본문 바로가기

현장속으로/세미나

그루폰 코리아가 보안에 대처하는 방법

‘50% 할인’, ‘24시간 내에 쿠폰 구매’, ‘반값 할인

언젠가부터 자정이 땡 지나면 집 근처 가게의 티켓이 띵하고 업로드된다. 그 종류는 프랜차이즈 가맹점 할인쿠폰이 될 수도, 지역 맛집이 될 수도, 피트니스가 될 수도, 피부관리점이 될 수도 있다. 50% 이상의 파격적인 할인가로 그날 하루 티켓이 판매된다. 수만 명이 넘는 사람이 티켓을 구매하고 해당 가게는 며칠 간 발 디딜 틈이 없을 정도다.

소셜커머스가 대한민국에서 자리잡았다. 소셜커머스 선두주자였던 티켓몬스터, 쿠팡, 위메이크프라이스 등의 국내 토종 업체는 어느덧 커다란 기업이 되어 있었고 뒤늦게 미국에서 최초로 소셜커머스를 개척한, 원조 소셜커머스 업체인 그루폰이 우리나라에도 상륙했다.

버거킹 와퍼 무료 쿠폰 제공, 인터넷 쇼핑몰 5000원 할인쿠폰 무료 제공 등의 파격적인 프로모션 전략으로 국내에서 자리잡아가고 있는 소셜커머스 업체인만큼 많은 사람들의 접속이 잇따르고 있다. 수많은 사람들이 접속하고 결제하는 사이트인 만큼 보안의 중요성 역시 필수적으로 대두된다. 특히 최근 금융업계에서 속속 발생하는 보안 이슈는 신용정보와 결제가 이뤄지는 소셜커머스 사이트가 좀처럼 간과해선 안 될 문제다.

그렇다면 소셜커머스 시대의 정보보안은 어떻게 이뤄지고 있을까? 2011 금융보안 그랜드 콘퍼런스가 지난 623, 삼성 코엑스 그랜드볼룸에서 열렸다. 그 중 한 섹션으로 그루폰 코리아 배권한 서비스 팩토리 인프라 팀장이 소셜커머스 시대의 정보보안이란 주제로 강단에 섰다 

소셜커머스 분위기에 맞춘 캐쥬얼한 강연

다소 젊은 고객을 주 타깃층으로 잡는 소셜커머스 분위기 때문일까? 보안 담당자라고 하면 딱딱한 검은 정장에 구두를 신는, 이미지를 떠올릴 법하다. 그러한 이미지를 깨버린 배 팀장은 이날 카키색 계열의 카라 티셔츠에 청바지를 입고 푸근한 인상을 뽐내며 입을 열었다.

어차피 오늘 금융보안 콘퍼런스 다른 섹션에서 기술에 대해선 많이 언급했으니 저는 기술보단 정책을 말씀드리겠습니다.

강연 프레젠테이션 역시 여느 회사에서 하는 형식이 아니었다. 흰 바탕에 검은 글씨 한 단어, 한 문장만 쓰여져 있는 프레젠테이션은 지루한 강연보다는 애플사의 스티브잡스의 프레젠테이션의 그것처럼 흥미를 자아냈다. 강연의 순서는 보안이란 무엇인가 내부 보안 서비스 보안 DDOS로 이뤄졌다 

당신의 기업엔 CSO가 있습니까?”

그 기업엔 CSO(최고정보보호책임자)가 존재하는 회사입니까?”

청중에게 배 팀장은 우선 물었다. 이윽고 아마 그리 많지는 않을 겁니다라고 자답했다. 그만큼 한국 내 기업에선 보안’을 중요하게 생각하지 않는다는 것이다. 평소 보안의 중요성을 인식하지 못 하는 것은 당장의 필요성이 눈에 보이지 않기 때문이라고 뒷받침했다.

한국 사람은 빨리빨리 하려는 특성이 있죠, 하지만 보안은 이 특성에 발목을 잡는 역할입니다. 그래서 더더욱 그 가치를 등한시하게 되죠.

그러다가 7.7 DDOS 대란이나 농협 사태 등의 뉴스화가 되면 그때 잠시 이목이 집중된다.

보안이슈가 터지면 사장님은 CTO(기술관련 최고책임자)를 소환합니다. 그리고 문책을 하죠. 보안을 왜하는지 정확히는 모르겠으나 뭔가 손은 써야겠고 하니깐 말입니다. 하지만 CTO는 보안에 대해 잘 모릅니다. 그러면 자연스레 보안 컨설팅 회사에 의뢰를 하게되죠.”  

배 팀장은 장비 구매하고 보안 업체에 컨설팅 받는 비용보다 직접 구현하는 비용이 훨씬 많이 든다는 점을 언급하며 대부분의 회사가 자체 보안 시스템을 갖추고 있지 않음을 강조했다. 하지만 보안은 일시적으로 하는 것이 아닌, 지속적으로 추구해야하는 것이다. 따라서, 일시적인 비용지출과 한번의 컨설팅으로 해결되는 것이 아니므로 장기간으로 본다면 자체적인 보안 시스템을 구현하는 것이 훌륭하다고 말했다.

, 보안은 단기간에 빨리빨리 되는 것이 아니라 절대적인 시간과 비용이 필요한데 이를 개발자에게 허용하라는 것이다. 개발자에게 가장 많은 시간을 주고 충분한 교육과 소스, 하드웨어 네트워크를 검토하게 하는 여유를 가져야 한다는 것이다 

농협에 외부 업체의 노트북이 반입되지 않았다면

잘 교육된 엔지니어는 자산입니다. 철저한 교육과 시간, 비용 투자로 보안에 대한 개념을 확실히 정립할 필요가 있습니다. 소셜커머스의 경우 몇 백 명의 영업 인력이 있는데 이들은 컴퓨터와 보안에 무지합니다엔지니어뿐 아니라 이들에게도 보안에 대한 개념을 교육할 필요가 있는 거죠.”  

위의 설명을 하면서 배 팀장은 농협 사태를 예로 제시했다. 농협 사태에서 외부 업체의 노트북 반입이 안 됐다면 최근 농협사태가 일어났겠느냐고 질문을 던졌다. 보안 담당자의 문제뿐만 아니라 일반 직원, 심지어 경영진에게도 외부 업체의 노트북이 정보를 빼돌릴 수 있다는 보안 개념이 인식이 되지 않아 불거진 문제라고 설명했다. 모든 부서에서 어드민 접속이 가능해 마음만 먹으면 모든 사용자 계정을 가져가는 것이 가능해서 비롯된 것이다회사 차원에서 역시 적절한 감시가 필요한데 이를 죄다 CTO의 책임으로 떠넘길 뿐, 명확한 정책 수립에 힘쓰지 않는다. 특히 보안의 경우 속도를 느리게 하거나 효율성 측면에선 분명 발목을 잡는 부분이 있어 더더욱 관심 외 대상이 됐다.

그루폰 코리아의 경우 역시 수많은 소비자들이 동시접속하고 결제하는 만큼 그 여느 사이트들 보다 빠르게 움직여야 하지만 보안을 간과하지 않았다. 그 흔한 네이트온 조차 정보가 새나갈 수 있는 위협이 있어 접속하지 못 한다. 외부 보안 업체의 도움이 아닌 직접 보안 시스템을 구축하고 자체적으로 보안 교육을 지속적으로 한다는 것과 소스 코드가 배포되기 전에 팀 체제에서 서로 감수한다는 것이 그루폰 코리아의 방침이다 

결론적으로 보안은 여유다

보안은 궁극적으로 비용, 사람, 전문가, 여유 이 네 박자가 갖춰져야 합니다. 보안은 여유를 가지고 장기간에 걸쳐서 해결하는 문제입니다.”

40분간의 기술보단 정책, 그리고 보안에 대한 개념 확립을 강조한 강연은 타 섹션과는 확실히 차별성이 엿보였다. 자정 이 지나자 무섭게 많게는 수십만명이 접속하는 소셜 커머스 사이트의 보안 담당자의 강연은 그렇게 마무리됐다. Ahn

대학생기자 김마야 / 아주대 경제학과


'삐뚤어질 수 있으니 청춘이지'라고 항상 스스로 되새기곤 합니다.

사회가 요구하는 '어른'이란 인식이 사회에 맞춰가는 바른 상(像)이라면
저는 아직까지는 사회를 남들과 다른 시선으로 바라볼 수 있는 '청춘'이고 싶습니다. 저는 오늘도 제 청춘을 버라이어티하게 디자인하는 기자입니다.