[우아콘2023] “측정해야 관리·개선 가능”…배민이 위험성 지표 만든 이유
[디지털데일리 이안나 기자] “측정할 수 없다면 관리할 수 없고, 관리할 수 없으면 개선할 수 없다는 말이 있다. 우아한형제들은 실제로 이것을 해봤고 성과를 달성했다”
김동현 우아한형제들 최고정보보호책임자(CISO)는 15일 그랜드 인터컨티넨탈 서울 파르나스에서 열린 ‘우아한테크콘퍼런스 2023’에서 배민이 위험성 수치를 개발한 과정에 대해 소개하면 이같이 말했다.
온라인 플랫폼에 대한 보안 중요성은 점차 높아지고 있다. 다만 문제는 담당자들이 보안 서비스나 시스템, 솔루션을 도입해 만반의 준비를 해도 ‘얼마나 안전해졌는지’에 대해 답하기는 쉽지 않은 게 현실이다. 사람마다 보안에 대한 지식과 배경이 다르기 때문이다.
배민 정보보호실이 자체적으로 위험성 지표를 개발한 배경은 ‘얼마나 위험한지’, 혹은 ‘얼마나 안전한지’에 대해 객관적으로 보여주고 협업하는 사람들끼리 ‘공감’을 하기 위해서다.
먼저 배민은 지표를 만들기 위해 취약점이 무엇인지부터 검토하기 시작했다. 해커가 특정 서비스 혹은 회사를 침입할 수 있는 문제점들이 있는지를 살펴본 것. 즉, 취약점이 많을수록 위험도가 높아진다.
김 CISO는 “2018년 취약점을 관리하는 직원이 입사해 1년 동안 문제점을 찾고 개선을 요청했고, 2020년 5월 또 한명의 취약성 관리 진단자가 입사한 후 취약점 관리를 체계적으로 하자는 생각을 했다”고 말했다. 배민은 그해 6월부터 취약성 관리를 시작했고, 지난해 한명이 더 합류해 현재 취약점 관리는 3명이 담당하고 있다.
배민은 내부적으로 취약점에 대해 등급을 메기기 시작했다. 가령 내부에서만 접근 가능한 서비스보다는 외부에서도 접근 가능한 서비스가 위험도가 더 높다. 특정 서비스가 고객 정보를 다루고 있다면 그렇지 않은 서비스보다 중요도가 더 높다. 자체 마련한 기준에 적용하면 동일한 취약점도 배민이 인식하는 위험지수는 5점부터 75점까지 차이가 나기도 한다.
취약점을 숫자로 표시할 수 있게 된 배민은 이를 한단계 발전시켜 그래프에 적용, 가시화하기 시작했다. 2020년 취약점 위험 지수가 점차 낮아지면서 뱀민은 취약점을 ‘빨리’ 조치하는 게 주안점을 두기 시작했다. 위험 상태가 어느 수준에 있는지 파악하고 빠르게 조치해 점수를 낮추는 방식이다.
김 CISO는 “조치가 빨라질수록 그래프 기울기가 급격해진다”며 “2020년보단 2021년 확실히 기울기가 급격히 떨어졌고, 다음 목표로 우리가 알고 있는 취약점을 최대한 줄여보자는 목표를 잡았다”고 전했다.
배민에서 새롭게 만들어지는 서비스는 오픈하기 전에 취약점 진단과 조치를 거친다. 정보보호실은 이러한 프로세스를 따르도록 사내 PM 개발자들에게 적극 전파했고, 문화를 만드는데도 힘썼다. 그 결과 2022년엔 전년대비 위험성이 50% 감소된 결과를 가져왔다.
그 다음 단계로 ‘피크’ 자체를 없애기로 한 배민은 새롭게 합류한 기획자·개발자들에게 관리 프로세스를 공유했다. 실제 올해 배민 위험성 지표를 살펴보면 위험도가 높아지는 ‘피크’ 부분이 보이지 않고 일정 기준 이하를 유지하고 있다.
김 CISO는 “우리가 위험성을 가시화해서 관리하기 시작한 때부터 2023년까지 87.5%에 달하는 위험을 감소시켰다”며 “수치들은 그간 엑셀로 수작업을 했는데 효율성을 높이기 위해 자동화 시범 운영을 하고 있다”고 전했다.
배민이 만든 위험성 지표는 배달대행사나 수탁업체들과 협업 할 때도 관리 기준이 된다. 예를 들어 배달대행사 같은 경우 배민이 주문 정보를 연동해주기 때문에 배달대행사 보안 요구 사항들을 전달하는데, 해당 보안 요구 사항을 얼마나 준수하고 있는지 역시 자체 위험지표로 만들어 관리한다.
김 CISO는 “그림으로 한 눈에 볼 수 있는 그래프이다보니 서로 배경지식이 다르고 걸어온 환경이 다르더라도 어느 정도 공감대를 형성할 수 있는 하나의 기준이 됐다”고 강조했다.
[2024 IT혁신상품] AI 협업부터 비정형데이터 보호까지…지란지교그룹 '각개약진'
2024-12-19 18:33:01비트코인, 1억5000만원대 유지…RWA NOVA 코인, 비트마트에 신규 상장
2024-12-19 18:06:07'계엄군 점거' 서버 살펴본 선관위 보안자문위…"침입 흔적 없다"
2024-12-19 17:56:25[현장] 티빙·웨이브 합병 두고 CEO별 온도차…"주주 동의 필요 vs 無 관여"
2024-12-19 17:13:57[DD퇴근길] 갈길 먼 AI 기본법…바디프랜드, '가구' 선보인 이유는
2024-12-19 16:52:18