문제를 경험으로 꿰뚫는 개인정보보호 베테랑
팀 코코넛의 CISO 겸 CTO를 맡고 계신 '이지' 인터뷰
코코넛 서비스는 팬시(Fancy) 하다는 이야기를 들었던 적이 있어요. 좋게 해석하자면 개인정보보호라는 보수적이고 무거운 주제를 트렌디하게 풀어내고 있다는 칭찬으로 들립니다. 사실 그런 이미지를 지향하기도 하고요. 개인정보보호는 앞으로 전문가나 오랜 경력자들만 다룰 수 있는 분야가 아닐거에요. 나이와 경력을 막론하고 누구나 손쉽게 개인정보를 보호해야 하는 시대가 올거라고 확신합니다.
그런데 한편으로는 개인정보보호 서비스를 팬시하게 보이려면 그만큼 본질적인 것을 잘 꿰뚫고 있어야 해야 합니다. 개인정보보호법을 제대로 이해하고 해석할 수 있는 전문 역량이 뒷받침되었을 때 서비스를 위트있게 만드는 여유가 생기는 것 같아요.
그런 개인정보보호법을 정확히 꿰뚫고 있는 분이 다행스럽게도 저희 팀에 계십니다. 현재 팀 코코넛에서 CISO 및 CTO 역할을 겸하고 계신 이지(EZ) 의 이야기 인데요. 안랩 소장 역임 등 무려 30년이 넘는 경력, 그리고 산업 뿐만 아니라 학계에서의 전문성 등 산학을 막론하고 국내에서 손꼽히는 분이세요.
저희가 만약 개인정보보호가 아닌 다른 법을 잘 준수하기 위한 서비스를 만들었다면, 서비스를 구체화하면서 매번 변호사의 자문을 받아야 했을 거에요. 당연히 속도있게 추진하지도 못했을 것이고 더욱 깊은 토론과 논의를 거치지도 못했을겁니다. 그런데 저희는 이지가 계시기 때문에 이러한 전문적인 의견 교환을 언제든지 할 수 있어요. 그렇기 때문에 서비스의 전문성과 깊이를 오랜기간동안 더할 수 있었다는 것이 저희 팀에 정말 큰 메리트입니다.
이지와 팀 네 번째 인터뷰를 가져보겠습니다.
Q. 팀 코코넛에서 어떤 역할을 맡고 계시나요? 해당 역할에 대해 간략히 설명해 주실 수 있나요?
A. 공식적으로 고문으로서 CISO와 CTO 역할을 겸하고 있습니다.
CISO는 보안과 개인정보보호를 책임지는 직무이고, CTO는 개발과 서비스 운영을 책임지는 직무입니다.
사실 이런 직무들도 스타트업이라면 젊은 인력이 하면 더 좋을 것 같은데, 초기에는 아무래도 기반을 잡아나가기가 쉽지 않으니 이 쪽 분야에서 경력이 비교적 많은 제가 해당 역할을 하고 있습니다.
Q. 이지(EZ)라는 닉네임은 어떻게 짓게 되셨는지?
A. 예전에 만든 닉네임인데 지금까지 사용하고 있네요^^
남들이 보기에 제가 좀 대하기 어려운 사람인 것 같아서 좀 대하기 쉬운 남자로 보여야겠다는 생각에 이지(EZ)라고 닉네임을 짓게 되었습니다.
Q. 업계에서 오랜 경력을 갖고 계시는데, 어떤 히스토리를 가지고 계신지 자세히 설명해 줄 수 있으실까요?
A. 국책연구소와 대기업에서 개발자로 살다가 안랩에 입사해서 보안 대응 조직인 ASEC(Ahnlab Security E-response Center)을 맡으면서 본격적인 보안 분야로 들어섰어요. 당시에 카스퍼스키나 닥터웹 등이 안티바이러스 시장의 새 판이 짜지는 상황에서 안랩이 좀 밀리고 있었는데, 안랩의 신규 안티바이러스 엔진 개발과 악성코드 분석과 대응 자동화로 다시 안랩의 도약의 시기를 이끌었다고 속으로 자부하고 있어요^^
특히 안랩이 안티바이러스 회사로 유명하긴 했지만, 소프트웨어 제품을 잘 개발하는 좋은 개발회사는 아니었어요. 그래서 경력과 역량을 갖춘 훌륭한 개발자를 채용하여 지속적으로 성장할 수 있는 환경을 조성하고, 좋은 개발 프로세스, 개발 문화를 갖추려고 노력했지요. 상당히 성과가 있었습니다.
Q. 그런 경력을 지닌 분이 사회초년생과 다를바없는 ‘헨리’(팀 코코넛의 대표)와 가치관이 맞아 사업을 하게 된 것이 재밌는 것 같아요. 뭔가 경력의 양 극단의 사람이 만났달까요.
A. 사실 당시 헨리가 사회 초년생이라는 거에는 관심이 없었던 것 같아요.
당시 제가 공유 오피스를 돌아다니면서 개인정보 교육을 하는데, 그중 한 군데에 헨리가 참석한 거죠.
헨리가 교육을 들었던 당시에도 열심히 물어보고, 더 물어보겠다고 제가 있던 사무실 쪽으로 찾아오기도 했어요.
그래서 그 열정이 인상 깊었던 것 같아요.
헨리는 개인정보보호 서비스를 SaaS(Software as a Service) 방식으로 제공하고 싶어했는데, 저는 그것이 개인정보보호 분야의 난제를 해결할 수 있는 방법이라고 봤어요.
사실 개인정보 쪽에 핵심적인 문제는 개인정보 사고가 발생하면 사회적 비난이 가중되면서 법령이 강화되고, 그에 따라 도입할 보안솔루션은 늘어나는데, 기업의 대다수를 차지하는 중견, 중소기업은 법령도 이해하지 못하고, 보안솔루션을 도입할 예산도 부족하다 보니, 법령을 위반하게 되고, 사고는 계속 터지고, 그러면 다시 법령은 강화되는 악순환의 고리에 우리 사회가 처해 있다는 거예요.
CEO로서 헨리는 열려있고 늘 배우려 하는 것이 강점이에요. 사람 사이의 커뮤니케이션이 좋아 신뢰를 받고요. 스타트업을 하는데 큰 강점이고, 실제로 4년 전 정도에 봤을 때를 생각해 보면 헨리의 강점이 자신이나 2월대개봉이 성장하는 데 큰 도움이 되지 않았나 싶어요. 저 역시 2030 세대와 일하면서 많이 배우고 있어요.
Q. 칼럼을 연재하는 것으로 알고 있어요! 어떤 이야기들을 하고 계시는지, 처음 이야기들을 연재하기 시작한 계기가 무엇인지 궁금합니다.
A. 칼럼을 연재하기 시작한 계기는 정확히 떠오르지는 않는데, 아마도 안랩 연구소장을 할 때 회사 홍보팀의 요청으로 쓰기 시작했을 것 같아요.
어떤 이야기를 주로 하느냐는 당연히 보안이나 개인정보 쪽 관련된 이야기를 합니다.
요즘 핵심적인 건 독자를 크게 세 분류로 보고 글을 쓴다는 것이에요.
보안이나 개인정보 쪽에서 일하는 실무자, 정책을 담당하고 있는 여러 행정부처나 관련 기관들에 있는 법이나 정책을 담당하는 사람들, CISO나 CPO(개인정보보호책임자, Chief Privacy Officer)처럼 기업에서 보안, 개인정보 쪽을 책임지는 사람들.
이렇게 크게 세 분류로 독자를 보고 있어요.
좀 더 나아가면 IT나 개인정보 등에 관심 있는 분들, 또는 일반 시민들이 관심이 있을만한 주제에 관해 글을 쓸 때는 그분들이 쉽게 이해할 수 있도록 글을 쓰려고 노력하고 있습니다.
Q. 현재 코코넛의 자체적인 보안 수준은 어떻다고 생각하시나요?
A. 아무래도 ISO 27001 인증을 받았으니 어느 정도 객관적인 수준은 갖췄다고 볼 수 있겠죠?
그 이상의 것은 지속적으로 업그레이드 해나갈 예정입니다.
Q. 보안을 위한 코코넛만의 노력이 있다면요?
A. 법을 잘 지키는 것과 기술적인 보안을 잘 하는 것이지 않을까 싶어요.
개인정보보호법이 계속 개정되고, 그에 따라 하위 시행령, 고시, 관련 해설서, 안내서 등이 계속 바뀌거든요.(인터뷰를 마치고 내용을 정리하던 5월 20일에 지난 3월 개정, 공포된 개인정보보호법 시행령 개정안이 발표됐다.)
고객사가 큰 관심을 갖지 않더라도 코코넛을 이용만해도 법규를 잘 준수할 수 있도록 하는 것이 1차적으로 중요합니다. 계속 진화하는 사이버 공격에서 고객사가 맡긴 개인정보를 기술적으로 안전하게 관리하는 것 역시 코코넛의 당연한 역할이고요.
코코넛은 고객사가 개인정보의 안전한 관리 위에서 편리한 활용이 가능하도록 하는 것이 목표여서 이를 위해 개발과 보안, 법의 측면에서 차근차근 준비해 나가고 있습니다.
Q. 코코넛의 CISO로서 고수하는 원칙이 있나요?
A. 보안은 전사 협업이 이루어져야 되는 분야라고 생각합니다. 항상 보안은 가장 약한 곳에서 뚫리기 마련이에요.거버넌스와 회사와 사람. 즉, 전사 협업이 이루어지는 게 가장 기본적인 원칙이라 항상 그게 잘 돌아가게 하려고 늘 신경을 씁니다.
저는 아무래도 [사람]이 가장 중요하다고 생각합니다.
예를 들어, 우리가 서비스에서 2단계 인증을 사용하는데, 글로벌 회사에서 사람의 실수로 2단계 인증이 뚫리는 사례가 있었어요.
계속해서 문제가 되고 있는 이른바 피싱 메일, 문자 등을 통해 뚫리기도 하고요.
적절한 보안 도구를 다 갖추어도 [사람]을 통해 뚫리는 경우가 있어서, 보안은 [총력전]이라고도 생각을 해요.
Q. 코코넛의 보안팀을 몇 가지 단어로 표현하자면? 그 단어를 떠올린 이유는요?
A. [클라우드 보안에 역량과 경험을 갖춘 팀]이라고 표현하고 싶네요.
그 이유는 심플해요.
저는 [서트]가 훌륭해서라고 말하고 싶네요.
서트는 학습을 열심히 하고 학습한 것들을 실제 구현하는 걸 엄청 잘하는 뛰어난 팀원입니다.
왜 제가 서트가 훌륭해서 [클라우드 보안에 역량과 경험을 갖추었다.]라고 생각했는지 서트의 인터뷰를 보시면 알 수 있겠네요(웃음)
Q. 앞으로 코코넛이 어떻게 되길 원하시나요?
A. 코코넛은 법과 기술적인 것을 모두 충족해 주는 서비스라고 생각합니다.
일반 기업에 있어서 개인정보보호의 이슈가 상당히 큰 이슈고, 실제로 계속 문제가 발생하는 분야이기도 하죠.
그래서 코코넛과 같이 개인정보보호 서비스를 전문으로 하는 기업이 성장하면서 실제로 사회적인 난제들도 해결해나가고, 사업이 커질 수 있는 토양도 충분히 있다고 보여요.
그래서 개인정보보호를 제대로 지원해주고, 도와주는 서비스로 성장했으면 좋겠고,
그런 과정에서 개별 구성원들의 역량도 더 성장하고 스타트업만의 혜택도 잘 누렸으면 좋겠네요.
Q. 마지막으로 하실 말씀이 있다면 해주세요!
A. 좋은 회사를 만들고 싶습니다.
그러기 위해선 가장 기본적인 프로페셔널함 / 책임감 / 실력을 고루 갖추고 있어야 한다고 생각해요.
개인적으로는 회사의 제일 중요한 것은 [협업]이고, 그래서 모두가 의견을 내는 것을 두려워하지 않고 커뮤니케이션이 활발하게 이루어지면 좋을 것 같아요.
그런 바탕에서 개인의 역량, 협업, 회사 사업의 포지션 등과 같은 것들이 유기적으로 연결되어 좋은 회사가 되는 것이기에 지금의 코코넛도 정말 좋은 회사구나라고 구성원들이 느끼고, 자부심을 가질 수 있는 회사를 만들고 싶네요.
여기에 가장 기본은 프로페셔널함이겠죠?(웃음)
코코넛 내부 인원뿐만 아니라, 외부에서도 좋은 회사임을 인지할 수 있게끔 차근차근 만들어나가고 싶네요.
