네이버 보안정책, 가용성에 초점 맞춰...서비스 장애 대비해 다채널로 대체 백업
업무효율성과 보안성 모두 높여야...보안 스터디와 테스트 등 보안교육 중점

[보안뉴스 김경애 기자] 기자가 2013년에서 2014년 사이 개인정보보호 이슈에 소위 꽂혀(?) 있을 때 늘 중심에 있던 취재원 중 한 명인 네이버 이진규 CISO. 당시 개인정보 관련 이슈를 다루는 주요 세미나나 포럼이 있는 곳이라면 주요 패널로 자주 볼 수 있었다. 그럼에도 기자가 한동안 육아휴직으로 자리를 비웠기에 꽤나 오랜만에 만나는 자리였다. 자잘한 질문부터 굵짉한 보안이슈까지 귀찮을 법도 한데, 한결같이 응해준 취재원인 만큼 이번 만남이 기자에겐 더할 나위 없이 반가웠다. 여기에다 2,500명 이상의 임직원이 다니는 네이버의 정보보호최고책임자로서 보안정책 등을 들을 수 있게 됐으니 무슨 말이 더 필요하겠는가. 더 이상의 사족은 사치일 뿐. 지금부터 만나보자.


▲ 네이버 이진규 CISO[사진=보안뉴스]

무엇보다 최대 포털 네이버의 보안정책이 가장 궁금한데요. 네이버의 경우 포털사이트다 보니 이용자가 많고 정보를 많이 받아간다. 이 때문에 네이버 사이트가 조금만 버벅 거려도 침해 의혹이 제기되고 불편함을 호소한다. 그러다보니 보안정책도 보안의 3대 요소인 기밀성, 무결성, 가용성은 기본으로, 그 가운데서도 가용성 측면에 초점을 맞춰 신경을 쓰고 있다. 주요 콘텐츠는 2·3중화 백업을 하고, 본인확인의 경우도 여러 본인확인 인증기관과 계약해 서비스 장애가 발생에 대비하고 있다. 무엇보다 가용성을 생명으로 한 지속적인 서비스 제공과 이용자들이 안심하게 이용할 수 있는 측면에서 보안을 바라보고 있다.

지난 한해 보안성과를 말씀해 주신다면? 내부적으로는 정보보호 정책을 개편했다. 임직원에게 보여지는 정책서의 방식을 새롭게 정리했다. 정책서의 위계체계를 정책-가이드-지침 순으로 검색 방식을 바꿨다. 또한, 네이버 서비스 운영도 웹사이트 형식으로 새롭게 탈바꿈했다. 내부 직원이 업무 수행 시 검색을 통해 쉽게 찾아볼 수 있게 하고, 개발자들이 편리하고 손쉽게 적용할 수 있도록 내부 소스코드를 관리하고 있다. 이 작업은 CISO 직을 맡고 가장 우선적으로 신경 쓴 부분이라 지난해에 완료했다.

외부적으로는 프라이버시센터를 이용자 반응형 웹으로 개편한 점을 들 수 있다. 1년에 한 번씩 개인정보 이용내역을 통지하는데 이용자가 메일을 받고 프라이버시센터에 접속하게 된다. 이용내역을 확인하는 채널을 분석한 결과, 모바일이 작년 기준 70%를 차지해 이용자 측면에서 모바일에서도 PC 화면이 잘 보이도록 개편했는데, 1년여에 걸쳐 작업을 완료했다.

기술적·관리적·물리적 측면에서 보안을 어떻게 강화하고 있는지? 우선 내부적으로 교육을 강화하고 있다. 네이버 내부 직원 상당수가 개발자이기 때문에 기술적 측면에서 크게 요구할 건 없다. 다만 새로운 트렌드나 신기술을 적용하는 과정에서 주의해야 할 부분을 먼저 알고 싶어하는 니즈가 강하다. 이에 세미나, 전문가 초빙, 외부 강연 등을 통해 니즈를 해소시키는데 노력하고 있다.

관리적 측면에서는 편리성에 대해 신경을 많이 쓰고 있다. 임직원들의 입에서 불편하다는 말이 가급적 나오지 않도록 업무효율성과 보안성을 동시에 잡기 위해 노력하고 있다. 이를테면 스마트폰을 분실했을 경우 예전에는 스마트폰을 원격에서 초기화하라고 가이드했는데, 이제는 업무 데이터만 날릴 수 있도록 앱을 통해 기능을 제공하고 있다. 노트북의 경우 디스크 암호화를 적용하고, 신규 지급되는 노트북에는 풀 디스크를 적용해 분실해도 내용을 확인할 수 없게 처리하는 정책으로 변경했다.

자체 IDC센터, 네이버 랩스, 글로벌 법인 등 업무공간 외에도 보호해야 할 공간이 있다보니 물리적 보안에도 관심을 쏟고 있다. 일반적인 보안업무는 공통적이지만, 일례로 네이버 랩스의 경우는 보호수준을 높여 일정 부분 차등화하고 있다. 글로벌 법인은 업무 편의성을 유지하면서 보안을 확보하는 방안을 늘 고민하고 있다. 이를테면 건물 소유권자와 보안수준에서 차이가 발생하기 때문에 원하는 보안수준을 유지하면서 건물주의 자산관리 기준을 맞춰야 하는 부분에도 신경을 쓰고 있다.

별도로 보안을 강화해야 하는 부분에 대해서 정기적으로 보안 스터디를 하고 있다. 대표적으로 CCTV에 스마트 기능을 추가하기 위한 연구를 꼽을 수 있다. 인공지능 기능을 추가함으로써 CCTV가 평시 근무자와 새로 들어오는 사람을 구분해서 위험수준을 자동으로 알려줄 수 있도록 테스트하고 있다.

정보보호 수장으로서 보안에 가장 신경쓰는 부분은? 조직 내에서 수평적인 문화를 만들려고 노력한다. 지시받아 업무하는 것을 벗어나 내부에 그라운드 룰을 만들어 자율적으로 업무를 수행할 수 있도록 하고 있다. 이를 테면 주간회의 시간에 수탁사 점검 보고를 팀장, 실장, 대표이사 순으로 하는 절차를 탈피, 정기적으로 탬플릿 승인을 거쳐 결제를 올리도록 만들어 불필요한 리뷰 시간을 없앴다.

보안 솔루션·장비를 많이 사용할 텐데 아쉬운 점이나 문제점은? 보안 장비의 전 세계적 추세는 통합기능을 제공하고, 인공지능을 적용하고 있다는 것이다. 이를 통해 기존에 대응하지 못한 걸 찾아 대응하는 방향으로 가고 있다. 해외는 다양한 기업정보를 활용하는 인텔리전스에 초점을 맞추고 있는 반면, 우리나라는 밴더를 찾아서 온갖 보안장비를 다 붙여야 하는 상황이다. 다양한 운영체제(OS) 지원이 약한 점도 아쉽다. 외국은 풀 패키지를 사용하면 되는데, 국내 제품의 경우 아직도 윈도우즈 OS밖에 지원되지 않는 경우가 많아 맥과 리눅스 지원은 나중에 추가 개발을 요구하고, 급한대로 윈도우 지원 제품만 구입하는 경우도 있다.

정책·제도 측면에서 개선이 필요한 부분은? 정부가 보안에 대해 세세한 가이드를 주는 건 단기적으로는 약일 수 있으나 장기적으로는 병이 될 수 있다고 생각한다. 정부는 표준 제정을 지원하고, 해당 표준을 기업들이 지킬 수 있는 환경을 만들고 권장해야 한다. 그러나 현재는 정부의 가이드라인만 준수하면 기업에 요구되는 의무는 끝나는 구조라 정보보호와 프라이버시 차원에서 발전이 더딜 수밖에 없다. 정보보호 성과가 나올 수 있도록 기업이 정책을 잘 지키면 플러스 알파로 인센티브가 부여되도록 해야 한다. 이 때의 정책 위계체계는 정책->가이드->지침 순으로 하는 것이 맞다고 본다.

CISO로서 가장 큰 애로사항이나 고민은? 용어 설명이 가장 힘들다. 기술과 법제 용어들을 일일이 풀어서 하는 건 한계가 있어 이 부분은 늘 숙제다.

앞으로 계획은? 올해는 5월부터 본격 시행되는 GDPR 대응에 전념할 계획이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>