인터뷰해피톡 보안은 내게, 정보보호책임자 JM 이야기


IT 솔루션과 보안. 

뗄래야 뗄 수 없는 사이죠.

그만큼 IT 솔루션에서 보안은 매우 중요한데요. 


자칫하면 큰 피해를 입을 수 있기 때문입니다.

사실 해피톡은 2021년 해킹사고를 한 번 겪었어요.


국내 최초로 채팅상담 솔루션을 개발해 운영해 온 해피톡. 

업계를 처음 이끌어나가다보니 미처 살피지 못한 틈새가 발생했는데요.

그러다 안타까운 해킹 사고가 발생했어요. 


과거 그 현장에 있었고, 

현재 해피톡의 탄탄한 개인정보 보안을 위해 힘쓰는 JM 이야기를 만나 보시죠-! 




😁 간단한 자기소개와 팀 소개를 부탁드립니다.



안녕하세요~~. 저는 해피톡에서 정보보호책임자 CISO를 맡고 있는 JM이라고 합니다. 

2016년 해피톡 창립부터 지금까지 8년째 근무중입니다. 

현재는 정보보안팀을 맡아 해피톡의 보안을 책임지고 있습니다. 


정보보안팀은 TFT 성격의 팀이에요. 

전반적인 업무는 크게 5가지로 나눌 수 있어요. 


1. 사내 개인 정보 보호 


사내 직원의 개인정보가 외부로 유출되는 일을 막고 관리하는 업무를 하구요. 

다른 하나는 고객사 측에서 요청한 개인정보 반출 여부를 승인합니다. 


2. 정보 보호를 위한 정책 수립 및 실행 


보안을 위한 사내 정책을 수립해요. 

내부 관리 계획, 암호화 지침, 위험 관리 계획으로 나누어 실행하고 있어요. 


3. 서비스에 적용되는 개인정보 정책 및 시스템 점검 


개인정보를 어떻게 취합하고, 보관하고, 파기할 지 정책을 세워요. 

그리고 정책에 취약한 부분은 없는지. 실제로 해킹이 발생했을 때 견딜 수 있는지. 이런 부분들을 점검하는 업무입니다. 

실제 모의 해킹을 통해 확인도 해요. 


4. 정보보호관리체계 인증 기관 심사 전담


ISO 27001, ISMS 등 정보보호관리체계 인증 기관으로부터 심사받는 업무를 맡아서 진행해요. 


5. 위탁사가 요청한 개인정보 점검 대응 


고객사 측에서 저희 해피톡이 개인정보를 어떻게 저장하고 활용하는지 확인을 하는 게 '개인정보 점검'이라고 보시면 돼요. 

저희 측에서 마련한 시스템이 안전한 지 점검하는 업무죠. 서면과 실사 두 방법으로 이루어지는데요. 

고객사의 80% 정도가 연 1-2회 정도 점검 요청을 하고 계세요. 



🌳  업무하면서 가장 기억에 남는 일은?  


(21년 7월 발생한 해킹 관련 기사)


아무래도 2021년 발생했던 해킹사고가 가장 기억에 많이 남죠... ㅠㅠ 


2021년 7월 말 주말이었어요.

갑자기 해피톡 서버가 다운되는 장애가 발생했습니다.


처음에는 기능적으로 '무언가 이슈가 있나보다..' 하고 문제 파악을 시작했어요. 

그런데 자세히 보니 기능적인 측면이 아니라 ‘인위적인 개입’이 느껴지는 상황을 발견했습니다. 


점차 해킹 쪽으로 의심이 되었고, 결국 수요일 쯤에 해킹으로 밝혀졌습니다.

해킹이 확실해지자 즉시 고객사와 연락을 하고, KISA(한국인터넷진흥원)에 신고를 하며 대응에 나서게 되었습니다. 


이 과정에서 개발팀은 2개 조로 나뉘어 밤샘 근무를 1달 정도 진행했어요. 

개발팀 외에도 전직원이 문제를 해결하기 위해 매달렸죠. 

약 2달 정도는 정말 끝없이 밤샘야근을 한 듯 합니다 ㅠㅠ.

다시 돌아가라면 솔직히 퇴사하고 싶을 정도로요... ㅋㅋㅋ



🙊  당시 대처는 어떻게 하셨나요?


(해킹사고 직후 해피톡은 실시간 모니터링 시스템 도입과 함께 A사에서 보안이 뛰어난 B사 클라우드로 전환했다)


관련 팀원들이 모여 두 가지 우선순위 원칙을 정했어요. 


첫 번째는 추가 피해 발생 예방이었어요.

두 번째는 고객사 측에게 투명한 정보 공유였습니다. 


이를 바탕으로 빠르게 움직였어요. 


우선, 기존의 불안정한 시스템을 과감히 버리는 선택을 했습니다. 

A사 클라우드에서 B사 클라우드로 저희 시스템을 완전히 옮기는 작업을 했습니다.

사용하던 클라우드 환경을 완전히 교체했어요. 

그러면서도 서비스를 중단할 수는 없었어요.


이 부분이 정말 너무너무 힘들었습니다. 

참 어려운 게 각 회사마다 클라우드 특성이 전혀 다르거든요.

A사 클라우드에서 멀쩡히 작동하던 서비스가 B사 클라우드에서는 오작동하는 경우가 많아요.

그런데 해피톡 같은 경우 250여개의 크고 작은 서비스가 모여서 작동하는데, 이 모든 서비스를 옮겨야 했죠.

신경 쓸 게 정말 많았고 그러면서 동시에 서비스는 계속 돌아가야 했어요.


비유를 하자면 이건 부산에 있는 집을 다 뜯은 다음에, 서울에 그 모양 그대로 옮기는 일으로 비유할 수 있을 거 같아요. 

그런데 그러면서도 부산에 있는 집은 부수면 안 되는 거였고.... 하하 

(이걸 2달 만에 했으니 지금 생각해도 정말 어떻게 했나 싶네요..😅 )


그러는 동시에 피해규모를 정확하게 파악하고, 고객사에게 빠르게 소식을 공유했죠. 


(당시 3개조로 나누어 밤샘 철야를 하던 모습)


😩 그 과정에서 느꼈던 점이 있으실까요?


(JM이 관리하는 서류들)


'보안은 현실적으로 지킬 수 있는 게 가장 중요하다!'는 걸 느끼게 됐어요.


사실 그 당시에도 보안 정책은 있었어요. 

KISA나 개인정보위원회 같은 기관에서 제공하는 보안 가이드를 그대로 가져왔죠. 


그러다 보니 실제 업무 환경에 적용하기에 약간 어려움이 있었어요. 

점점 형식적이 되었고, 그렇게 틈이 생기게 되어 해킹의 빌미를 제공하게 되었습니다. 


해킹사고를 겪으며 '현실적으로 우리 환경에 맞는 보안 정책을 잘 지키는 게 중요하다' 라는 걸 크게 느꼈어요. 

'이 부분에 조금의 타협이 있어서는 안 되겠다!'는 마음을 갖게 되기도 했구요. 


한편으로는 너무 힘들고 아픈 일이었지만, 

돌이켜보면 그때 시스템 구조를 완전히 재설계 한 게 오히려 다행이라는 생각도 들어요.

이후 회사의 개발 속도가 향상하는데 큰 도움이 되었거든요. 



🙏  이후 어떤 보완을 했는지? 


‘보안의 수준을 높이고, 현실적으로 우리 환경에 적용하는 게 중요하다.’

라는 목표를 갖고 새로운 보안 정책을 수립하기 시작했어요. 


우선 우수한 보안 기준인 ISMS 인증을 기준으로 삼았어요.

이전의 실패를 바탕으로 실제 해피톡 업무 환경에 맞게 적용할 수 있도록 노력을 했죠. 

단순히 현실적인 측면만 고려한 건 아니었어요.

정보보호 컨설팅 회사인 이지시큐의 컨설팅을 받아 안정성 역시 확보할 수 있었습니다.


단 하나의 빈틈도 남기지 않기 위해 네이버 클라우드가 제공하는 실시간 해킹 대응 모니터링 시스템도 도입을 했구요.


그렇게 약 1년 정도를 준비해 올 4월 상담솔루션 업계 최초로 *ISMS 인증을 받게 되었어요. 


(지난 4월 엠비아이솔루션은 상담 솔루션 업계 최초로 ISMS 인증에 획득했다)


*ISMS(정보보호 관리체계 : Information Security Management System)  인증이란?  

기업의 주요 정보자산 보호를 위한 관리 체계를 적절히 수립해 정보 유출 피해를 사전에 예방하고 대처할 목적으로 만든 공인 인증 제도로, '관리체계 수립 및 운영'과 '보호대책 요구사항' 2개 영역에서 총 80개의 고시 기준을 모두 충족한 기업에 대해 한국인터넷진흥원(KISA)에서 평가한 후 인증을 부여합니다.



😘 향후 목표는? 


두 가지가 있을 것 같아요.

우선, 제가 담당하고 있는 정보보안 부분에선 앞으로도 지금 수준의 보안을 조금씩 발전시키는 게 향후 목표에요. 

이미 충분히 안정성이 검증된 ISMS 인증을 받았지만, 방심할 수 없다는 생각입니다. 

언제든 문제가 생기면 즉각 대응할 수 있는 체계 수립 등 시스템적으로 더 발전시키려고 해요. 


다른 하나는, 국내 최초로 채팅상담솔루션을 만든 해피톡의 상장입니다. 

창립부터 지금까지 해피톡이 꾸준히 성장하는 걸 보아왔는데요. 

상장하는 모습을 꼭 보고 싶네요. 





해피톡의 솔루션들을 무료로 체험해보세요