[人사이트] 최중섭 코인원 CISO “보안 10년 무사고 이상 無… 제로트러스트”

Photo Image
최중섭 코인원 최고보안책임자(CISO)

“보안 10년 무사고, 목표가 아니라 당연히 거쳐야 할 중간 과정의 하나라고 생각합니다. 이후로도 보안 체계들이 잘 유지돼 안전을 이어가는 것이 더 중요합니다.”

최중섭 코인원 최고보안책임자(CISO)는 코인원의 보안 무사고 10주년을 2개월여 앞두고 이같이 소회를 밝혔다. 2014년 2월 설립된 코인원은 새해 2월 10주년을 맞이한다. 회사 설립 이후 한번도 외부 해킹 침입을 허용한 적 없다는 자부심을 갖고 있다.

가상자산거래소는 해커의 주요 공격 타깃이다. 보안 취약점이 간파되면 거래소와 고객이 보관하고 있는 수백억, 수천억원 규모 가상자산이 위험에 노출된다. 한때 글로벌 최고 점유율을 자랑했던 일본 거래소 마운트곡스는 2011년 비트코인 64만7000개(당시 시세 기준 약 4억달러)를 해커에 탈취당해 파산했다. 국내 대형 거래소도 수백억원 규모 해킹 피해를 본 사례가 있다.

코인원은 10년 가까이 이어진 해커의 공격을 성공적으로 방어했다는 점을 인정받아, 12월 '제 22회 정보보호대상'에서 대상에 해당하는 과학기술정보통신부 장관상을 수상했다. 국내 정보보호 분야에서 최고 권위를 인정받는 상을 수상한 것은 가상자산 업계에서 코인원이 처음이다.

최중섭 CISO는 “지난해 코인원에 합류했을 당시에도 보안 체계가 탄탄하다는 인상을 받았고, 특히 임직원의 투철한 보안 의식에 대해서 좋은 심사평을 얻어 큰 상을 받았다고 생각한다”며 “보안 측면에서는 모든 면에서 업계 1위라고 자부한다”고 강조했다.

통상 정보기술(IT) 기업은 IT 예산의 5% 정도를 보안에 쓴다. 코인원은 인건비를 제외하고도 IT 예산의 10% 이상을 보안에 투자해 업계 주목을 받았다. 가시적으로 드러나는 대표적인 보안 실적이 'SDLC(Secure software development life cycle)' 체계 도입이다.

SDLC는 소프트웨어의 개발 주기에 보안 강화를 위한 프로세스를 포함하는 체계를 뜻한다. 코인원은 이에 기반해 시스템을 개발하는 과정에서 사용된 소스코드 전부를 릴리즈에 앞서 회사 내부와 외부 모두에서 보안 검토를 진행한다. 코드를 하나하나 꼼꼼하게 뜯어보는 과정에서 비용과 시간이 많이 들기 때문에 일반적인 IT 기업들은 SDLC 도입을 어려워한다.

최 CISO는 “최소한 우리가 개발해 제공하는 서비스에는 절대 보안 취약점이 있어서는 안 된다, 공격의 여지가 있는 구멍을 최소화해야 한다라는 취지에서 SDLC를 비롯한 상시 점검체계를 갖추고 있다”고 설명했다.

코인원은 내년에는 '제로트러스트' 시스템 구축을 본격화할 예정이다. 제로트러스트는 '기업 내 모든 상호작용이 신뢰할 수 없다는 상태로 시작된다'는 전제를 토대로 보안 아키텍처를 설계하는 방식을 뜻한다. 외부의 공격뿐만 아니라 내부에서도 허가받지 않은 사용자나 단말기에 대한 접근을 통제하는 보다 철저한 형태의 보안개념이다.

최 CISO는 “새해에는 그동안 준비해 왔던 제로트러스트 첫 번째 어프로치가 적용이 될 수 있을 것”이라며 “일반 사용자들은 인증 편의성을 비롯해 사용성이 향상된 형태로 체감할 수 있을 것이고, 보안 담담자 입장에서도 정보 접근자에 대한 파악과 판단에 대한 효율성이 더욱 높아질 것으로 기대한다”고 말했다.


이형두 기자 dudu@etnews.com


브랜드 뉴스룸