최종편집시간 : 2018년 08월 16일 16:58
EBN
페이스북 트위터 네이버뉴스스탠드
실시간 News

[인터뷰] 백제현 여기어때 CISO "두번 실수는 없다"

회원정보·예약정보 분리보관 및 암호화 시행…해킹 데이터 활용 봉쇄
인공지능·빅데이터 활용 등 서비스 고도화 따라 정보보안 투자 늘려

김언한 기자 (unhankim@ebn.co.kr)

등록 : 2018-03-27 15:17

▲ 백제현 위드이노베이션 정보보호최고책임자(CISO).[사진=여기어때]

"전쟁에서 상대방을 과소평가하면 패배합니다. 기업도 똑같습니다. 우리 방패가 단단하다고 안심하는 순간, 날카롭게 다듬어진 창에 뚫릴 수 있는 것이 보안입니다."

백제현 위드이노베이션(여기어때) 정보보호최고책임자(CISO)는 해커와 방어자간의 싸움을 전쟁에 비유하며 이같이 말했다. 그는 "지난해 해킹 사건 후 체질개선에 주력해왔다"며 "지금은 이에 대해 보안 '사고' 사례가 아닌, 보안 '개선' 사례로 회자되고 있다"고 설명했다.

백 CISO는 업계에서 15년 이상의 경력을 가진 정보보안 전문가다. 다수의 기업에서 보안담당자로 몸담은 뒤 한국CISSP(국제공인정보시스템 보안전문가)협회에서 사이버포렌식 연구팀장, 보안연구부문장, 부회장을 거쳤다.

지난해 3월 여기어때는 고객 4000여명의 개인정보가 해킹돼 스팸문자 등이 발송되는 대규모 보안사고를 겪었다. 유출된 정보는 이메일, 연락처, 예약자 이름, 숙소 정보 등이다. 고객들이 받은 문자 중 일부에는 숙박업소를 언급해 성적 수치심을 유발하는 내용이 포함됐다. 숙박 O2O(온·오프라인 연계) 사업에서 가장 민감한 고객정보를 쉽게 노출했다는 비난이 쏟아졌다.

백 CISO는 여기어때가 해킹사건을 겪은 뒤 3개월 후인 지난해 7월부터 CISO로 합류했다.

27일 백 CISO는 EBN과의 인터뷰에서 "당시 여기어때의 '가장 약한 보안사슬이 끊어진 것'을 사고의 원인으로 보고 있다"며 "이에 따라 조직에 합류한 후 약한 보안사슬을 식별, 이를 강화하는데 많은 시간을 투자했다"고 강조했다.

백 CISO는 "O2O 숙박 사업 특성상 고객정보는 가장 중요한 정보일 수 밖에 없다"며 "지금은 고객정보를 별도로 분리해 보관함과 동시에 이를 암호화하는 조치를 병행하고 있다"고 밝혔다.

회원정보와 예약정보를 분리보관·암호화를 통해 고객정보에 대한 보안을 고도화했다는 설명이다. 설령 해커가 데이터베이스(DB)에 접근하더라도 이를 인식할 수 없도록 막는 '잠금장치' 역할이다. 예약정보를 숙박업소에 전송할 경우에도 실명·전화번호가 닉네임·가상번호로 대체되도록 했다.

▲ 백제현 위드이노베이션 정보보호최고책임자(CISO)가 올해 보안투자 계획에 대해 설명하고 있다.ⓒEBN

사내 보안을 위해선 업무망과 개인정보처리망을 분리했다. 개인정보처리 담당 직원들은 업무용 PC와 개인정보처리용 PC를 혼용해 사용할 수 없다. 불편함을 감수해야하지만 보안성을 강화하기 위한 조치다. USB 사용 차단을 위한 DLP(데이터유출방지) 솔루션, 기안 및 품의 시 보안 강화를 위한 절차도 새롭게 도입했다.

보안인력 운영에도 변화를 줬다. 부서 겸직을 최소화하고 각 기능의 업무에 집중할 수 있도록 CISO와 정보보안팀장의 직무를 분리했다. 보안기획과 보안운영, 개인정보보안 직무도 분리하는 방식을 채택했다.

백 CISO는 "지난해 IT 예산 대비 정보보호 예산이 15%를 상회하며 보안 투자를 늘려가고 있다"며 "올해 개발자 대규모 인력 충원, 인공지능(AI), 빅데이터 등 차세대 IT 기술 적용이 늘면서 보안 투자 역시 지난해보다 늘어날 것"이라고 예상했다.

아울러 여기어때는 올해 ISMS(정보보호관리체계) 인증 획득을 보안의 새로운 출발선으로 삼는다는 계획이다. 여기어때는 지난 2016년 매출 246억원을 달성하면서 ISMS 인증의무 대상이 됐다. 지난해 11월 ISMS 최초심사를 받은 뒤 올해 인증 획득을 앞두고 있다.

백 CISO는 "ISMS 인증이 사내 직원들의 보안 의식을 높일 수 있는 계기가 될 것으로 판단하고 있다"며 "하지만 미인증 기업이 패널티를 받는 것과 반대로 인증기업에게 혜택이 없다는 점은 아쉬운 부분"이라고 지적했다.

그러면서 그는 "지난해 보안사고 후 짧은 시간 내 보안수준을 높여온 데는 경영진과 회사 직원들의 노력이 있었다"며 "임직원들 모두 '보안 사고가 두 번은 없어야 한다'는데 깊이 공감하고 있다"고 말했다.

SPONSORED