인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 변화하는 보안 트렌드에 대응해 새로운 정보보호 정책을 고민하는 기업‧기관이라면, ‘제로트러스트’와 ‘포스트 망분리’를 빼놓고 말하기 어려울 것이다. 그런데, 이미 8년 전 이에 대한 논의를 치열하게 하고, 실제 적용한 곳이 있다. 바로 ‘카카오뱅크’다.

카카오뱅크는 서비스 기획단계부터 보안성을 함께 고려하며, 고객에게 쉽고 편한 보안전략을 추구한다. 2016년 설립된 인터넷전문은행 카카오뱅크는 출범 때부터 보안 내재화로 기존 은행과 차별화된 보안 전략을 보여준 바 있다.

2016년 카카오뱅크에 합류한 민경표 최고정보보호책임자(CISO)는 태동부터 현재까지 카카오뱅크의 남다른 보안전략을 함께 해 왔다. 카카오뱅크 보안은 단순히 법‧규제를 따르는 것을 넘어, 법에서 말하는 취지를 이해하면서도 서비스 경쟁력을 동시에 키울 수 있는 방안을 끊임없이 찾고 있다.

카카오뱅크 민경표 CISO는 <디지털데일리>와의 보안리더스 인터뷰를 통해 “카카오뱅크에 처음 왔을 때 놀라우면서도 한 편으로는 ‘그렇지, 이래야지’라는 마음이 들었다”며 “법규 뒤에 숨은 보안 담당자들이 많은데, ‘법에서 이렇게 하라고 했다’는 답이 가장 쉽기 때문”이라고 말했다.

이어 “보안 목적만 달성하는데 주력하게 되면, (금융) 서비스 본질의 경쟁력과 가치는 떨어진다”며 “법에서 명확하게 규정된 제도를 지키되, 그 외 부분에서는 (서비스 경쟁력을 키울 수 있도록) 자율성을 줘야 한다. 물론, 자율성이 부여된 영역에서 보안 부담과 책임은 더 커진다”고 전했다.

◆카카오뱅크가 공인인증서를 없앤 진짜 이유 ‘제로트러스트’

대표적인 사례가 공인인증서다. 카카오뱅크는 출시 초기 공인인증서 없는 금융서비스로 많은 주목을 받았다. 2014년부터 ‘천송이코트’로 공인인증서 논란이 지속됐기에, 보안수준을 높이면서도 불편함을 줄인 카카오뱅크 등장에 시장의 호응이 컸다.

금융사 최초로 공인인증서 없는 금융 서비스를 선보이게 된 배경에는 제로트러스트가 있었다. 카카오뱅크가 발급한 인증서만 신뢰하겠다는 프레임으로 바꾼 것이다. 카카오뱅크 책임을 키우고, 이용자 편의성을 높이는 방향으로 전개됐다.

민경표 CISO는 “당시엔 제로트러스트라는 용어를 쓰지 않았지만, 이는 아무도 믿지 말라는 현재의 제로트러스트 개념과 같다”고 설명했다.

이전에는 금융거래를 할 때 안전한 이용자 환경을 사용자에게 먼저 요구했다. PC에 백신 프로그램을 내려받고, 다중이용시설에서 PC를 사용할 때 비밀번호가 노출되지 않도록 주의하라는 말을 여러 번 들었을 것이다. 공인인증서는 보안 문제보다는 도용 이슈가 있었기에 이용자에게 검증을 요청했고, 공인인증서 이슈가 발생했을 때 금융사가 해 줄 수 있는 건 없었다.

하지만, 카카오뱅크는 이용자가 아닌 금융사가 책임을 지는 구조다. 카카오뱅크는 고객이 신뢰할 수 있는 디바인스인지 먼저 확인하는 이용자 디바이스 인증 기술을 결합한 인증서를 내놓았다. 공인인증서가 아닌 카카오뱅크가 인증서를 발급하기 때문에, 그에 대한 책임도 온전히 카카오뱅크에 있다. 책임 측면에서 부담스러울 수 있지만, 사용성이 편리한 보안성을 추구하는 카카오뱅크 가치와 맞았다.

고객이 다가가기 쉽고 사용이 편한 보안을 지향하는 건, 지금도 계속된다. 최근 카카오뱅크는 안면인식기술을 활용한 ‘셀카OTP’를 베타서비스로 적용했다. 고객 서비스 이용 형태 및 패턴을 분석하는 ‘무자각 지속인증’ 기술 구현으로, 별도 절차 요구 없이도 부정거래를 사전예방할 수 있다.

민 CISO는 “이용자는 통상적인 서비스를 사용할 뿐인데, 자꾸 본인이 왜 본인인지 소명하라고 한다”며 “무자각 지속인증 기술은 예를 들어, 고령의 이용자가 평소 패턴과 달리 사람이 낼 수 없는 속도로 글자를 입력했을 때 이상 행위로 의심하고 본인이 맞는지 묻는 식”이라고 부연했다.

◆혁신 금융서비스를 위한 차별화된 망 설계

이와 함께 카카오뱅크는 포스트 망분리라는 개념을 지속적으로 생각하며, 8년 전 차별화된 망 설계를 구현했다.

혁신 금융서비스를 지속적으로 제공하기 위해서는 글로벌 최신 기술‧정보에 자유롭게 접근하고, 연구개발 활동을 통해 적용해 볼 수 있는 임직원 인터넷 업무환경 제공이 필수적이다. 금융회사로서 인터넷 망 분리 등 컴플라이언스를 준수하고 기존 금융회사 대비 높은 보안 수준을 목표로 은행의 업무환경를 마련하는 것은 보안 인프라 구축과 보안정책 설계 측면에서 쉽지 않은 도전이었다.

민 CISO는 “보통 내부망에서 인터넷을 쓰지 말라고 하며 업무환경을 제약한다. 인터넷은행에서 인터넷을 쓰지 말라는 게 맞지 않는다”며 “기술 시대인데, 기술과 분리된 환경에서 경쟁력을 가지라고 요구할 수 없다. 규제를 준수하면서 창의적인 업무 환경을 만들어야 하기에, 법에서 말하는 망분리 취지를 계속 고민했다”고 말했다.

이에 카카오뱅크는 데이터와 업무 중요도를 기준으로 망을 분리했다. 임직원 업무 환경을 대고객 금융서비스와 물리적으로 망을 나눴다. 규제할 곳과 창의성‧자율성을 보장해야 할 곳을 구분한 것이다. 구성원 경쟁력을 높이기 위한 기존 금융사와 다른 망 설계였다. 동시에, 규제하지 않는 곳에 오히려 더 많은 보안투자를 진행해 안전한 금융서비스를 구현할 수 있도록 했다.

민 CISO는 “마이터어택(MITRE ATT&CK) 프레임워크 등을 활용한 위험평가를 통해 다중 보안체계(Multi-layered Security) 관점에서 최신 보안기술 및 솔루션을 업계 최고 수준으로 적용했다”며 “물병이 고정된 상태라도 뛰어가는 누군가가 건드려 깨지는 등 외부 충격을 받을 수 있는 것처럼, 리스크는 다양하기에 겹겹이 쌓아올린 보안을 중요하게 생각했다”고 설명했다.

다중보안체계를 적용하면, 위험이 닥쳤을 때 한 번에 노출되지 않는다. 한 쪽이 약해져도, 다른 쪽에서 보완이 가능해진다. 완화된 위험을 위해 보다 많은 솔루션을 탑재시켰다. 또, 보안솔루션 연계와 보안 이벤트 분석 및 통합모니터링 시스템을 자체 개발‧구축한 점도, 카카오뱅크 정보보호실의 경쟁력 중 하나다.

이처럼 공인인증서를 없애고, 차별화된 망분리 설계를 꾀하고, 통합모니터링 시스템을 자체 개발한 것 모두 카카오뱅크가 법‧규제 이상의 적극적인 보안 노력으로 꼽힌다.

민 CISO는 “제도가 있으면, 오히려 뒤에 안전하게 서 있을 수 있다. 그러면서 법규 뒤에 마음 편히 있지는 않았는지 생각해야 한다”며 “금융사는 이용자를 불안하게 하면 안 되기 때문에, 자율적 환경에서 훨씬 강화된 보안을 해야 한다. 이는 포스트 망분리 시대에도 분명 도움이 될 것”이라고 강조했다.

<다음 기사에서 계속>

◆민경표 카카오뱅크 CISO 주요 약력

▲1997년~2012년 한국투자증권 IT전략 담당자

▲2012년~2016년 한국투자증권 정보보호담당자

▲2016년~2022년 카카오뱅크 정보보호기술 팀장

▲2022년~ 현재 카카오뱅크 정보보호최고책임자

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -