서버실을 점검하는 모습을 ‘연출’해준 전해성 한국신용데이터 정보보안팀 리드.

KCD 정보보안팀의 2가지 원칙

최고를 위해 최선을 다한다. 그리고, 법과 원칙을 지킨다.

한국신용데이터(Korea Credit Data, KCD)는 데이터 비즈니스의 국내 선두 주자입니다. 전국 약 80만 사업장에서 쓰이는 경영 관리 서비스 ‘캐시노트’를 통해 소상공인 디지털 인프라를 구축하고 있으며, 국내 최초 카드업권 마이데이터 API 연동 서비스 ‘페이노트’를 통해 소비자의 구매 의사 결정을 돕고 있습니다. 수집, 분석 중인 거래 정보는 연간 150조원 규모에 달하며, 이를 통해 정부, 사업자, 소비자 등 다양한 영역에서 경제적 의사 결정에 필요한 깊고 넓고 빠른 데이터를 제공하고 있습니다.

이 말을 다른 면에서 보자면, 이런 의미가 됩니다. KCD는 약 80만 사업장의 경영 정보 데이터를 다루고 있습니다. 카드업권 마이데이터 API 연동을 통해 페이노트 사용자의 구매 데이터 역시 수집하고 있습니다. 라는 것은, 그만큼 많은, 가치 있는 데이터를 다루고 있다는 뜻입니다.

KCD는 제도권 내의 핀테크(fintech) 기업이기도 합니다. KCD는 올 초 금융위원회로부터 본인신용정보관리업(마이데이터) 허가를 받았습니다. 지난해에는 오픈뱅킹 이용기관 등록 허가를 받았고, 지난 6월 말에는 카카오뱅크, SGI서울보증 등과 함께 데이터기반중금리시장혁신준비법인을 설립해 개인사업자 신용평가업 면허 예비허가를 신청했습니다.

이렇게 높은 가치를 지닌 데이터를 지키고, 다양한 사업 허가를 신청해 취득하는데 필수적인 보안 인프라 구조를 만드는 정보보안팀은 한국신용데이터의 숨겨진 보석(hidden gems)이며, 감춰진 영웅(unsung heroes)입니다. “정보보안팀은 알려져 봐야 좋을 거 하나 없다”고 극구 인터뷰를 사양하던 정보보안팀 리드 피터(전해성)를 설득해 정보보안팀에 대한 이야기를 들어봤습니다. 설득 논리는 “KCD 정보보안팀이 뭘 하는지 알아야 후보자들이 지원을 하시죠!”였습니다.

전해성 리드가 피플팀과 인재 영입에 대해서 이야기하는 모습

  • “일단 현재 총원이 6명입니다. 6명이지만, 내부적으로 파트를 나눠서 자기 업무에 집중할 수 있도록 구성돼 있어요. 크게는 4개 파트로 구성돼 있는데요. 각각 침해사고 대응파트, 엔드포인트 엔지니어링 파트, 보안 인프라 엔지니어링 파트, 그리고 IT 어드민 파트 입니다. 는 가장 중요한 역할 중 하나죠. CERT 침해 사고 들어왔을 때 해킹을 모니터링하고 실시간으로 이를 막아내고 침해 발생 시 포렌식 분석 등을 하는 역할입니다. 는 AV, DLP, DRM 같은 엔드포인트 보안솔루션의 도입과 운영, 관리를 맡고요. 이메일 보안, 시스템 접근 통제와 망분리 관련 인프라 운영 관리도 맡습니다. 는 크게 로 나눠서 모시고 있는데요. 파트 전체에서는 AWS 인스턴스 접속 제어 솔루션을 운영하고, 신규 서비스 인프라 보안 아키텍처를 설계하는 일 등을 맡고 있습니다. 마지막으로 에서는 IT 자산관리, IT 구매, 업무 기기 장애 초동 대응 등을 담당하고 계세요. 총괄하는 역할로 제가 있고요.”

  • “지원 조직의 경우에는 전사의 모든 임직원을 대상으로 지원 업무를 진행하다 보니 일이 많이 몰리는 경우가 있어요. KCD 구성원이 빠르게 늘고, 다양한 부서의 다양한 분들이 더욱 빠르게 늘다보니 업무가 많은 건 맞습니다. 또, KCD에서 추진하는 신규 서비스 중에는 금융 비즈니스, 데이터 세일즈, 정부 사업 등이 있는데요. 최근에는 개인사업자 신용평가업 예비 허가 신청처럼 정보 보안이 일선에 나서서 물적 설비 구성과 같은 것을 도와드려야 하는 업무도 많았고요. 또, 금융 관련 업무를 하다 보면, 단순히 보안을 어떻게 유지하고 관리하는데에서만 그치는 게 아니라, 매 순간 보안이 적절히 유지되고 잘 관리된 것에 대한 증적을 남겨야 하는 부분이 있습니다. 그렇다 보니 지금 정보보안팀의 인원 대비 일이 많은 상황인 건 맞아요. 그런데 이건 지금 인원 규모 대비 일이 많다는 거고요. 늘어난 일의 규모에 맞춰서 팀도 확장하기 위해서 여러 분야의 보안 엔지니어를 모시고 있어요.”

  • “업무가 많아진 데에는 분명히 KCD의 업무가 규제의 테두리 안에 들어간 것도 이유가 될 수 있습니다. 앞서도 말했지만, 규제 감독이 없는 기업들끼리만 하는 사업이라면 스케줄 잡아서 정보보안 관리를 하면 되거든요. 그런데 금융 감독 규정의 테두리 안에 들어오면 매일 해야 하는 일이 있어요. 매일 보안이 잘 관리되고 있는 증적을 잘 모아서 감사 받을 때 제출해야 해요. 그러다 보니까 오늘 다른 일 때문에 규정에 정해진 점검해야 하는 일을 놓쳤다고 하면, 늦게까지 남아서라도 해야 하죠.”

  • “그렇네요. 금융(金融)의 의 금(金)자만 들어가도, 파이낸스(finance)의 f자만 들어가도 정보보안팀을 비롯한 지원 조직이 바쁜건 숙명이에요.”

  • “반반이에요. 일단 제 방침은 각자 파트를 가지고, 그 파트원들은 자기가 소속된 파트일을 최대한 하도록 하는 것입니다. 누구도 하기 싫은 잡업무. 말 같지도 않은 일인데 꼭 쳐내야 하는 거. 그런 거는 주로 제가 쳐내고 있습니다. 제가 하기 싫은 일을 파트원들에게 내리지는 않아요. 하지만 저도 손발이 2개씩이고 시간은 24시간으로 한정돼 있으니까, 빠른 기한 안에 처리해야 하면 각 파트장에게 업무 공유해서 같이 하게끔 하고 있어요. 그러니까 더 큰 역할을 맡은 사람이 싫은 일도 더 많이 하는 거죠. 이렇게 하다 보니, 누구나 하고 싶은 것만 하는 팀도 아니고, 하기 싫은 것만 주구장창하는 것도 아닙니다. 새로 오실 분께는 이렇게 말씀 드릴 수 있어요. 자기 분야의 업무를 강화하는 동시에 새로운 업무에 대한 러닝 커브를 그릴 기회도 가질 수 있다고요.”

파이낸스(finance)의 f자만 들어가도 정보보안팀을 비롯한 지원 조직이 바쁜건 숙명이에요.

  • 사실, 금융 규제 당국의 감사를 받으면서 일하는 건 정말 어려워요. 하지만 그렇기 때문에 도전할 가치가 있고, 장기적으로 봤을 때 커리어에 도움이 되는 일이라고 생각합니다. 어려워서 다들 피하려고 하니까요. 제 얘기를 하자면, 저는 전 직장에서도 규제를 적용 받으면서 일했는데요. 그게 너무 힘들었어요. 그래서 ‘일을 좀 쉬어야겠다’고 생각하고 대학원을 준비하던 찰나에 KCD는 규제 사업을 안 한다고 해서 합류했어요. 그런데 와서 보니까 결국 같은 일을 또 하고 있네요. 돌이켜 생각해보면, 힘든 일이고, 어려운 일인 건 맞지만, 그만큼 이 모든 경험이 저한테 뼈가 되고 피가 되고 살이 되는 거겠더라고요. 제가 지금보다 높은 자리에 오를 수 있을지는 모르겠지만, 더 높은 포지션에 가려면 결국 더 많은 걸 알고 있어야 하거든요. 그러려면 다양한 분야에 대해 경험치가 쌓여야 하고, 그에 따라 성장할 수 있는 거니까요.”
  • “네. 개발자도 코딩만 잘하는 사람과 코딩을 하면서 서비스 인프라를 같이 아는 사람은 능력 레벨이 다른 거잖아요. 정보보안도 마찬가지에요. 개발자로 시작해서 해킹, 악성코드 분석, 포렌식, 여기까지 아는 것만도 대단하지만 더 큰 경험을 해본다는 건 더 큰 세상에 나간다는 얘기에요. 그리고 또 한 가지, KCD에서는 금융 당국의 보안 감사를 내부 인력으로 직접 받고 있어요. 다른 회사에서는 보통 외부 보안 전문 업체를 통해서 컨설팅으로 해결하시는데요. 이런 경험을 가진 사람들을 찾는 수요는 점점 더 많아지고 있어요. 전자금융업이 활성화되고 핀테크 기업이 많아지고 있잖아요. 혁신 금융을 하는 기업에서 테크 오피서(tech officer)를 뽑을 때는 경험을 한 사람을 뽑는데 — 홍수 속에 마실 물 없다고 — 인력도 그런 상황이에요. 저는 KCD 같이 다양한 데이터 아젠다를 가진 환경에서 여러 경험을 해보는 것이 개인 커리어에 있어서 좋은 경쟁력이 될 거라고 생각합니다.”
  • 가장 중요한 건 계속 노력하는 거라고 생각해요. 인프라 구성에는 관련된 분들이 많거든요. 프로덕트 엔지니어도 있고, 데이터 엔지니어도 있고. 팀 내부에서도 계속 브레인 스토밍하면서 아키텍처를 그려서 공유했어요. 또 설비를 바꿨을 때 문제 되는 것이 뭔지 공유하고 그러다 보면 좋은 아키텍처 방안이 나오더라고요. 기존에 경험해보지 못한 환경들이 나오는 거죠. 머릿속에만 담아두거나, 말로만 설명하면 절대 안 됩니다. 끊임없이 내부의 사람들과 커뮤니케이션을 하는데, 그걸 굉장히 구체적으로 하는 것이 가장 좋은 노하우라고 생각합니다.”

KCD 같이 다양한 데이터 아젠다를 가진 환경에서 여러 경험을 해보는 것이 개인 커리어에 있어서 좋은 경쟁력이 될 거라고 생각합니다.

  • “딱 2가지를 말씀 드릴 수 있어요. 우리 팀에는 매니징만 하는 사람이 없어요. 말로만 보안하는 사람이 아니라 행동으로 보여주는 사람만 모여있기 때문에 어떤 것을 그려나가더라도 빠르게 행동하고 대응할 수 있어요. 또 하나는 다른 회사에서는 일하기 불편하다고 하면 원칙을 우회해서 풀어주기도 하고 그러는데, 우리는 그렇지 않아요. 불편해도 어쩔 수 없다. 풀어줄 수 없는 건 풀어줄 수 없는 거다. 이 2가지는 흔들림이 없어요. 저도 그동안 많은 CISO를 모셔봤고 다양한 회사에 소속돼 있어 봤는데, 그 중 뛰어난 분들의 공통점을 말하자면 실무적인 능력을 뒷받침할 수 있는 다양한 경험을 밀도 있게 해보신 분들이더라고요. 실제로 이게 최고의 자랑거리에요.”
  • 본인이 일을 추진해본 경험, 문제점을 개선해본 경험을 꼭 물어보고 있어요. 실제로 어떤 문제를 해결한 경험이 있으려면, 현실에서 문제를 찾아내고, 그 문제의 크기를 가늠하고, 위험도가 어느 정도인지 평가하고, 해결책을 시행했을 때의 외부영향도 생각하는 식으로 시뮬레이션을 해보게 되잖아요. 이렇게 생각하지 않고 아님 말고라는 식으로 일을 하는 사람은 실제로 문제를 해결하기 어렵거든요. 깊게 멀리 보고 개선할 요소를 찾아내는 능력을 쉽게 있는 게 아니니까요. 그렇다고 해서 아이디어를 낼 때 내가 다 해결할 수 있는 것만 내라는 건 아니에요. 전 아이디어가 발제되면 오너십은 아이디어를 낸 분이 갖되, 책임은 리드가 진다고 얘기합니다. 그러니까 어느 정도 스스로 검토해본 생각이라면 얘기하면 된다고 생각합니다. 우리 팀은 현업에 최선을 다해서 최고가 되려는 사람들이 모여있는 곳이니까, 터무니 없는 소리는 팀 안에서 걸러질 거고요.”

100점. 200점. 300점. 줄 수 있는 최대 점수요. 큰 회사는 보안 사고가 일어나더라도 어떻게든 만회할 수 있어요. 마케팅을 하든 뭘 하든지 해서요. 하지만 KCD 같은 회사는 정보 보안 사고가 일어나면 존폐 위기를 겪게 됩니다. 따라서 중요도는 100점 중에 100점 그 이상입니다. 그리고 KCD에서 정보 보안 사고가 일어나는 건 업 자체의 망신이기도 해요. KCD 미래 계획을 보면 ‘데이터 비즈니스 생태계’란 말이 있어요. KCD가 주도하는 안전한 데이터 생태계란 말인데, 아직 생태계는 시작도 안 한 지금 단계에서 무너지면 그 동안 제가 말해온 ‘최고가 되기 위해 최선을 다한다’는 말이 물거품이 되는 거잖아요. 그런 일은 절대 없도록 최선을 다하려고요.”

한국신용데이터 (KCD) 인재영입 노션페이지 바로가기

--

--

--

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Korea Credit Data (KCD)

Korea Credit Data (KCD)

사업의 모든 순간 — 더 쉽게, 더 빠르게, 더 똑똑하게

More from Medium