스푼랩스 DNA 키트 #008 - 정보보안 팀
글로벌 서비스의 가드레일을 설계하는 스푼랩스 정보보안 팀
Spoon과 Vigloo는 오늘도 전 세계 곳곳에서 사람들의 일상에 스며들고 있어요. 누군가는 목소리로 이야기를 전하고, 누군가는 짧은 영상에 몰입하며 일상의 빈틈을 채웁니다. 이 흐름이 매일 흔들림 없이 이어지기 위해서는 보이지 않는 곳에서 서비스와 유저를 지키는 단단한 기반이 필요합니다.
그 기반의 중심에는 스푼랩스 정보보안 팀이 있습니다. 정보보안 팀은 규정을 지키는 데서 멈추지 않고, 서비스와 비즈니스가 앞으로 나아갈 수 있도록 보안의 기준과 방향을 함께 설계하고 있어요. 그리고 보안을 스푼랩스 구성원과 유저 모두를 보호하는 장치로 바라보며, 업무 흐름 안에 자연스럽게 스며드는 보안 문화를 만들어가고 있답니다.
현재 스푼랩스에서는 보안 엔지니어와 클라우드 보안 엔지니어를 채용 중인데요. 이번 인터뷰에서는 정보보안 팀 TY와 Leo의 이야기를 통해, 스푼랩스의 정보보안 팀이 어떤 일을 하고, 어떤 문화로 일하고 있는지 자세히 들려드립니다. 다양한 팀과 치열하게 협업하는 순간들, 비즈니스와 규제 사이에서 쉽게 타협하지 않았던 기준, 그리고 정답이 없는 환경에서 계속해서 답을 만들어온 과정까지 솔직하게 담았어요!
Spoon과 Vigloo, 그리고 스푼랩스의 든든한 가드레일이 되어주는 정보보안 팀의 이야기, 스푼랩스 DNA 키트에서 지금 언박싱해보아요! ( ˘ ɜ˘) ♬♪♫
유저와 구성원을 보호하는 기준을 함께 세워가는 일
Q)
안녕하세요, TY, Leo! 오늘 직무 인터뷰에서는 어떤 점을 목표로 두고 있나요? 현재 보안 엔지니어와 클라우드 보안 엔지니어를 채용 중인 만큼, 독자들에게 어떤 메시지를 주고 싶은지 궁금합니다!
TY
이번 인터뷰를 통해 스푼랩스 정보보안팀이 어떤 방식으로 일하고, 어떤 관점으로 보안을 바라보고 있는지를 있는 그대로 전하고 싶어요. 보안 담당자 역시 각자의 고민과 판단을 안고 일하고 있다는 점을 보여주고 싶고, 스타트업 환경에서 보안을 담당하거나 그 역할을 고민하는 분들과 저희의 생각을 나눌 수 있기를 바랍니다.
Q)
정보보안 팀이 들려주실 이야기가 더더욱 기대되는데요! 이제 본격적으로 스푼랩스의 정보보안 팀에 대한 질문을 드리고 싶어요. 정보보안 팀은 어떤 일을 하는 팀인지 궁금합니다.
TY
저희는 스푼랩스의 전반적인 보안에 대해 이야기하고, 고민하는 팀이에요. 정보보안팀이라고 하면 딱딱하고 어려운 팀이라고 생각하시는 분들이 많은데, 저희는 그렇게 생각하지 않습니다.
저희가 생각하는 보안은 하나의 문화에 가깝습니다. 구성원분들이 보안을 위해 별도의 프로세스를 하나 더 만들어야 하는 것이 아니라, 업무 중에 자연스럽게 보안을 지키고, 보안에 대해서 고민할 수 있도록 만드는 역할을 해요. 보안이 딱딱하고 어렵다는 인식을 긍정적으로 바꾸는 것도 저희 팀의 역할이라고 생각합니다.
Leo
스푼랩스가 운영하는 Spoon과 Vigloo 서비스를 유저들이 안전하게 이용할 수 있도록 지원하는 것도 정보보안팀의 중요한 역할이에요. 그리고 서비스에서 처리되는 데이터에 대해 외부적인 관점에서의 적법성 및 기술적인 안전성을 확보하기 위한 전반의 업무를 수행하고 있습니다.
Q)
그렇다면 스푼랩스의 보안 문화를 만들어가는 팀으로서, 앞으로 어떤 보안 문화를 만들어나가고 싶으신가요?
Leo
그동안은 보안을 비즈니스와 별개로 보던 시기가 있었고, 지금도 여전히 보안을 ‘허들’처럼 느끼는 경우가 많다고 할 수 있습니다. 저는 보안은 비즈니스의 ‘허들’이 아니라 ‘가드레일’이어야 한다고 계속 이야기해 왔는데요. 회사와 서비스를 보호하는 가드레일이기도 하고, 서비스를 이용하는 유저들을 보호하는 가드레일이라는 의미이기도 합니다. 스푼랩스의 모든 분들이 자연스럽게 이러한 관점으로 보안을 이해하도록 문화를 만들어가고 싶습니다.
Spoon과 Vigloo를 보호하는 가드레일을 설계하는 정보보안 팀!TY
정보보안 팀이 만든 정책이나 보안 솔루션은 우리 회사의 ‘마지노선’.이라고 생각합니다. 다만, 그 마지노선을 아무리 잘 만들어 놓아도 결국 취약점은 생길 수밖에 없는데요. 그 취약점을 저희가 찾아서 수정하거나 마지노선을 확장할 수는 있지만, 그 모든 것을 저희 팀 혼자서 할 수는 없어요. 즉 구성원분들이 개선이 필요한 취약점을 제안해주시고, 불필요한 프로세스를 구성원분들과 함께 개선해 모두가 함께 만들어가는 보안 문화를 만들고 싶습니다.
도전과 학습을 멈추지 않는 팀
Q)
두 분께서 보안을 바라보는 관점이 정말 인상 깊은데요! 정보보안 팀만의 일하는 방식이나 문화가 있는지 궁금합니다.
TY
한마디로 표현하면 “따로, 또 같이.”라고 말할 수 있을 것 같아요. 저희 팀의 업무에서는 각자 맡은 영역이 있고, 그 영역마다 장점과 더 발전시켜야 할 부분이 분명히 존재해요. 그래서 서로의 영역을 존중하고, 각자가 맡을 역할을 명확히 가져가되, 큰 틀에서는 하나의 방향으로 함께 움직이는 것을 중요하게 생각해요. 팀원들을 모두 ‘프로’라고 생각하고, 꼭 함께 처리해야 하는 업무 외에는 자율적으로 고민하고, 수정해나갈 수 있도록 하고 있습니다.
다만, 이런 자율성이 유지되기 위해서는 각자의 성장도 필수적이라고 생각해요. 보안 문화를 만드는 역할을 하기 위해 공부를 꾸준히 하고, 자격증 준비를 하거나 외부 세미나·교육에 적극적으로 참여하는 노력이 필요한데요. 저희 팀은 이런 외부 교육이나 학습에 대해 굉장히 진심이고, 팀 차원에서도 적극적으로 지원하고 지지하고 있습니다. 이 자체가 정보보안 팀만의 문화라고 생각합니다.
Q)
이번에는 팀 밖에서의 협업에 대해 이야기해볼게요. 정보보안 팀은 주로 어떤 팀이랑 협업을 하시나요? 해당 팀들과 협업함에 있어서 주의해야 할 점이나 특징이 있을까요?
Leo
특정 팀하고만 협업하기보다는, 전사 모든 팀과 모든 구성원과 협업합니다. 보안은 보호해야 할 대상이 있는 모든 영역을 아우르기 때문이죠. 즉 팀마다 정도의 차이는 있을 수 있지만, 정보보안팀은 전사 모든 팀과 협업할 수밖에 없는 역할이라고 생각합니다.
협업하면서 가장 중요하게 생각하는 점은, 협업하는 구성원의 눈높이에서 그들의 언어로 이야기할 수 있어야 한다는 것이에요. 보안에서의 고유한, 본연의 언어로만 설명하게 되면 구성원들에게 공감을 얻거나 이해시키기가 굉장히 어려워집니다. 그래서 보안을 적용해야 하는 대상을 놓고, 구성원이 속한 해당 도메인의 언어에 맞춰 소통할 수 있는 것이 중요해요.
Q)
정보보안 팀의 업무가 스푼랩스의 모든 팀과 연결되어 있다는 것이 잘 느껴지네요. 그렇다면 정보보안 팀이 업무를 처리하거나 의사결정을 하는 과정에서, 가장 중요하게 여기는 요소가 있다면 어떤 것일까요?
TY
저희 팀은 회사의 비즈니스를 가장 중요하게 여깁니다. 물론 보안 관점에서 점검해야 할 요소들은 분명히 많지만, 스타트업이라는 특성상 비즈니스를 최우선으로 생각하고, 그 비즈니스를 가능하게 하기 위해 우리 팀은 어떤 역할을 해야 할지 고민해요.
과거에는 정보보안팀이 “이건 안 됩니다.”라고 이야기하는 경우가 많았는데, 지금은 “그렇군요!”에서 시작해, 그렇다면 이걸 어떻게 하면 할 수 있을지를 고민하는 방향으로 바뀌었다고 생각해요. 비즈니스적으로 이미 결정된 상황이 있는 경우도 많기 때문에, 그 안에서 법적·보안적 리스크를 최소화할 수 있는 방법을 찾는 것이 현재 저희의 의사결정 방식에 가까워요.
Leo
해결할 수 있는 방법을 고민할 때, 실무자들이 공감하고 납득할 수 있는 방식이어야 한다는 점을 중요하게 보고 있습니다. 단순히 “어떻게든 되게만 만들면 된다.”는 접근이 아니라, 그 해결 방식이 본질적으로 의도한 방향과 맞는지가 중요하다고 생각합니다.
의사결정의 과정과 결과가 의도한 방향과 맞아야 그 다음 단계에 대한 이야기로도 자연스럽게 이어질 수 있으니까요. 그래서 가능한 한 앞 단계에서 충분히 고민합니다. 그럼에도 쉽게 타협하지 않으려고 하는 영역도 분명히 존재합니다. 특히 비즈니스가 영향 받고 준수해야 할 규제가 대표적입니다.
Q)
정리해보면, 비즈니스를 전제로 보안을 설계하는 방식이라고 이해하면 되겠네요! 이번에는 그동안 정보보안 팀에서 진행하셨던 업무 중 가장 의미 있었거나 자랑할 만한 시도가 있다면 소개해 주세요.
TY
제가 처음 스푼랩스에 합류했을 때 가장 놀랐던 점은, 구성원들이 주도적으로 일을 처리하는 방안을 고민한다는 점이었어요. 불편한 부분을 발견하면 그걸 어떻게 개선할 수 있을지 먼저 고민하고, 시스템화할 수 있는 방법을 찾으려는 시도들이 자연스럽게 이루어지고 있었어요. 불필요하게 반복되는 일들을 줄이고, 프로세스를 개선하기 위해 많은 노력을 하고 있다고 느껴졌답니다.
그러한 노력을 이어 받아, 저희 팀은 필요한 것이 없으면 직접 공부해서 만들어보고, 외부 솔루션이 있더라도 그걸 그대로 쓰기보다는 내부에 맞게 고민하고 내재화하려는 시도를 해왔어요. 대표적인 예로, 의심스러운 이메일을 받았을 때 구성원이 직접 이를 업로드해서 확인할 수 있는 프로세스를 만들었는데요. 이것도 누군가 시켜서가 아니라 저희 팀 스스로 공부해서 만든 것이에요.
그리고 기존에 외부 솔루션으로 처리하던 부분을 내부적으로 가져와서 해결하기 위한 여러 노력들도 있어요. 아직 완성되지 않은 부분도 있지만, 이런 고민과 시도 자체가 정보보안팀에서 했던 일들 중 가장 의미 있고, 자랑할 만한 시도였다고 생각합니다.
클라우드 네이티브 환경에서 보안의 전 과정을 책임지는 경험
Q)
다른 기업과 비교했을때, 경력개발이나 직무적인 성장 측면에서 스푼랩스의 정보보안 팀만이 갖고 있는 특징은 무엇일까요?
TY
스푼랩스는 서비스가 100% 클라우드 기반이다 보니, 기존 레거시에서 경험하지 못한 클라우드에 필요한 업무들을 충분히 경험해볼 수 있는 환경이에요.
또 다른 특장점은, 보안 업무를 처음부터 끝까지 직접 다 해볼 수 있다는 점이에요. 다른 회사에서는 보안팀에서 어떤 결정을 하더라도 여러 중간 과정을 거쳐야 하는 경우가 많은데, 스푼랩스에서는 바로 결정하고 빠르게 실행할 수 있는 환경인 점이 좋다고 생각합니다.
그리고 개인의 역량 개발을 위해 공부하거나 세미나에 참석하는 것도 강력히 권장하고 있어요. 밖에서 새로운 것들을 보고 배우고 싶은데 눈치를 봐야 하는 환경이 아니라, 스스로 필요하다고 생각하면 학습하고 경험을 쌓을 수 있는 점도 우리 팀과 회사의 특징이라고 생각합니다.
Leo
스푼랩스는 기술 지향적인 회사라는 점이 특징입니다. Spoon과 Vigloo 두 서비스 모두 기술적인 관점에서 발전과 성숙도가 높은 편이고, 클라우드 네이티브 환경에서 글로벌로 운영되고 있습니다. 그런 환경 자체가 보안 관점에서 고민해야 할 지점들을 자연스럽게 만들어낸다고 생각해요.
서비스가 제공되는 국가의 특성이나 환경에 따라, 같은 클라우드 환경 안에서도 보안을 어떻게 가져가야 할지에 대한 고민이 계속 생기고, 이런 문제들을 단순히 보안팀만의 관점이 아니라 기술 중심으로 함께 바라보고 풀어내려는 점이 다른 회사들과 비교했을 때 하나의 차별점이라고 생각합니다.
Q)
정보보안 관점에서 볼 때, Spoon과 Vigloo 서비스만의 특별히 흥미로운 지점은 무엇인가요? 서비스의 특정 부분이 정보보안 측면에서 자랑할 만하거나, 반대로 도전적인 포인트가 있다면 함께 들려주세요!
Leo
이전의 답변과 이어서 말씀 드릴 수 있을 것 같아요. 스푼랩스는 기술 지향적인 회사라는 점이 하나의 배경이 되는데요. 반드시 새로운 기술을 써야 한다는 의미는 아니고, 예전에 출시된 기술만 사용한다고 해서 더 낫거나 나쁘다고 보지도 않습니다. 중요한 건 그 기술이 갖는 의미를 이해하고, 왜 이 기술을 쓰는지에 대한 고민이라고 생각합니다.
스푼랩스 내부에는 이를 연구하는 Architecture 팀이 있고, 새로운 기술이나 구조를 Spoon과 Vigloo 서비스에 접목할 때도 효율성이나 의미를 먼저 깊이 있게 바라본 뒤 적용하게 됩니다. 그런 과정에서 보안은 자연스럽게 함께 따라붙어야 하는 요소가 되는데요. 즉, 기술을 도입하는 결정과 보안을 분리해서 보지 않고, 같이 고민하게 되는 구조라고 볼 수 있습니다.
이런 방식은 모든 회사에서 쉽게 할 수 있는 건 아니기 때문에, Spoon과 Vigloo 서비스를 정보보안 관점에서 바라볼 때 고민해볼 수 있는 지점들이 많고, 그 자체가 도전적인 포인트라고 생각합니다. 기술을 어떻게 가져가느냐에 따라 보안도 함께 설계해야 하는 환경이라는 점이 흥미로운 부분입니다.
Q)
그렇다면, 어떤 특성을 가진 사람이 스푼랩스의 정보보안 팀에 적합할까요?
TY
“어”라고 말했을 때 바로 “아, 그 말은 이런 뜻이군요”라고 이해할 수 있는 사람이 적합하다고 생각해요. 겉으로 드러난 표현이 아니라, 그 안에 담긴 핵심을 정확하게 듣고 이해할 수 있는 능력이 중요합니다. 보안 업무는 각자가 하는 이야기를 그대로 받아들이기보다 그 핵심을 관통해서 이해할 수 있어야 하기 때문이에요.
이에 더해서 사람들과 함께 소통하면서 각 팀마다 가진 요구사항을 이해하고, 그 요구사항을 우리 회사의 상황에 맞게 잘 정리하고 조율할 수 있는 분이시면 더 좋을 것 같습니다.
Leo
저는 창의적으로 일할 수 있는 사람이 잘 맞는다고 생각합니다. 스푼랩스는 클라우드 네이티브 환경에서 글로벌 서비스를 운영하고 있고, 스타트업이자 기술 지향적인 회사이기 때문에 서비스뿐만 아니라 보안에서도 다양한 시도를 해볼 수 있어야 해요.
그래서 정해진 방식만 따르기보다는, 상황에 맞게 새로운 시도를 해볼 수 있는 태도가 중요합니다. 실제로도 저희 팀은 보안 측면에서 여러 가지 시도를 많이 하고 있고, 그 과정에서 실패가 있더라도 다시 시도하는 경험을 계속해 왔습니다. 그런 점에서 실패를 두려워하지 않고, 도전적인 시도를 해볼 수 있는 사람이 정보보안 팀과 잘 맞는 사람이라고 생각합니다.
Q)
이번 채용을 통해 팀에 적합한 분을 꼭 모실 수 있었으면 좋겠어요! 현재 정보보안 팀이 가장 주력하고 있는 문제는 어떤 것이 있나요?
Leo
지금 저희 팀은 표준화에서 최적화로 이동하는 과정에 주력하고 있어요. 스푼랩스는 ISMS-P, 글로벌 CBPR, ISO 등 여러 인증을 유지하고 있는데, 각 인증과 법적 규제에서 요구하는 사항들은 일종의 공통된 표준이라고 볼 수 있습니다. 다만 이런 표준은 추상적이고 형식적인 요소가 많아, 그대로 맞추다 보면 형식에 어느 순간 형식에 그치게 되는 한계점도 있습니다.
그래서 중요한 건 표준을 따르는 데서 멈추는 것이 아니라, 우리 회사에 맞게 최적화하는 것이라고 생각해요. 이 과정이 곧 회사의 보안 성숙도를 보여주는 지점이기도 하고요. 저희는 여러 프로세스를 스푼랩스의 환경에 맞게 재정의하고 구현하는 데 집중하고 있습니다.
또 보안을 관리 보안과 기술 보안으로 나누는 이분법적인 방식보다는, 두 영역을 함께 고려하는 접근이 필요하다고 봅니다. 특히 스타트업일수록, 그리고 스푼랩스처럼 기술 지향적인 회사일수록 두 영역은 자연스럽게 섞일 수밖에 없는데요. 어떤 기술을 적용할지 고민할 때도, 그 기술이 구현되는 과정의 정책과 프로세스를 함께 고려해야 하기 때문입니다.
예를 들어 암호화를 해야 한다는 요구가 있을 때, 단순히 ‘암호화를 적용하는 것에서 끝나지 않고, 왜 암호화를 해야 하는지, 그리고 우리의 기술 환경에서는 어떻게 암호화하는 것이 맞는지까지 함께 고민하는 것이 중요하다고 생각해요. 이런 시야를 동시에 가져가야 하는 환경이라는 점이 스푼랩스의 특징이고, 그 안에서 정보보안 팀 역시 본인의 역할을 확장된 관점으로 수행해야 한다고 생각합니다.
결국 지금 저희 팀의 도전은, 정해진 답을 빠르게 적용하는 것이 아니라 표준을 기반으로 우리 회사에 가장 잘 맞는 보안을 계속 만들어가는 과정 자체라고 볼 수 있을 것 같습니다.
Q)
지금부터는 두 분의 더 자세하고, 깊은 이야기를 들어보고 싶어요. 어떻게 스푼랩스로의 입사를 결심하게 되셨나요? 입사를 결심하게 되신 가장 큰 요인이 무엇이었는지도 말씀해주세요!
Leo
가장 큰 이유는 스푼랩스가 하고 있는 비즈니스가 글로벌 환경이라는 점이었어요. 글로벌 서비스를 운영하는 회사라는 점 자체가 보안 담당자 관점에서 의미 있는 도전이라고 느꼈습니다.
그와 동시에 회사의 규모나 기술 중심적인 성격을 봤을 때, 굉장히 다양한 도전적인 시도를 해볼 수 있겠다고 판단했습니다. 단순히 안정적인 환경이라기보다는, 그 안에서 여러 가지 변화와 시도가 일어나고, 그로 인한 역동성이 있을 것이라고 생각했던 점이 입사를 결심하는 데 중요한 요인이었어요.
TY
솔직히 말씀드리면, 가장 큰 이유는 스푼랩스의 대표이신 Neil 때문이에요. 이직을 쉽게 결정하기 어려웠고, 굳이 지금 이 시점에 변화를 줘야 할까 고민하고 있던 때였는데요. 입사를 고민하면서 Neil의 인터뷰를 전부 찾아 보게 됐는데, 그걸 보면서 “이 사람이면 같이 일할 수 있겠다”는 생각이 들었습니다.
Neil께서 회사의 비즈니스에 얼마나 진심으로 몰입하고 있는지가 느껴졌고, 그런 방향성과 태도라면 함께 일해볼 수 있겠다는 생각이 들었어요. 그것이 스푼랩스로 이직하게 된 가장 큰 계기였습니다.
Q)
두 분께서 스푼랩스에서의 생활 중 가장 크게 성장했다고 느꼈던 순간은 언제일까요? 그 순간을 만들어내기까지의 계기와 가장 큰 원동력이 무엇인지 궁금합니다.
TY
저는 팀원들을 보면서 가장 많이 성장했다고 느끼는 동시에, 동기 부여도 받는 것 같아요. 팀원들이 일하는 모습을 보면서, “내가 저 위치에 있었을 때 저렇게 할 수 있었을까?”라는 생각을 자주 하게 됐고, 동시에 “나는 왜 지금까지 저렇게 일하지 못했을까”라는 고민도 하게 됐습니다.
팀원들과 함께 일하면서 서로 잘하는 부분과 부족한 부분을 자연스럽게 보완해 주는 분위기가 만들어졌고, 그러다 보니 팀 전체가 같이 힘을 합치고자 하는 흐름이 생겼어요. 그런 환경 속에서 저 역시 많이 자극을 받았던 것 같아요.
또 하나의 원동력은, 회사 구성원들 자체가 굉장히 열심히 일한다는 점이에요. 그런 모습을 보면서 저도 제 삶의 루틴을 다시 돌아보게 됐고, 조금 더 열심히 업무에 임해야겠다고 다짐하게 되었어요.
Leo
저도 특정한 한 순간을 꼽기보다는, 매시간 성장하고 있다는 느낌에 더 가까운 것 같아요. 스푼랩스에서 함께한 시간을 돌아보면 해마다 분위기와 상황이 모두 달랐어요. 2023년이 달랐고, 2024년이 달랐고, 2025년도 또 다르게 흘러가고 있습니다.
그만큼 같은 자리에 머무르기보다는, 짧은 시간 안에 계속 다른 고민과 과제를 마주하게 되고, 그 과정에서 압축적으로 성장하고 있다는 느낌을 많이 받습니다.
Q)
앞으로 스푼랩스 정보보안 팀에 함께하실 분들에게 한 마디 부탁드립니다!
TY
오십시오. 그리고 누리십시오. 보안의 세계를!
Leo
진정한 몰입을 경험해보고 싶으시다면, 스푼랩스로 오세요!
글로벌 서비스의 가드레일을 설계하는 정보보안 팀의 DNA 키트, 어떠셨나요? ₍ᵔ • ﻌ - ᵔ₎ 정보보안 팀은 스푼랩스 구성원이 신뢰할 수 있는 보안 환경에서 일하고, Spoon과 Vigloo 서비스가 흔들림 없이 성장할 수 있는 기준과 문화를 만들어가는 팀이에요. 그 과정에서 각자의 판단과 전문성을 존중하면서도, 더 나은 선택을 위해 끊임없이 논의하고 학습하며 우리만의 정답을 찾아가고 있어요.
정해진 정답이 없는 상황에서도 기술과 비즈니스, 규제 사이의 균형을 고민하고, 실패를 두려워하기보다 새로운 도전의 기회로 여기며 보안의 완성도를 높여가는 과정. 이러한 환경에서 스스로의 시야와 커리어를 확장해보고 싶은 분이라면, TY와 Leo의 이야기가 와닿으셨을지도 몰라요.
보안 엔지니어로서 클라우드 네이티브 환경에서 커리어의 성장과 도전을 경험해보고 싶으시다면, 지금 스푼랩스에 합류하세요!
