[CULTURE] 보안 파트 김수민 대리, 박환춘 님의 이야기

 

지난 7월 19일, 전 세계 IT 시스템을 혼란에 빠뜨렸던 블루스크린 사태를 기억하시나요? 공항과 철도, 해운 등 주요 인프라는 물론 은행과 병원, 방송국 등에서 윈도 시스템 비정상 종료, 흔히 말하는 블루스크린이 뜨며 전산이 마비되었어요. 이는 미국에서 각광받는 보안 업체 ‘크라우드스트라이크’의 보안 업데이트가 마이크로소프트(MS)의 운영 체제와 충돌하면서 발생한 문제였는데요. 이를 악용하여 악성 코드 유포, 피싱 이메일을 통한 개인정보 입력 유도 등의 사이버 공격이 이어졌어요.

 

이외에도 기업 자료 해킹, 개인정보 유출 등의 보안 사고를 심심치 않게 접할 수 있는데요. 이러한 사고를 예방하기 위해 보안 환경을 점검하는 것은 반드시 필요한 일입니다. 오늘은 NHN 커머스에서 정보보안 업무를 맡고 있는 김수민 대리님, 박환춘 님을 만나 보안 파트의 업무 이야기를 자세히 들어보겠습니다.

 

---

Q. 안녕하세요! 두 분 자기소개 부탁드립니다.

김수민 대리 | 안녕하세요. NHN 커머스에서 취약점 진단·대응을 맡고 있는 김수민입니다.

박환춘 사원 | 안녕하세요. 개인정보 처리 관련 업무를 맡고 있는 박환춘입니다.

 

 

Q. 보안 파트는 어떤 업무를 하는 파트인가요?

김수민 대리 | 보안 파트는 NHN 커머스 내 보안 및 개인정보와 관련된 법규 준수를 위한 활동을 하고 있는 파트예요. 기업 내부 보안 정책을 수립하고, 보안상의 문제점을 안고 있는 취약점을 미리 찾아 조치하거나 대응하는 업무를 맡고 있고요. 임직원의 보안 인식 향상을 위해 사내 보안 캠페인이나 모니터링 등을 진행하고 있습니다.

 

박환춘 사원 | 개인정보 보호법과 ISMS(정보보호관리체계)* 인증 통제 항목에 준하는 대부분 정보보호 활동을 시행하고 있어요. 저희 솔루션을 이용하는 고객사들에게 개인정보를 위탁받고 있기 때문에, 개인정보를 적절하게 관리하고 있는지 관리·감독 역할을 맡고 있고요. 기업 규모가 어느 정도 되면 ISMS를 반드시 취득해야 하는데요. NHN 커머스 솔루션 이용 고객이라면 간소화하여 취득할 수 있고, 이를 위한 업무도 지원하고 있습니다.

*ISMS(Information Security Management System, 정보보호관리체계): 정보통신망의 안전성 확보를 위하여 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증 제도

 

 

 

Q. 개인정보 유출 사고, 이커머스 환불 사태를 악용한 스미싱 등 다양한 보안 이슈가 있었어요. 이러한 위협을 대비하기 위해 어떻게 모니터링하고 계신가요?

김수민 대리 | 최근 MS 운영 체제를 사용하는 서버나 PC에 블루스크린이 떴던 사고가 있었는데요. 이를 악용하여 해킹을 시도하는 사례가 늘어나고 있다 보니, 각별한 주의가 필요합니다. NHN 커머스의 경우에는 NHN 클라우드 서버를 이용하고 있어 클라우드 측에서 실시간 확인해서 조치하고 있어요.

 

박환춘 사원 | 개인정보 유출 사고 등 대외적인 보안 이슈는 월마다 업데이트하여 유관 부서와 공유하고 있어요. 기업에 대한 사이버 공격이 다양해지고 있는 만큼 최신 보안 동향을 확인하고 보안 위협에 대한 대책을 마련하기 위해 지속적으로 확인하고 개선해 나가고 있습니다.

 

 

Q. 서비스기획팀과 매월 보안 캠페인을 진행하고 있어요. 온라인 쇼핑몰 운영에서 보안이 중요한 이유는 무엇인가요? 이를 위해 셀러들은 어떤 점을 신경 써야 할까요?

박환춘 사원 | 온라인 쇼핑몰 운영에 있어 보안이 중요한 이유는 고객의 개인정보를 직접 수집·보관·이용하고, 이 개인정보가 해커들의 표적이 될 수 있기 때문이에요. 고객 정보를 범죄·사기와 같은 악의적인 목적으로 활용할 수 있기 때문에 항상 안전하게 보호해야 합니다. 이를 쉽게 셀러분들께 알려드리고자 보안 캠페인을 진행하게 되었고요. 매월 발송되는 보안 캠페인을 유의 깊게 살펴보시고 적용해 주시기를 권고드립니다!

 

김수민 대리 | 쇼핑몰 운영자분들이 보안 관련해서 가장 신경 쓰실 만한 사항은 개인정보 유출과 그에 따른 과태료일 텐데요. NHN 커머스에서는 개인정보보호 안정성 확보 조치를 기준으로 기능을 제공하고 있어요. 세션 타임아웃이나 관리자 IP 제한, 간편 로그인 본인 인증 절차 등이 그 예시이죠. 번거롭겠지만 고도몰과 샵바이에서 권고하는 보안 기능을 꼭 활용하여 고객분들의 개인정보 취급에 유의해 주세요.

 

NHN 커머스에서 진행하고 있는 보안 캠페인

 

 

Q. 쇼핑몰 운영자 입장에서 NHN 커머스 솔루션을 이용하면 어떤 보안적 이점이 있나요?

김수민 대리 | NHN 커머스는 ISMS 인증을 취득한 상태이고, 고도몰과 샵바이에는 개인정보 보호법 등에서 요구하는 기술적 보호조치가 적용되어 있습니다. 솔루션에서 사용하고 있는 NHN 클라우드 서버는 CSAP(클라우드 보안 인증), ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 등 국내 수준 높은 보안 인증을 받았기 때문에 안심하고 이용하실 수 있죠.

 

또한, 보안성 강화를 위해 취약점 점검, 개선, 보안 기능 추가 등을 주기적으로 수행하기 때문에 자체 구축한 쇼핑몰에 비해 관리가 쉽고 안전하고요. 쇼핑몰을 운영하시다가 일정 금액의 매출액 및 회원수가 도달하게되면 법적으로 ISMS 인증을 받아야 하는데, 인프라(서버, 네트워크, DB 등)의 관리 주체가 NHN 커머스에 있어 간편하게 받으실 수 있다는 점도 좋은 점이 아닐까 싶습니다. 일례로 보안성 검토를 먼저 확인 요청 주시고 이를 기준으로 솔루션을 도입하는 고객사도 종종 있습니다.

 

NHN 커머스에서 제공하는 쇼핑몰 플랫폼 고도몰과 샵바이는 NHN 클라우드를 기반으로 최신 보안 성능을 제공한다

 

 

Q. 최근 보안 파트에서 가장 고민하고 계신 부분은 무엇인가요?

박환춘 사원 | 기존 ISMS 및 ISMS-P 인증 제도는 중소기업 입장에서는 인증 항목이 많아 지키기 어려웠는데요. 지난 7월 24일부터 중소기업을 대상으로 통제 항목을 줄인 ‘정보보호 간편인증 제도’가 시행되었어요. 간편화된 절차에 대해 고객분들이 쉽게 인지하고 인증받으실 수 있도록 가이드를 마련 중입니다. 개인정보 보호법도 계속 개정되고 있기 때문에 이를 확인하고 조치하는 것이 보안 파트의 주된 고민이기도 합니다.

 

 

 

Q. 업무를 하시면서 생겨버린 직업병이 있다면요?

김수민 대리 | 저는 취약점 진단이 주 업무이다 보니, 웹 서핑이나 쇼핑을 할 때 취약한 부분이 눈에 보이는 것 같아요. 이를 토대로 자사 서비스에서 부족한 점은 없는지 다시 한번 확인하곤 해요.

 

박환춘 사원 | 정보통신서비스를 제공하는 기업은 필수적으로 홈페이지 하단에 개인정보보호 처리방침을 명시해야 해요. 그래서 다른 회사는 개인정보 수집·이용·파기를 어떤 방식으로 하고 있는지 먼저 살펴보는 버릇이 생긴 것 같아요.

 

 

Q. 보안 파트에서 좋은 성과를 내기 위해 어떤 자질과 역량을 갖춰야 할까요?

김수민 대리 | 담당하는 업무에 따라 필요한 역량이 다를 것 같은데요. 제가 맡고 있는 취약점 진단 업무는 특히 개발 지식이 필요해요. 개발 로직을 보면서 취약점을 발견하기도 하고, 이를 개선하기 위해서는 개발자와의 커뮤니케이션하기 때문이에요. 또, IT 업계 흐름에 따라 최신 기술이나 보안 동향을 파악하고, 네트워크, 서버 등의 운영 지식이 도움될 것 같아요.

 

박환춘 사원 | 개인정보보호 담당자로서 법에 대한 지식은 기본 베이스로, 커뮤니케이션 능력이 가장 중요하다고 생각해요. 고객의 개인정보를 보호할 수 있는 방법을 고민하고 최선의 방안을 도출하기 위해 각 부서의 실무 담당자분들과 협의하는 과정이 필수적이거든요.

 

 

 

Q. 해당 역량을 갖추기 위한 본인만의 업무 팁이 있다면 말씀해 주세요.

김수민 대리 | 알고 있던 지식만으로는 업무를 운영해 나갈 수 없어서, 계속해서 관련 지식 습득과 스터디가 필요해요. 보안 관련 뉴스나 SNS, 국내외 자료 등을 지속적으로 찾아보고 있어요. 대부분 정보보안 업무를 하시게 되면 ISMS-P 인증심사원 자격증을 목표로 공부하시는데, 그 외에도 정보보안기사, 정보처리기사, 개인정보관리사(CPPG) 자격증 등이 있어요. 물론, 없으셔도 업무하시는 데 지장은 없습니다!

 

박환춘 사원 | 동료들과 매끄럽게 커뮤니케이션하기 위해서는 서비스에 대한 전반적인 이해가 필요합니다. 이를 토대로 전체 업무 흐름을 파악하고 한눈에 볼 수 있도록 정리했어요. 이를 통해 보완해야 할 점도 빠르게 파악할 수 있었죠.

 

 

 

Q. 마지막으로 보안 파트의 최종 목표는 무엇인지 궁금합니다.

김수민 대리 | 현재 NHN 커머스는 ISMS 인증을 취득한 상태인데요. 추후 국제인증인 ISO 27001(정보보안)과 27701(개인정보보호) 인증 취득을 준비하고 있습니다. 또한 해외 고객분들도 유입이 많이 되는 추세여서 유럽연합의 개인정보 보호규정인 GDPR을 준수할 수 있도록 보안 환경을 개선하고 있죠. 이러한 인증들은 보안성 강화뿐만 아니라 고객분들의 신뢰성을 높일 수 있는 중요한 지표가 된다고 생각해요. 결론적으로 NHN 커머스의 서비스를 고객분들이 안심하고 이용할 수 있도록 하는 것이 저희 파트의 목표입니다.

 

---

 

NHN커머스와 도전으로 찾는 나의 길

언제든 고객이 안심하고 서비스를 이용할 수 있도록 김수민 대리님과 박환춘 님의 도전은 계속됩니다!