프로그램‧캠페인을 펼치는 방법을 제안했다. 숙박‧여가 파트너사 경우, 개인이 운영하는 곳이 많다. 특히 연세가 있는 분들은 보안 중요성을 알더라도 그 방법을 모르는 경우가 다반사다.

윤 CISO는 “제3자 제공업체들, 써드파티, 파트너사 보안은 중요하다”며 “단순히 기업만이 보안에 신경쓰는 것이 아니라, 다 함께 기본적인 보안 수준을 갖출 수 있는 유인책이 필요하다. 같은 업계에 있는 회사들이 협업해 상생하는 캠페인을 펼치는 그림도 개인적으로 생각해봤다”고 제언했다.

◆ 윤진환 여기어때 CISO 주요 약력

▲ 現 여기어때컴퍼니 사이버보안센터 CISO/CPO(정보보호 및 개인정보보호 책임자)

▲ 前 (주)컴투스 정보보호팀 팀장(개인정보 및 정보보호)

▲ 前 한국문화정보원 문화체육관광사이버안전센터 총괄 책임

▲ 前 (주)컴투스 서비스기획운영팀 개인정보 및 정보보호 담당

▲ 前 한국정보보호진흥원(KISA) 침해사고대응센터 연구원

▲ 前 (주)현대HDS 정보시스템부 IT기획 담당

▲ 숭실대학교 IT정책경영학과 공학박사

▲ ISO27001 선임심사원, ISMS-P 인증심사원

▲ IT서비스부문 CISO 대상(과학기술정보통신부 장관표창) 수상

▲ IT아키텍처공모전 대상(과학기술정보통신부 장관) 수상

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널