뒤로가기

포트폴리오

각 성과의 배경, 역할, 결과와 교훈을 상세히 소개합니다.

ISMS 최초심사 준비 및 인증 취득정책 수립 및 운영Security Compliance Engineering
01

ISMS 최초심사 준비 및 인증 취득

배경

  • 라포랩스는 버티컬 이커머스 플랫폼 '퀸잇' 운영사로, 연매출과 이용자 수가 ISMS 인증 의무 요건을 달성한 의무대상자 였습니다.
  • 보안팀이 없는 상황에서 1인 보안담당자로 입사해 ISMS 최초심사를 통과하는 것을 최우선 과제로 설정하고 업무를 수행했습니다.
  • 전문업체를 최소한으로 활용(관리체계 점검, 위험평가, 앱웹점검)하고 이 외에는 자체적으로 모든 인증 준비를 수행했습니다.

역할

결과 & 임팩트

  • 보안이 전혀 구축되지 않은 환경에서 1인 보안담당자로서 1년 3개월(인증 준비 1년, 보완조치 3개월) 만에 ISMS 최초심사를 통과했습니다.
  • 인증 기준을 철저히 분석해 조직 규모와 Cloud Native 환경에 최적화된 정보보호 관리체계를 구축했으며, 6개 항목에서 총 14개의 경미한 결함만 발생하는 우수한 결과를 달성했습니다.
  • 시리즈 B 단계의 스타트업임에도 불구하고 뛰어난 정보보호 관리체계를 인정받아 과학기술정보통신부장관 정보보호 표창을 수상했습니다.

Lessons Learned

  • 인증 준비 과정에서 가장 큰 도전은 타 팀과의 협업이었습니다. 라포랩스는 OKR을 성과 측정 지표로 활용했으며, 각 팀이 이미 타이트한 리소스 상황에서 운영되고 있었습니다. 보안팀의 요청은 이들에게 추가 부담이 될 수밖에 없었으나, '효과적인 커뮤니케이션'과 '협업체계 구축'으로 이를 극복했습니다.
  • 효과적인 커뮤니케이션을 위해 요청사항을 구체화하고 설득력 있는 PRD를 작성했습니다. 인증 기준의 요구사항과 저희의 현황을 면밀히 분석해 불필요한 작업을 배제하고 반드시 필요한 요청만 전달했습니다. 이 과정에서 서비스 지향적인 관점에서 적절한 조치 방법을 고민하며 기존 보안 통제를 관성적으로 적용하는 사고에서 벗어났습니다. 이러한 접근법은 PO와 엔지니어들로부터 신뢰를 얻는 계기가 되었고, 협업의 기반이 되었습니다.
  • 협업체계 구축을 위해 예상 태스크, 일정, 요청사항 등을 사전에 정리해 PO 및 각 팀장과 논의했으며, 이를 각 스쿼드 OKR에 반영하도록 협의했습니다. 이를 통해 보안팀의 요청을 단순한 '지원'이 아닌 각 팀의 '성과'로 전환시켰습니다. 결과적으로 보안팀의 요청을 긍정적으로 받아들이는 조직 문화를 형성했고, 상황을 재구성(re-framing)하는 것의 중요성과 효과성을 배울 수 있었습니다.
02

정책 수립 및 운영

배경

  • 정보보호 개념이 전무한 환경에서, 정보보호를 조직 문화로 정착시키기 위해 절차적ㆍ기술적 정책을 고민하고 도입했습니다.
  • 형식적이지 않고 실효성 있는 정책을 수립하기 위해 현업 담당자들과 긴밀히 논의했으며, 비즈니스 성장을 지원하는 서비스 지향적 정책 수립에 중점을 두었습니다.
  • 임직원의 불편을 최소화하거나 편리함을 증대시키면서도 기업의 보안 수준을 향상할 수 있는 정보보안 정책을 수립하고 운영했습니다.

역할

결과 & 임팩트

  • 정보보호 개념이 전무하던 조직에서 실질적이고 효율적인 정보보안 정책을 수립하여 전사적으로 적용했습니다. 이를 통해 컴플라이언스 준수를 넘어 각 부서의 업무 프로세스를 개선하고, 개인정보처리시스템의 권한 관리 체계를 확립함으로써 기업 전반의 보안 성숙도를 크게 향상시켰습니다.
  • AWS managed policies 기반의 권한 관리 체계를 성공적으로 도입했으며, GCP BigQuery의 개인정보 보호를 위한 마스킹 정책을 기획했습니다. 이를 통해 클라우드 자원 접근 권한을 체계적으로 관리하며, 관련 부서와의 긴밀한 협업을 통해 기술적 요구사항을 충족하는 동시에 비즈니스 요구를 효과적으로 반영했습니다.
  • 법적 요건을 준수하면서도 이용자 경험을 개선하는 서비스를 설계하여 이용자 만족도를 향상시켰습니다. 특히, 정통망법 위반에 따른 정부기관의 소명 요구를 효과적으로 해결하고 재발방지 체계를 구축함으로써, 법적 리스크를 최소화하면서 조직의 신뢰도를 높였습니다.

Lessons Learned

  • 조직의 특성과 업무 프로세스를 충분히 고려하지 않은 보안 정책은 실행 가능성이 낮고 구성원의 반발을 초래할 수 있는 반면에, 실무자 인터뷰와 지속적인 협의를 통해 현실적이고 실행 가능한 정책을 설계함으로써 보안이 업무의 장애물이 아닌 지원 요소로 인식될 수 있음을 배웠습니다.
  • GCP BigQuery의 마스킹 정책 수립 과정에서 다양한 시도를 통해 시행착오를 경험하며 더 나은 솔루션을 도출하는 경험을 했습니다. 초기 접근 방법이 실패했음에도 불구하고 문제를 깊이 분석하고, 협업을 통해 새로운 해결 방안을 모색한 경험은 기술적 도전에 대한 끈기와 창의적 접근의 중요성을 강조해 주었습니다.
  • 법적 요구사항을 준수하면서도 비즈니스 목표를 지원하는 방안을 설계하는 과정에서, 단순히 규정을 충족하는 것을 넘어 이용자 경험과 비즈니스 효율성을 높이는 것이 중요하다는 점을 배웠습니다. 컴플라이언스 준수가 조직의 성장을 저해하지 않고 오히려 촉진할 수 있는 방향으로 작동하도록 설계하는 전략의 필요성을 실감했습니다.
03

Security Compliance Engineering

배경

  • 기본적인 보안 솔루션조차 없는 환경에서, 기업의 성장 단계에 맞는 보안 솔루션을 PoC하고 도입했습니다. 상용 솔루션과 오픈소스를 두루 검토하고 비용과 효과성 측면에서 최적의 솔루션을 선택했습니다.
  • 서비스 보안 강화를 위해 오픈소스 및 쉘 스크립트를 활용해 취약점을 점검하고, 버그바운티를 통해 서비스에 금전적인 피해를 끼칠 수 있는 잠재적 위협을 사전에 발굴해 제거했습니다.
  • 리소스를 효율적으로 사용하고자 자동화가 가능한 업무를 식별하고 파이썬을 활용해 이를 구현함으로서, 제한된 인적 자원을 효과적으로 활용할 수 있는 환경을 구축하고 업무의 정확도를 높였습니다.

역할

결과 & 임팩트

  • 조직의 성장 단계와 리소스 제약을 고려해 최적화된 보안 솔루션을 도입함으로써 비용을 절감하고 보안 수준을 강화했습니다. 또한 SaaS 기반 엔드포인트 보안 솔루션 도입으로 운영 리소스를 크게 절약하고, 임직원과 관리자가 모두 만족할 수 있는 환경을 제공했습니다.
  • Prowler와 SSM 등을 활용해 클라우드 환경의 취약점을 주기적으로 점검하고 근본 원인을 조치하여 보안 사고를 사전에 예방했습니다. 또한 버그바운티를 운영해 서비스의 잠재적 취약점을 조기에 발굴하고 조치함으로서 기업의 전반적인 보안 성숙도를 향상시키는 데 크게 기여했습니다.
  • 반복적인 작업을 자동화해 제한된 인적 리소스를 효율적으로 활용할 수 있는 환경을 구축했습니다. 또한 클라우드 보안 모니터링 시스템을 통해 실시간 위협을 감지하고 조치하는 환경을 구축하면서, 보안 업무의 정확성과 효율성을 동시에 강화하고 있습니다.

Lessons Learned

  • 많은 기업이 사용하는 보안 솔루션이 언제나 정답은 아니라는 것을 깨달았습니다. 기업의 성장 단계, 리소스 제약, 그리고 비즈니스 우선순위에 맞춰 최적의 솔루션을 선택하는 과정에서 비용 절감과 보안 수준을 동시에 달성할 수 있는 방법이 있다는 것을 배웠습니다. 특히, 오픈소스와 상용 솔루션을 비교 검토하여 의사결정하는 능력을 기르는 경험을 했습니다.
  • 취약점 점검 및 조치를 진행하며 보안은 단순히 기술적 해결책을 찾는 것을 넘어 조직의 전반적인 안정성과 신뢰를 구축하는 과정임을 배웠습니다. 효과적인 도구와 자동화는 단순한 작업 효율화 이상의 가치를 제공하며, 반복적인 점검과 개선이 보안 성숙도를 높이는 핵심이라는 것을 깨달았습니다.
  • 파이썬과 Ngrok 등 필요한 도구를 활용해 원하는 자동화를 구현하는 능력을 길렀습니다. 자동화를 통해 보안팀의 생산성 뿐만 아니라, 보안팀에 의한 임직원의 병목이 해소되어 조직 전체의 생산성을 높이는 데 기여할 수 있음을 실감했습니다.