티몬 보안정책, 이용자 데이터 보호 중심 보안이 핵심
각 영역별 보안이슈에 대한 사전 체크 및 피해 방지에 주력

[보안뉴스 김경애 기자] 티켓몬스터(이하 티몬)의 체질개선 프로젝트 ‘Me First’ 캠페인. 해당 캠페인은 티켓몬스터의 첫 번째 전사 캠페인으로, 사원증 착용, 출근시간 지키기, 그리고 인사 잘하기 등을 포함한 직원들의 인식 개선과 교육 강화를 목표로 진행됐다.


전사 차원에서 진행한 Me First 캠페인은 즉각적인 효과로 이어졌다. 정시 출근의 경우, 캠페인 기간동안 무려 58%나 향상됐고, 사원증을 착용한 직원들의 입·출입 현황은 5천여 건에서 1만3천여 건으로 무려 242% 증가했다.

특히, 아이디어가 돋보인 티몬의 보안 캠페인은 동영상 제작과 블로그 글을 통해 높은 평가를 받았다. 정보보호 인식 제고 및 실천에 기여한 점과 정보보호 관리체계의 우수성 등을 인정받아 지난해 말 과학기술정보통신부가 주최하고, 한국인터넷진흥원이 주관한 ‘제16회 K-ICT 정보보호 대상’ 시상식에서 우수상을 거머쥐었다.

기자가 소셜 커머스 기업인 티몬에 방문했을 때 첫 느낌은 흥겨움과 젊음이었다. 젊은 인력이 많은 만큼 회사 분위기는 열정적이고 흥겨워 보였다. 톡톡 튀는 아이디어가 돋보이는 보안 캠페인 역시 회사의 젊은 이미지를 대변해 주는 듯 했다.

티몬의 장석은 CISO가 말한 지난해 보안성과는 조직을 확대하면서 보안기술과 보안관리를 분화시킨 일이다. “아직은 회사가 지속적으로 성장해야 하기 때문에 보안도 같이 성장해야 한다고 봐요. 보안기술팀이 전적으로 기술적 보호조치를 담당하고, 관리적 보안은 IT감사팀이 전반적으로 체계 관리를 하며, 개인정보보호팀이 함께 업무를 분담하고 있어요. 일별/주별/월별로 보안 이슈와 업무를 체크하고 있는데, 올해는 연중 상시 운영될 수 있도록 시스템을 정착시키는게 목표에요.”

티몬의 보안정책은 티몬 이용자의 데이터 보호를 중심으로 바라보고 있다. 사업 특성상 이용자의 정보를 많이 취급하고 있기 때문이다.

장석은 CISO는 티몬의 기술적·관리적·물리적 보안조치에 대해 “보안조치의 핵심은 관리체계 내재화라고 할 수 있다”며 “기술적 조치는 전자결제 사기예방 등 산업부서별로 발생할 수 있는 특화된 보안위협 요소를 미연에 방지하기 위한 것으로, 레이어 단에서 보호할 수 있는 부분을 강화하고 있다”고 설명했다.

정보보호 수장으로서 장석은 CISO가 가장 신경 쓰는 부분은 각 영역별에서 발생할 수 있는 각종 보안 이슈를 사전 체크하고 예방하는 것이다.

“티몬의 개발 인력만 300여명이에요. 콜센터를 제외한 전 직원도 1200~1300명에 달하죠. 조직이 방대하고 팀이 많은 만큼 보안성 유지에도 각별히 신경쓰고 있어요. 무엇보다 개발자들이 작업할 때 좀더 효율적으로 오류를 찾는 방법에 대해 고민하고 있습니다. 비즈니스 속도와 생산성을 보안과 맞추는 작업이 중요하거든요. 프로세스만 강조할 경우 균형을 맞추기가 쉽지 않기 때문에 비즈니스 속도 및 생산성에 보안을 맞추는 작업을 테스트하고 있습니다.”

그는 CISO의 애로사항으로 비즈니스 리스크 판단의 어려움을 꼽았다. 즉, 비즈니스 저해요소를 사전 파악해 비즈니스가 원활하게 진행될 수 있게 인력 투입 등의 판단을 해야 하는데, 해당 결정이 쉽지 않다는 얘기다.

정책·제도적 과제와 관련해서는 정보보호 인력이 보다 쉽게 이해할 수 있게 체계적인 컴플라이언스 가이드가 필요하며, 해당 가이드를 바탕으로 사업자들이 사전에 준비할 수 있도록 해야 한다고 밝혔다.

장석은 CISO는 향후 계획에 대해 “보안사고 제로가 티몬 보안정책의 주요 핵심과제이자, 매년 목표”라며 “보안사고 예방에 주력하겠다”고 다짐했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>