채용 솔루션 서비스 '그리팅'의 정일권 두들린 최고정보보호책임자(CISO·Chief Information Security Officer)는 두들린의 사업 확장 속도를 "전 직원이 모두 시속 200㎞로 질주하는 것 같다"고 비유했다. 소규모 조직이 빠르게 비즈니스 모델을 검증하고 시장을 확대해 나가는 스타트업의 전략상, 보안 강화는 때론 달려나가는 기업의 뒷다리를 잡는 거추장스러운 것처럼 여겨질 때도 있다.
그렇다고 한 번 잘못되면 대형사고로 이어지는 보안 문제를 마냥 후순위로 제쳐둘 수 없을 터. 정보보호 책임을 맡은 스타트업 CISO 세 명이 만나, 스타트업의 보안을 강화할 수 있는 방안에 대해 머리를 맞댔다.
지난달 8일 서울 여의도 전경련회관에서 개최된 한국침해사고대응팀협의회 '해킹방지워크샵'에서는 △정일권 CISO와 △라이프스타일 서비스 '오늘의집' 운영사 버킷플레이스의 국태호 CISO △중고거래 플랫폼 '당근마켓'의 이동현 CISO가 스타트업 보안에 대한 대담을 가졌다.
세 CISO는 운용 중인 서비스에서 위법 사항이 발견됐을 때, 서비스의 생산성과 안전성 중 어떤 것을 우위에 둬야 하는지 의견을 나눴다. 이 CISO는 "비즈니스의 효율성, 편의성과 보안 강화의 접점을 찾는 건 모든 보안 담당자의 고민"이라면서 "당근마켓처럼 계속 성장해야 하는 스타트업이라면 생산성을 택하겠다"고 말했다. 국 CISO는 "모든 회사의 고민이겠지만 스타트업이기 때문에 더 많은 생산성이 요구되는 것은 사실"이라면서 "위법한 사항을 해결해야 하겠지만, 우선순위와 시기는 조정한다는 원칙을 세우고 있다"고 밝혔다. 국 CISO는 "경쟁사는 어떤 상황인지, 고객들의 개인정보는 어떻게 처리되고 있는지, 과태료가 부가될 수 있는지 등 5개 기준을 통해 위험의 수준을 종합적으로 판단한다"고 덧붙였다.
서비스를 기간 내에 개발해야 하는 최고기술책임자(CTO·Chief Technical Officer)와 원만한 관계를 유지하는 것도 CISO의 과제 중 하나다. CTO는 속도를 중시하는 반면, CISO는 늦더라도 보안을 강화하는 원칙을 내세우는 위치에 있어서다. 정 CISO는 "모의해킹이나 취약점 점검을 통해 나오는 보완 사항을 즉시 알려주되, 개발팀이 개발 일정 내 해결할 수 있게끔 지속적으로 정기회의를 갖고 소통하는 게 필수"라고 설명했다.
또한 스타트업 보안팀은 소수의 정예 인력만으로 최대한의 효과를 내야 한다. 초기 스타트업의 경우 백지 상태에서 보안 시스템을 구축해야 하는데다, 인력 충원의 한계가 있기 때문에 최대한 양질의 보안 인력을 채용하는 게 매우 중요하다. 국 CISO는 "보수적인 답만 내놓는 지원자보다는 새로운 시도로 답을 찾고 스스로 학습하는 성향이 있는 지원자를 선호한다"고 말했다. 정 CISO는 "한 조직에 똑같은 시각을 가진 사람이 2명일 필요는 없다"면서 "가급적 나와 다른 관점에서 논리적으로 문제를 풀어갈 수 있는 지원자를 채용하고 싶다"고 강조했다.