배민이 보안위협을 측정하고 관리하는 방법

“그래서 우리 회사는 얼마나 안전해졌나요?” “우리 회사는 얼마나 위험한가요?”

보안 담당자들이 조직 내에서 종종 듣는 질문이다. 보안을 위해 적지 않은 비용을 투자하는 경영자 입장에서는 이런 질문을 하지 않을 수 없다.

하지만 이 “얼마나”라는 질문에 답하기는 쉽지 않다. 보안 위협이라는 것을 정량적으로 측정하기 어렵기 때문이다. 어떻게 해야 저 질문에 적절한 답을 할 수 있을까?

우아한형제들(이하 우형)의 보안을 책임지고 있는 김동현 최고정보보호책임자(CISO)는 지난 15일 열린 개발자 컨퍼런스 우아콘 2023에서 보안 위협을 측정해 개선해온 배민의 경험을 공유했다.

김 CISO에 따르면 우형은 ‘취약점’이라는 관점에서 저 질문에 답을 준비했다. 취약점이란 해커들이 시스템을 공격할 수 있는 틈새를 의미하는데, 취약점이 “얼마나” 많은가를 기준으로 바라보자는 것이다.

우형은 먼저 위험지수라는 지표를 만들었다. 취약점의 등급 상중하, 서비스의 중요도 상중하, 내외부 등을 기준으로 점수를 매겼다. 같은 취약점이라 서비스의 중요도와 내부-외부 시스템인지에 따라 위험지수는 달라질 수 있다. 예를 들어 등급이 상(5점)인 취약점이 결제와 같은 중요한 서비스에 나타난다면 점수는 위험지수는 높게 측정된다. 하지만 같은 취약점이 내부에서만 사용하는 약관 편집 시스템에 나타난다면 위험지수는 훨씬 낮게 측정된다.

각각의 취약점은 종류와 위치, 서비스 등에 따라 이렇게 위험지수라는 수치로 표현될 수 있다. 모든 취약점의 위험지수를 합치면 조직 전체의 위험지수가 된다. 이 위험지수를 가시화해서 추이를 살펴보면 조직이 얼마나 안전해졌는지 알 수 있다.

위험지수가 측정되니 위험지수 그래프의 기울기를 떨어뜨리겠다는 조직의 공동 목표가 생긴다.

김 CISO는 “내부의 취약점 점검 프로세스를 사내 PM이나 기획자, 개발자에게 전파를 해서 새롭게 만들어지는 서비스는 오픈 전에 취약점 진단을 거치고, 조치를 한 후에 오픈을 하게 됐다”면서 “보안팀은 취약점 점검 프로세스를 계속 설파하고, 그 프로세스를 따르도록 문화를 만들어갔다”고 전했다. 그 결과 2022년 위험지수는 그 전해보다 50% 떨어졌다.

우형은 외부와 연결된 시스템도 적지 않다. 예를 들어 배민은 배달대행사의 IT시스템과 연결돼야 한다. 고객의 주문정보를 배달대행 시스템에 전달해야 배달기사가 배치될 수 있다. 만약 배달대행사 IT시스템에 해커가 침입하면 그걸 타고 배민 시스템까지 침입할 가능성도 배제할 수 없다. 이 때문에 배민은 배달대행사 측에 주기적으로 보안 요구사항을 전달한다.

하지만 전달만 하는 것으로는 충분하지 않다. 배달대행사의 보안위협도 측정할 수 있어야 배민 시스템의 안전성을 관리할 수 있다. 김 CISO는 “배달대행사가 저희들의 보안 요구를 얼마나 준수하고 있는지 위험지표를 만들어 측정하고 있다”고 전했다.

이처럼 배민은 보안과 관련된 것들을 지표화하려는 노력을 계속하고 있다. 김 CISOS는 “개인정보도 식별된 위험에 대해서 지표로 관리를 하고 있고, IT 감사 관련해서도 부적합 사항에 대해서 지표화해서 관리하고 있으며, 규제준수도 점검을 통해 나온 위험을 지표로 관리하고 있다”면서 “저희 자산 중 외부에서 접근이 가능한 것들을 자동으로 스캔해 취약점을 발굴하는 시스템도 개발하고 있다”고 강조했다.

그는 “저희는 자체적으로 지표를 개발해 그 숫자를 측정하고, 측정한 수치를 기반으로 목표를 정해 하나씩 달성해왔다”면서 “우형은 이제 얼마나 위험한지에 대해 답을 할 수 있게 됐다”고 말했다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network