Ep13. 빌런즈 인터뷰: 정보보호셀 편

Q. 각자 셀에서 맡고 있는 역할과 업무를 소개해 주세요.

영화님: 정보보호 셀 리더를 맡고 있는 정영화입니다. 저는 회사의 전체적인 서비스와 그리고 개인정보에 관련된 부분들을 안전하게 지킬 수 있도록 총괄 업무를 담당하고 있습니다. 자세하게는 회사의 정보보호 정책과 절차를 수립하고, ISMS 인증과 대외 감사 대응을 총괄하고 있습니다. 이런 기준들을 실제 서비스에 적용하고 운영될 수 있도록 관리하는 역할이죠. 또한 신규 서비스나 기존 운영의 변경 사항이 있을 때, 개발·데이터·마케팅·고객센터 등 여러 조직과 협업해 안전하게 비즈니스에 반영될 수 있도록 조율하고 지원하고 있습니다.

청민님: 고청민입니다. 합류한 지는 이제 3년 정도 되었고요. 저도 영화님과 동일하게 회사 전체에 대한 개인정보나 정보보호 업무를 기획하고 운영하고 관리하는 업무를 맡고 있어요.

정현님: 안녕하세요. 저는 보안 솔루션 운영을 맡고 있는 양정현입니다. 내부에 인소싱된 시스템인 온프레미스와 클라우드 환경에서 보안 솔루션을 담당하여 운영을 하고 있고, 합류한 지는 1년 4개월된 6년 차 Security Engineer입니다.

Q. 세분 외 나머지 셀 구성원들의 역할도 궁금해요.

영화님: 저희 구성원들은 각자의 전문 분야를 맡고 있습니다. 경수님은 모의 해킹과 그에 따른 대응 전략을 수립하고, 은영님은 개인정보 관련 컴플라이언스 대응을 담당하며, 영재님은 AWS 클라우드 환경 보안 아키텍처 설계와 대책 수립을 맡고 있습니다.

Q. 정보보호셀의 미션을 어떻게 표현할 수 있을까요?

영화님: 저희 팀의 공통된 기조는 늘 같았어요. 고객들이 삼쩜삼 서비스를 불안감 없이 안심하고 사용할 수 있게 하는 것이 저희 셀의 역할이라고 생각해요. 데이터를 바탕으로 신뢰를 주는 업무가 저희 미션의 핵심이며, 항상 안전하고 신뢰할 수 있는 서비스를 제공하는 것이 저희의 미션이라고 봐요. 조금 더 설명하면, 저희 회사가 비즈니스 상으로 나가고자 하는 방향성에 있어서 최소한 저희가 지켜야 될 마지노선 같은 역할을 하는 것 같아요. 일종의 브레이크 장치처럼 보안 체크를 통해 서비스와 비즈니스가 안정적으로 출발하고 유지될 수 있도록 하는 조직이라고 생각합니다.

Q. 현재 정보보호 셀이 가장 집중하고 있는 과제가 있을까요?

청민님: 예전과 달라진 점은 서비스가 정말 많아졌다는 겁니다. 3.3 환급 외에도 더 다양한 환급 서비스가 생겼고, 회사 차원의 새로운 비즈니스도 늘어났어요. 그래서 각 분야별 보호 대책을 어떻게 수립할지, 그 부분에 집중하고 있습니다.

영화님: 청민님이 말씀하신 것처럼 신규 사업이 다각화되다 보니까 개인 정보나 보안을 요구하는 요건들이 되게 높아졌거든요. 그래서 신규 비즈니스들이 빠르게 안착되고 안전하게 시행할 수 있도록 하는 것을 1순위 업무 순위로 좀 잡고 있고요. 그 다음에 거기에 병행해서 기존 서비스들에서도 지속적으로 발생하는 문제점에 대해 빠르게 재발 방지 대책을 적용해서 좀 더 효율적으로 기존 서비스가 안정적으로 돌아가게 할 수 있도록 집중하고 있다고 보시면 될 것 같습니다.

정현님: 올해 하반기 중점 과제는 개인정보 보호 체계를 강화하는 것이에요. 먼저, 조직 내 개인정보가 생성되고 처리되는 전체 흐름(Flow)을 파악하고, 외부 유출 가능성을 면밀히 점검할 예정입니다. 특히 해킹이나 비정상적인 파일 유출, 서버 내 취약점 등 다양한 위협 경로를 탐지하여 개인정보가 비인가된 영역에 잔존하지 않도록 철저히 판별하는 것을 목표로 하고 있어요.

Q. AI, 가명정보와 같이 새로운 서비스와 기술을 확장하는 상황에서, 가장 중점적으로 검토하는 포인트는 무엇인가요?

청민님: 말씀하신 것처럼 AI, 가명 정보, 클라우드도 쓰고 있고, 고향사랑 기부제와 같이 공공사업 등 되게 다양한 분야에 있어서 보안이나 개인 정보를 고려해야 해요, 그 각 분야에 따른 법 규제나 가이드를 준용해야 되는 부분들이 있는데 그 부분들에 대해서 우리 내부적으로 어떻게 기준을 수립할 거고 우리가 어떤 식으로 가이드해서 그러한 비즈니스를 안전하게 잘 만들어갈 수 있을지 고민하는 게 저희의 지금 주 포인트지 않을까라는 생각이 듭니다.

영화님: 이용자의 민감 정보와 고유식별 정보를 다루는 만큼, 이를 안전하게 활용할 수 있도록 체크리스트와 가이드를 만들고 있습니다. 빌런즈분들이 직접 참고해 자체적으로 활용할 수 있도록 하는 것이 올해 하반기의 목표예요.

Q. 그 과정에서 가장 챌린징되는 것이 있나요?

청민님: 음, 새로운 기술을 다루다 보면 저 역시 처음 접하는 부분이 많아요. 특히 저는 AI나 가명정보에서의 정보보호, 개인정보보호를 하고 있는 점이 가장 챌린지인 것 같아요. 그리고 업무 과정에 있어 배운 내용을 혼자만 아는 데 그치지 않고, 동료들이 더 쉽고 안전하게 이해하고 활용할 수 있도록 풀어내는 것까지가 저의 과제라고 생각합니다.

Q. 셀 내부에서는 어떤 방식으로 의견을 맞추고 아이디어를 주고받으시나요?

청민님: 모든 걸 혼자 잘할 수는 없기 때문에, 각 분야에 경험이 많은 셀원분들과 자주 소통을 하고 고민하면서 싱크를 맞추고 있습니다. 셀 리더인 영화님은 저희가 놓친 부분이나 논의했던 내용을 다시 정리해 주시고, 다양한 시각으로 이슈를 짚어주셔서 다시 한번 생각할 기회를 만들어 주세요. 또 매주 슬랙으로 이슈를 공유하면서 서로의 생각을 묻습니다. 오늘도 그런 대화가 있었는데요, 이렇게 자주 의견을 주고받으며 자연스럽게 방향을 맞추고 있습니다.

Q. 신규 서비스나 기능이 나올 때, 개인정보 보호(검토)가 실제로 어느 시점에 개입하고, 어떤 역할을 하게 되나요?

청민님: 저희가 개입하는 시점은 총 4단계라고 볼 수 있을 것 같은데 기획 > 개발 > QA > 배포 단계 순으로 모든 게 인볼브 돼요. 그래서 기획 단계에서는 개인정보에 대해서 어떤 식으로 수집을 하고 이용을 할지에 대해 보고, 개발 단계에서는 안전하게 정보보호 측면에서 어떤 식으로 개발을 하는지, 구성을 어떻게 하는지 보고 있고요. QA 단계에서는 모의해킹도 하고 정말로 우리가 요구했던 사항들이 다 준용됐고 적용됐는지 보는 단계이고, 배포 때도 동일하게 누락 없이 적용됐는지 확인하고 있습니다.

영화님: 덧붙이면, 기획 단계에서는 서비스와 신규 사업의 목적을 충분히 이해하고, 개인정보 활용 목적을 명확히 검토합니다. 이후 동의 최소화부터 파기까지 이어지는 전체 플로우를 사전에 점검하고요. 최종 운영 단계에서는 각 단계별 요구사항이 제대로 개선됐는지를 확인해, 실제 서비스가 배포된 이후에도 안전하게 운영될 수 있도록 보안성을 검토합니다.

Q. 빠른 실행과 보안의 균형을 맞추기 위해, 다른 조직과 협업할 때 어떤 원칙이나 방식을 지키시나요?

정현님: 다른 조직이랑 협업을 할 때에는 언어적인 싱크도 맞춰야 되고 플로우나 이런 것들도 서로 생각하는 게 다 다르기 때문에 회의하기 전에 준비를 하게 되는 것 같아요. 단순히 프로세스로만 이렇게 하면 된다고 끝내는 게 아니라 전체 플로우와 그 과정에서 발생할 수 있는 문제와 해결 방안을 함께 설명합니다. 그럴 때는 칠판에 직접 흐름을 그려가며 시각적으로 보여주고, 논리적으로 설득하려고 노력해요.

영화님: 신속한 서비스 오픈과 보안에 대한 비즈니스 요구사항은 어떻게 보면 반비례할 수도 있다고 저는 생각해요. 보안을 강화하면 출시가 늦어진다고 생각하기 쉽지만, 미리 관련 업무 처리 과정을 공유해 두면 비슷한 상황이 생겼을 때 훨씬 빠르게 대응할 수 있습니다. 그래서 저희는 과거 히스토리와 사례를 기반으로 업무를 진행하고 있어요. 또 “무조건 안 된다”가 아니라, 리스크가 큰 부분은 필수 조치를 하고 중요도가 낮은 부분은 후속 관리로 풀어가는 방식으로 협업합니다. 이렇게 해야 빠른 실행과 보안 리스크 최소화를 동시에 잡을 수 있다고 생각합니다.

청민님: 저희의 기본 원칙은 단순해요. 최소한으로 요구되는 사항을 지키는 거죠. 빠른 실행을 위해서는 팀원 모두가 같은 기준과 답변을 내야 하기 때문에, 평소에도 싱크를 맞추는 걸 중요하게 생각해요. 그래야 다른 팀원이 다 같은 기조로 대응할 수 있거든요. 다른 조직과 협업할 때도 상대방의 입장을 고려해, 사례나 예시를 활용해 쉽게 이해할 수 있도록 커뮤니케이션하려고 합니다.

Q. 셀 내부에서 협업 속도를 높이고, 피드백을 주고받는 방식이 있나요?

정현님: 정보보호 셀만의 그라운드 룰이 있고 다 같이 지키려고 노력을 하는 편이에요. 출근 시간, 협업 코어 타임, 근무 제도 이런 것들을 저희 기준에 따라 정했고 이야기 나누고 할 때 편하다고 느껴요.

청민님: 밀도 있는 협업을 위해 자체적으로 시간을 정하고, 프로젝트 추적기를 활용해 업무 히스토리를 관리합니다. 논의가 휘발되지 않도록 기록을 남겨 바로 공유하고 확인할 수 있게 하다 보니 협업 속도가 빨라지고, 업무 집중도 높아지지 않았나 생각해요. 그리고 피드백을 할 때는 주로 “고민의 깊이”에 대한 이야기를 해요. 서로에게 “이 경우는 어떻게 할 거야?”라고 묻고, 다양한 가능성을 열어두고 시뮬레이션해 보면서 더 깊이 고민할 수 있도록 하죠.

영화님: 진지하고 신중하지만, 자유롭고 유연한 팀이 되고 싶었어요. 저희는 보안이라는 규제에 있어 명확한 요구 사항에 신중해야 될 수밖에 없고 판단을 잘못하거나 설정을 잘못했을 때 사고의 여파도 있기 때문에 신중함이 좀 필요한 상황이에요. 그렇지만 딱 정확한 틀에 갇히면 안 되기 때문에 유연하고 자유로운 시각에서 서로 해결점을 찾아가고 있어요.

Q. 삼쩜삼에 합류하게 된 이유나, 지금까지 지내면서 어떠셨는지 궁금해요.

청민님: 개인적인 생각이지만, 정보보호 업무는 어느 회사에서든 환영받는 직무는 아닌 것 같아요. 종종 “남을 불편하게 한다”라는 오해를 받고, 수익을 직접 내는 직무가 아니니 설득과 이해를 시키는 데 에너지를 많이 씁니다. 그런데 삼쩜삼에서는 달랐어요. 대표님을 포함해 빌런즈 모두가 보안에 열정과 관심을 갖고 적극적으로 참여해 주셨습니다. 직급을 떠나 수평적으로 함께 고민해 주는 분위기가 큰 동기부여가 됐고, 존중받으며 일할 수 있구나라는 생각을 하게 됐습니다. 덕분에 “여기서라면 보안의 새로운 도전을 해볼 수 있겠다”는 확신이 생겼고, 그게 지금까지 이어져 3년 가까이 즐겁게 일할 수 있었던 이유입니다.

영화님: 저는 원래 외부 컨설팅을 하면서 자비스를 제3자의 시각에서 본 경험이 있었어요. 당시 대기업의 수직적인 문화에 지쳐 있었는데, 이곳은 수평적인 문화 속에서 C레벨도 직접 실무를 하며 다양한 시각을 제시하는 게 인상적이었어요. 이직 제안을 받았을 때, 그런 점이 큰 매력으로 다가와 합류하게 되었습니다.

정현님: 저는 입사 후 1년 반 동안 다양한 분야를 경험할 기회를 얻었어요. 팀원들이 각자 전문 영역을 가지고 있지만, 정해진 것만 하는 게 아니라 여러 방면에서 배울 수 있도록 열려 있었어요. 그래서 지루할 틈이 없었고, 새로운 걸 배우면서 계속 동기부여를 받을 수 있었습니다.

Q. 그렇다면, “삼쩜삼에서만 경험할 수 있다”고 느낀 순간은 언제였나요?

정현님: 아무래도 처음 합류했을 때는 아무것도 구축된 게 없었기 때문에, 보안 솔루션을 하나하나 만들고 통합 시스템으로 발전시켜 나가는 과정이 도전적이었습니다. 앞으로는 개인정보 유출 탐지뿐 아니라 보안 위협 이벤트까지 더 깊이 분석해 나갈 수 있는 기반을 만들어 가보고 싶어요.

청민님: 법무팀과 싱크를 많이 맞추면서 뎁스 있는 고민을 많이 하게 되었고, 확실히 개인정보에 있어서 틀에서 벗어난 경험해 봤어요. 처음엔 불가능할 것 같아 큰 이슈가 됐지만, 협의 끝에 예외 승인을 받았고 이를 계기로 세무 비즈니스와 개인정보 활용에 대한 저희 역량이 크게 성장한 것 같아요. 그때 엄청 많은 챌린지가 있었고 경험도 낯선 시도이기도 했고 상당히 좋은 포인트였던 것 같아요. 세무 관련해서 웬만하면 우리가 다 먼저 앞서서 두드려 맞는 회사이기 때문에 어디를 가나 세무 관련된 비즈니스는 우리가 넘버원이지 않을까 생각합니다.

영화님: 맞아요. 다 일맥상통할 것 같긴 한데 신규 사업 군의 보안 틀을 만들어 나갔다는 메리트가 제일 클 것 같아요. 왜냐하면 유사한 업종의 다른 회사들을 참조하는 형태보다는 우리 서비스에 대한 특화된 규제와 대응 그리고 거기에 맞는 구성, 환경과 문화 같은 것들을 만들어 봤다는 게 다른 회사에 비에 특별하지 않나 생각해요.

Q. 개인정보보호 담당자 포지션을 채용하고있어요. 입사 초기에 어떤 과제나 역할을 맡게 될까요?

영화님: 입사 초기에는 신규 사업과 관련된 개인정보보호 과제를 맡게 됩니다. 예를 들어 ISMS-P 인증과 같은 업무를 진행·운영·관리하는 역할이죠. 다만 바로 실무에 투입되기보다, 먼저 회사의 비즈니스 플로우와 서비스 구조, 관련된 환경을 충분히 이해하는 시간이 주어질 겁니다. 그 과정을 통해 보안 리스크나 개인정보 처리 과정에서 주의할 점을 스스로 고민하고, 개선 조치 계획을 세우며 점차 업무를 시작하게 될 거예요.

Q. 어떤 분이 함께하면 좋을까요?

영화님: 규제라는 장벽에 갇히지 않고 다양한 시각에서 의견을 내고, 단순히 문제를 지적하는 데 그치지 않고 실현 가능한 실행 방안까지 함께 고민할 수 있는 분이면 좋겠습니다. 본인의 일에 책임감을 가지고 동료들과 끝까지 함께할 수 있는 태도도 중요하고요! 또 규제나 보안 관련 내용을 구성원분들이 쉽게 이해할 수 있도록 풀어서 설명할 수 있는 표현력이 있으면 좋을 것 같아요.

정현님: 저는 소통이 잘 되는 사람이 왔으면 좋겠어요. 협업할 때 빠르게 싱크를 맞추고, 내가 말하고자 하는 바를 상대방이 이해할 수 있도록 조율해 전달하는 역량이 중요하다고 생각해요.

청민님: 저도 비슷한 것 같아요. 결국에 핵심은 소통인 것 같긴 해요. 나도 부족하고 모두가 부족한데 그런 걸 생각하는 것보다는 같이 일할 때 대화가 잘되고 받아들일 줄도 알고 피드백도 잘 줄 줄도 아는 그런 사람이었으면 좋겠어요. 그래서 서로 성장할 수 있으면 좋을 것 같아요.

Q. 마지막으로 정보보호 셀을 어필한다면요?

영화님: 저희 팀은 각자 자신만의 전문 분야를 가지고 있고, 그 경험과 역량이 국내 최고 수준이라고 자부합니다. 이런 동료들과 함께 다양한 논의를 나누다 보면 자연스럽게 시야가 확장되고, 큰 성장을 경험할 수 있을 거예요.

청민님: 좀 다르게 어필을 하자면은 업무적인 거 말고.. 그냥 사람이 좋아요. 저희가 괜히 그런 동료를 찾는 게 아니라 우리 셀이 이미 그런 분위기를 가지고 있기 때문이에요. 정말 자유와 질서 속에 있는 팀이기 때문에 재밌게 일할 수 있어요.

정현님: 고민이 있으면 숨기지 않고 털어놓을 수 있는 분위기예요. 할 얘기는 다 하는데 누구도 뭐라 하지 않아요. 자기가 생각하고 이런 것들에 대해서 얘기를 할까 말까 이런 분위기가 아니라 그냥 난 이렇게 생각을 한다 이렇게 편하게 툭 터놓고 얘기할 수 있는 그런 분위기예요.

기획 | 임지연
디자인 | 조재원