강정철 넥스트증권 엔지니어, 레거시 환경 탈피하고 효율성 극대화한 실무 노하우 공유
김동현 前 우아한형제들 CISO, 25년 경력 바탕으로 보안 조직 정체성과 신뢰 구축 강조
기술 도입과 정책 수립 모두 결국 ‘문화’로 귀결된다는 두 전문가의 공통된 혜안

[보안뉴스 조재호 기자] “아무리 훌륭한 보안 솔루션을 도입하더라도 임직원이 공감하는 ‘보안 문화’가 뿌리 내리지 못하면 무용지물입니다.”

지난 21일 열린 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP) 4월 세미나에서 나온 이 한마디는 보안 담당자들이 마주한 현실이다. 스타트업의 첫 보안 담당자부터 대형 플랫폼의 조직 성장기까지, 서로 다른 환경에서 보안 체계를 구축한 두 전문가는 기술적 테크닉보다 ‘사람’과 ‘문화’를 향한 일관된 방향성이 보안의 성패를 가른다고 입을 모았다.


▲ 강정철 넥스트증권 엔지니어 [출처: 보안뉴스]

강정철 엔지니어 “조치 가능한 취약점에 집중해야”... 효율 극대화 실전 압축 보안
┖밑바닥부터 시작하는 스타트업 보안┖을 주제로 발표에 나선 강정철 넥스트증권 엔지니어는 빠르게 변화하는 개발 환경 속에서 형상관리와 계정 인증 체계를 현대적으로 재정비하며 DevSecOps 기반을 마련한 경험을 공유했다.

강 엔지니어는 AI가 취약점을 대신 찾아주는 ┖딸깍의 시대┖일수록 보안 담당자는 탐지 그 자체보다 ┖실제 조치율┖을 높이는 데 사활을 걸어야 한다고 강조했다. 특히 시크릿 스캐닝(Secret Scanning)과 정적 애플리케이션 보안 테스팅(SAST), 소프트웨어 구성 분석(SCA)을 운영할 때 영향도와 조치 난이도를 기준으로 우선순위를 설정할 것을 권했다.

그는 “발견 즉시 조치가 가능한 시크릿 스캐닝을 1순위로 둬야 한다”며, 실제 운영 환경에서 크리밋(Cremit)의 시크릿 스캐닝 솔루션을 통해 개발·협업 툴 전반에 산재한 크리덴셜 유출을 탐지하고, 프로밸리(Provally)의 SAST PoC 자동화 도구로 취약점 검증 부담을 덜어내는 방식으로 한정된 보안 인력의 효율을 극대화했다고 설명했다.

또, 자동화의 화려한 수치보다 개발자와의 긴밀한 소통으로 실질적인 방어 체계를 단단히 쌓아가는 것이 스타트업 보안의 핵심 전략임을 분명히 했다.


▲ 김동현 前 우아한형제들 CISO [출처: 보안뉴스]

김동현 前 CISO “보안은 도자기를 빚는 과정... 속도보다 일관된 방향이 필수”
이어 무대에 오른 김동현 전 우아한형제들 CISO는 25년이 넘는 실무 경력을 바탕으로 ┖Zero to One, One to Ten: 성장하는 보안 조직에서 중심에 두어야 할 것┖에 대해 역설했다.

보안 조직이 전무한 제로(Zero) 상태에서 팀이 처음 생겨날 때, 타 부서의 업무를 강제로 빼앗기보다 새로운 체계를 섬세하게 설계하는 협업의 과정이 필요하다고 설명했다. 조직 규모가 10명 이상으로 커지는 확장의 시기에는 앞사람만 보고 달리는 맹목적인 속도보다, 팀원 모두가 서로 손을 잡고 나아가는 일관된 방향성이 중요하다고 짚었다.

김 전 실장은 잉글랜드 프로축구팀 리버풀FC의 응원가로 유명한 ┖당신은 결코 혼자 걷지 않으리라┖(YNWA: You┖ll Never Walk Alone) 라는 문구를 인용하며, 타 부서와 굳건한 신뢰를 쌓고 보안팀의 긍정적인 정체성을 확립하는 작업이 진정한 기업 방어 수준의 향상을 이끈다고 당부했다.

기술과 조직을 관통하는 하나의 키워드, ‘보안 문화’
두 연사의 강연은 규모와 접근 방식의 차이를 넘어 보안의 본질은 결국 ┖사람┖이라는 지점으로 수렴했다. 단일 로그인(SSO)이나 다중요소인증(MFA) 같은 첨단 보안 기술을 겹겹이 쌓아 올려도, 이를 운용하는 조직 구성원 간의 신뢰와 공감이 없다면 모래성에 불과하다는 지적이다. 회사의 모든 팀이 좋은 관계를 맺고 하나의 문화로서 일할 수 있어야 회사의 보안 문화가 한 단계 더 성장할 수 있다는 의견이다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>