“국내 O2O 스타트업의 정보보호 관리체계 수준 향상 기여할 것”
IT 개발이나 기획단계부터 보안인력 참여해 보안성 검토·적용해야

[보안뉴스 김경애 기자] 2013년 7월 법인 설립 5개월만에 T-store Best App 선정, 2014년 7월 정부 스타트 창작터 사업 선정, 아이폰 앱스토어 여행부문 1위 선정, 8월 대한민국 모바일 어워드 으뜸앱 선정, 12월 네이버 앱스토어 추천앱 선정, 2016년 호텔 부문 판매액 1,000억원 돌파, 2017년 4월 제6회 코리아 탑 브랜드 어워드(Korea Top Brand Awards) 서비스 브랜드 부문 대상, 12월 누적 다운로드수 1,000만 돌파 등. 바로 폭풍성장하고 있는 숙박 O2O(Online to Offline) 서비스 데일리호텔의 성적표다. 우리에게는 “우리 하루만 더 있다 갈까”라는 카피와 함께 조인성을 모델로 내세운 광고로 더 친숙하다. 이에 본지는 데일리호텔 신동혁 CISO로부터 O2O 서비스의 보안이슈와 데일리호텔의 보안 이야기를 들어봤다.


데일리호텔의 보안정책을 소개해 주신다면 개발자 등 모든 임직원 각 업무에 최적화된 정보보안지침을 수립해 적용하고 있다. 단순하게 문서를 배포하기 보다는 직원들이 최대한 많이 읽어보고 접할 수 있는 실무형 지침을 고민했다. 임직원 열람이 편한 형태로 디자인하고, 직접 핸드북으로도 배포해 친숙도를 높이고 있다. 또한, 정보보안지침의 일부를 매주 뉴스레터로 발송하는데, 보안인력이 아닌 일반 임직원들이 직접 보안에 대해 이야기하는 형태로 꾸며 내부 직원들의 관심과 호응도가 매우 높다.

지난해 보안성과를 말씀해 주신다면 먼저 경영진과 긴밀히 소통하면서 데일리호텔의 정보보호관리체계를 수립할 수 있는 기초를 마련했다는 점을 꼽고 싶다. 경험이 풍부한 인력을 바탕으로 기술적·관리적 보호조치 업무를 전담할 정보보안조직을 신설했고, 총 5명의 보안인력이 각 부서별 업무를 파악하고, 해당 부서에 맞는 보안을 신경쓰고 있다. 특히, IT 개발이나 기획단계부터 보안인력이 함께 참여해 보안을 적용하고 있다. 이를 위해 경영진과 실무진이 상시 소통할 수 있는 내부 커뮤니케이션 체계를 수립·운영하고 있다. 이러한 정책이 운영될 수 있도록 적극 지원해준 대표님을 비롯한 경영진의 관심에 감사하다는 말을 전하고 싶다.

두 번째로는 자발적으로 정보보안을 실천하려는 문화가 정착되고 있다는 점이다. 임직원 한 사람 한 사람이 정보보안의 중요성을 깨닫고 이를 실천하려는 의지가 느껴지고 있다. 아무리 좋은 정보보안 정책이라도 실천하지 않으면 무의미하기 때문이다. 이러한 임직원의 자발적 실천의지가 회사의 정보보안 수준과 직결될 수밖에 없다.

세 번째로 커뮤니케이션 문화를 안착시켰다. 스타트업의 경우 실제 업무 수행인력이 부족하기에 내부에서 정보보안과 관련한 커뮤니케이션 분위기가 무엇보다 중요하다. 이 때문에 정보보호 리더로서 함께 일하는 멤버들에게 강조하는 것도 ‘업종과 실제 부서의 업무를 이해하고 현장에 녹아들어라’이다.

정보보호 수장으로서 보안에 가장 신경쓰는 부분은 무엇보다 고객의 개인정보보호다. 이를 위해 보안성 검토와 내부 프로세스 정립에 신경을 쓰고 있다. 스타트업은 대기업과는 다소 다른 문화와 프로세스가 존재한다. 무엇보다 초기 보안성 검토와 프로세스 정립이 매우 중요하다. 서비스와 프로세스 초반에 보안이 녹아들지 않으면 나중에 정리하기가 더 어려운 상황이 될 수 있기 때문이다. 이에 따라 초기부터 이러한 부분들에 대한 기틀을 잡고자 계속 노력을 하고 있다.

기술적·관리적·물리적 보안조치는 어떻게 하고 있나 기술적 측면에서는 시스템에 대한 전반적인 취약성 점검과 DB보안 감사 등 다양한 프로젝트를 진행하고 있으며, 주요 시스템의 보안성도 개선했다. 관리적 보호조치로는 모든 부서별로 컴플라이언스를 점검했고, 임직원의 인식 제고와 보안 캠페인 활성화에 신경쓰고 있다. 특히, 모든 임직원의 개인정보보호 교육은 직접 진행하고 있는데, 직원들이 관심을 가질 수 있도록 ‘Fun한’ 아이디어를 접목한 정보보안 캠페인에 각별한 신경을 쓰고 있다. 물리적 보안 측면에서는 사옥 환경을 고려한 외부 통제 보안체계를 운영하고 있다.

최근 주목하고 있는 보안이슈는 클라우드 인프라 환경을 타깃으로 한 다양한 공격에 대응하는 방법과 랜섬웨어 대응에 주목하고 있다. 또한, 위협 예방을 위한 다양한 프로그램을 마련하는데 신경쓰고 있다. 제도적으로는 ISMS와 PIMS 인증이 통합되는 등 제도 변화에 따른 컴플라이언스 동향을 분석하고 있다. 유럽 통합개인정보보호법(GDPR)과 관련된 컴플라이언스 대응은 정보보안 업계에서도 관심있게 봐야할 것으로 보인다.

정책·제도 측면에서 개선돼야 할 사항은 정보보안에 대해 노력하는 스타트업에 대해선 정부의 관심과 지원, 격려가 필요하다. 기업에 있어 정보보안의 완성도는 결국 경영진의 의지, 비용, 시간, 사람에 달렸기 때문이다. 결국 많은 인적·물적 투자가 필요한데다 이러한 노력이 성과로 이어지기 위해서는 완성도를 높일 수 있는 시간이 필요하다는 뜻이다.

ISMS는 매출 100억 이상되는 일정 수준 이상의 기업에 대한 컴플라이언스 규제다. 그러나 실제로 많은 스타트업들이 ISMS 제도권에 합류하기 전 개인정보 유출 사고 등을 경험하고 있다. 그리고 이러한 문제 때문에 보안사고 발생→ 경험 풍부하고 우수한 보안인력의 스타트업 기피→ 정보보호 수준 향상의 기회 상실 등 스타트업 정보보호 수준의 악순환을 가져올 수 있다. ISMS 수준에 못 미치는 업체들에 대해서는 ISMS 인증 제도권에 안정적으로 올라설 수 있도록 징검다리 역할을 하는 순차적인 프로그램을 도입할 필요가 있다.

CISO로서 가장 큰 애로사항은 임직원이 보안을 자발적으로 실천할 수 있도록 하는데 가장 많은 고민을 한다. 정보보안 수준을 지속적으로 높이면서 업무 효율성 저하를 최소화해야 하는데, 이 부분이 가장 어려운 숙제 중 하나다.

앞으로의 계획은 내부적으로는 국제정보보안 표준인증인 ISO27001과 정보보호관리체계인 ISMS 인증 준비를 통한 정보보호관리체계 수립에 주력할 예정이다. 더 나아가 전반적인 O2O, 스타트업의 정보보호관리체계 수준을 한 단계 높이는데 기여하고 싶다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>