리디의 CISO는 이런 생각으로 일합니다

10 Dec 2021

“믿고 쓰는 서비스”를 함께 만들어가고 있습니다.

‘믿고 쓰는 서비스’의 필수 조건은 뭘까요? 든든한 보안을 빼놓을 수는 없을 것입니다. 서비스에 차곡차곡 쌓이는 내 정보가 제대로 보호되는지 확신할 수 없다면, 아무리 화려하고 편리한 서비스라도 마음 놓고 이용하기 꺼려질 테니까요. 눈에 띄진 않지만, 우리가 믿고 쓰는 서비스에는 철저한 보안을 고민하는 사람들이 있습니다. 리디 서비스의 보안을 책임지는 서지혁 님을 만났습니다.

Q. 안녕하세요, 지혁님. 리디에서 어떤 일을 하고 계신가요?

리디의 정보보호 최고 책임자(CISO) 서지혁입니다. 정보 자산과 고객의 개인정보를 안전하게 지키는 일을 하고 있습니다. 보안 안정성을 인정받을 수 있는 감사와 평가 제도에 응하기도 하고요. 한국인터넷진흥원(KISA)의 ‘정보보호 관리체계(ISMS)’ 인증이 대표적입니다.

보안 감사는 매년 받고 있지만, 단순히 감사를 통과하는 데에만 그치지 않으려고 합니다. 리디의 자체적인 보안 기준은 감사에서 요하는 것보다 높게 설정하고 있습니다.

Q. 더 높은 기준을 세워야 하는 이유가 있을까요?

인증 기준이 산업의 변화 속도에 완벽히 맞추기는 어렵다고 생각해요. 기준에 부합하는 것은 기업이 다해야 할 최소한의 책임이라고 여기고 있습니다. 자체적으로 높은 기준을 설정하는 것이 옳다고 생각해요. 보안 인증을 획득하는 것은 안전한 시스템에서 나오는 부수적이면서도 당연한 결과여야 하고요.

투명할수록 안전하다

Q. 보안을 위한 리디만의 노력이 궁금합니다.

리디는 2019년부터 버그 바운티(Bug Bounty) 프로그램을 운영하고 있어요. 버그 바운티는 불특정 다수가 소프트웨어를 기술적으로 분석할 수 있도록 허용하고, 그 과정에서 발견한 보안 취약점을 제보받아, 정해진 기준에 따라 보상하는 프로그램이에요. 보안을 위한 투자인 셈이죠.

리디가 버그 바운티 프로그램을 공개한 이후로, 국내 기업들도 이 제도를 많이 도입하는 추세예요. 버그 바운티 프로그램 운영을 위한 플랫폼들도 생겨나고 있고요.

이 프로그램을 오픈한 날 해킹 시도가 확 늘어났었어요. 또, 버그 바운티를 통해 보완한 취약점은 기록으로 남겨 외부에 공개하고 있는데요. 아무리 제거된 취약점이라도 이걸 외부에 공개하는 게 위험하진 않은지 우려의 목소리도 있었습니다. 여러 성장통을 거치긴 했지만, 실제로 버그 바운티 프로그램이 리디의 보안 향상에 큰 기여를 한다고 판단합니다.

Q. 이런 방법을 택한 이유는요?

버그 바운티 프로그램을 통해 외부 보안 전문가들의 도움으로 리디의 서비스의 취약점을 조기에 발견하여 고객의 개인정보를 보호하고, 조직 전체에 걸친 보안 정책을 개선할 수 있다고 봐요. 보안 연구자들과 기업의 인센티브를 일치시킬 수 있는 효과적인 방법이라고 생각합니다.

회사가 성장하면서 새로운 코드가 만들어지는 속도가 점점 빨라지다 보면, 자칫 보안을 놓치게 될 수도 있다고 생각해요. 그럴 때일수록 보는 눈을 많이 확보하면 결함이나 취약점을 더 빠르게, 많이 발견할 수 있겠죠.

Q. 대개는 기업의 보안에 대해 외부에 이야기하거나 드러내는 것을 조심스러워할 수도 있을 것 같은데요.

투명해서 나쁠 게 없다고 봐요. 보안이 베일에 감싸여 있을 필요가 있나? 그런 생각도 합니다. 버그는 필연적으로 생길 수 밖에 없다는 사실을 인정하되, 취약점을 빠르게 찾고 고치는 자세가 건강하다고 생각해요.

모두가 신뢰하는 서비스

Q. 리디의 CISO 로 일하면서 고수하는 원칙이 있을까요?

리디는 고객 개인정보의 보안을 가장 중요한 가치로 여깁니다. 개인 정보의 범주는 고객의 기준에 맞춰 정해야 한다고 생각해요. 설령 어떤 정보가 법정에서 개인정보로 인정되지 않더라도, 고객은 서비스에 쌓아둔 모든 정보가 안전하게 보호될 것이라고 기대할 겁니다.

그래서 리디는 고객을 통해 수집한 모든 정보를 개인 정보로 본다는 최대한 넓은 범위의 정의를 적용합니다. 개인 정보라고 하면 이름, 성별 등의 신상 정보만 떠올리기 쉽지요. 하지만 리디북스에서는 도서 구매와 감상 등의 이용 내역, 형광펜 색칠 내용과 독서노트, IP 주소나 서버 로그 등의 메타데이터도 필연적으로 수집하게 되는데요. 이 역시 리디가 안전하게 보호하고자 하는 개인 정보의 범위에 들어갑니다.

또, 보안에 있어서 완벽한 시스템은 없다고 생각합니다. 개발자라면 누구나 그렇듯이, 언제든지 실수할 수 있고, 발견하지 못한 취약점이 있을 수도 있다는 것을 부인하지 않습니다. 상황과 환경은 계속 바뀌니, 처음 안전했던 코드가 언제까지나 안전할 것이라고 보장할 수도 없고요.

아무리 노력해도 소용없다는 얘길 하고 싶은 게 아니에요. 완벽한 시스템을 만들 순 없겠지만, 지금 주어진 상황에서 안전한 제품을 만들고자 합니다. 새로운 해킹 사례와 전략이 매일같이 쏟아져 나오고, 어제 작성한 코드가 오늘은 잠재적인 취약점이 될 수 있는 환경 속에서 냉소하지 않는 자세가 중요하다고 생각합니다.

Q. ‘정보보호 최고 책임자’라는 단어에 지혁님이 어떤 의미를 부여했을지 궁금합니다!

처음 이 자리에 앉았을 때 제가 부여받은 권한을 허투루 쓰고 싶지 않다고 생각했어요. 보안과 관련된 최종적인 결정을 할 수 있는 자리니까요. 리디에 처음 합류했을 때부터 새롭고 효과적인 보안 기술을 도입하거나 오래된 내부의 흠집을 고치고 싶었는데, 그런 일을 지금 하고 있어요.

막상 CISO가 되어 일해보니, 그 책임의 범위와 무게가 실감나기도 합니다. 예전에는 리디북스 제품 자체의 보안에만 집중하고 일할 수 있었다면, 지금은 더 넓은 범위에서 보안을 생각하게 되었어요. 보안은 고객의 개인 정보뿐만이 아니라, 사업 전반이 차질 없이 운영될 수 있도록 연속성을 지키는 일이기도 해서요. 앞으로도 임직원에게는 믿고 달려나갈 수 있는, 고객에게는 믿고 쓸 수 있는 안전한 제품을 만들고자 합니다.

Q. 리디에서 CISO로 일하는 데는 어떤 장점이 있을까요?

리디가 가진 가장 큰 장점은 직급과 관계 없이 가장 잘 아는 사람이 결정할 수 있는 환경과 그 결정을 함께 실행에 옮길 수 있는 뛰어난 동료들이 있다는 것입니다.

앞서 말씀드린 버그 바운티 프로그램을 도입하게 된 것도, 당시 보안에 관심이 많은 팀원이었던 저의 제안에서 시작되었습니다. 버그 바운티 제도를 도입하고 외부 보안 전문가들이 신뢰할 수 있는 투명한 프로그램을 운영한다면, 서비스에 존재할 수 있는 취약점을 빠르게 발견할 수 있겠다는 확신이 들었습니다. 그래서 곧바로 CTO를 설득해 명문화된 프로그램을 만들어 운영하기 시작했죠.

또, 안전한 소프트웨어를 작성하기 위한 기술을 적극적으로 도입하는 문화 덕분에 확신을 가지고 일하고 있습니다. 결과적으로 개인정보를 안전하게 다루는 데 타협할 필요가 없습니다. 그리고 무엇보다도 이 모든 것을 뒷받침해 주는 뛰어난 동료와 함께하고 있어 많은 부담을 덜고 있어요.

Q. 앞으로 리디에서 새롭게 이루고 싶은 일, 기대되는 일이 있다면 무엇인가요?

리디가 최근 웹툰 구독 서비스 ‘만타(Manta)’로 글로벌 시장에 진출했어요. 만타 서비스가 성장해 나가면서, 글로벌 환경의 서비스가 가져올 새로운 도전이 기대됩니다. 리디북스에서 쌓아온 튼튼한 기반에 만타를 통해 얻은 새로운 경험과 통찰을 더해, 더 안전한 서비스를 제공할 수 있을 것이라고 생각해요.