누구나 안심하고 사용하도록, 당근의 안전을 지키는 보안팀

서비스 | 2025-01-06
누구나 안심하고 사용하도록, 당근의 안전을 지키는 보안팀_포스트썸네일

수많은 사용자들이 당근의 다양한 서비스를 안심하고 이용할 수 있는 이유는 무엇일까요? 바로 보이지 않는 곳에서 당근의 안전을 지키기 위해 치열하게 노력하는 보안팀 덕분인데요. 보안팀은 내외부의 위험으로부터 당근의 정보와 서비스를 보호할 뿐만 아니라, 이 모든 활동들이 정보보호 관련 규정 안에서 이뤄질 수 있도록 꼼꼼히 검토하기도 해요. 기술적 지원부터 컴플라이언스 지원까지, 신뢰할 수 있는 서비스를 위해 최선을 다하는 당근 보안팀과 이야기 나눠봤습니다.

안녕하세요, 먼저 간단히 자기소개 부탁드려요!

보안팀 Toto, Raina, Elliot

보안팀 Toto, Raina, Elliot

Elliot: 안녕하세요. 보안팀 리더를 맡고 있는 Security Engineer Elliot이에요. 당근에서 일한 지는 2년 정도 됐고, 합류하게 된 계기는 저희 아이 때문인데요. 육아용품을 구하려고 당근을 자주 이용하다 서비스에 매력을 느껴 이직하게 됐어요.

Raina: 저는 Privacy Engineer로 일하고 있는 Raina예요. 제 소소한 버릇은 자주 사용하는 서비스들의 개인정보 처리방침을 읽는 건데요. (웃음) 당근 것도 읽어보니 제가 기여할 수 있는 게 많겠더라고요. 그래서 합류하게 됐어요.

Toto: 저는 최근에 보안팀에 Security Engineer로 합류한 Toto예요. 제가 전에 다니던 회사가 규모가 엄청 커지면서 업무에 대한 제약이 많았는데요. 매너리즘에 빠져있던 차에 당근을 소개받아 이직하게 됐어요. 여기는 커뮤니케이션이나 업무 추진 속도가 굉장히 빨라서, 오히려 새로운 자극을 받으면서 다니고 있어요. 

보안팀은 당근에서 어떤 일을 하고 있나요?

Elliot: 쉽게 말해 당근의 모든 서비스를 안전하게 지키는 일을 해요. 직군을 기준으로 업무 영역을 나눠보면 크게 엔지니어 직군과 매니저 직군으로 분류할 수 있는데요. 엔지니어 직군은 서비스의 보안을 강화하고 보호하는 데 기술적으로 기여해요. 사내 보안 도구를 개발, 운영하고 침해 사고에 대응하죠. 매니저 직군은 정보보호 인증을 취득하고 유지하는 컴플라이언스 업무나 당근의 여러 서비스들이 정보보호 규제를 잘 준수하고 있는지 점검하는 일을 하고요.

보안팀은 각자 맡은 역할이 다르다고 들었어요.

Elliot: 맞아요. 우선 저는 보안 솔루션 운영 관리를 맡고 있는데요. PC에 설치되는 백신이나 외부에서 내부망 접근 시 활용하는 ZTNA 솔루션을 자동 설치·관리 솔루션인 MDM을 통해 구성원들이 더 편리하게 사용하도록 관리하고 개선해요. 

Raina: 저는 개인정보 보안과 컴플라이언스 업무를 담당해요. 당근의 여러 서비스에서 개인정보 처리가 적법한 절차에 따라 진행되고 있는지 검토하죠. 또 내부 어드민에 개인정보 처리 시스템을 구성할 때, 안정성 확보 조치 방안들이 잘 지켜졌는지도 확인하고요. 컴플라이언스 측면에서는 ISO27001이나 ISMS-P와 같은 정보보호 인증을 유지·관리해요.

Toto: 저는 CERT(침해사고 대응)를 맡고 있어요. 기본적으로는 사내 보안 솔루션이나 서비스 시스템들에서 발생하는 로그 데이터를 모니터링하다가 이상 행위를 발견하면 담당자를 만나 이슈를 해결해요. 또 침해 사고가 발생하면 모니터링하면서 모아놨던 정보들을 활용해 빠르게 대응할 수 있도록 도와요. 

Elliot: 개인 사정으로 인터뷰에 함께하진 못했지만, Ryan은 해커의 관점에서 모의해킹을 진행하며 서비스의 취약점을 발견하는 일을 해요. 예를 들어 누가 당근의 매너 온도를 조작하면 서비스 신뢰도가 많이 훼손될 수 있잖아요. 그럴 때 서비스의 취약점을 찾고 엔지니어들과 직접 소통하며 개선해 주는 역할을 해요. 또 보안 관련 플랫폼 개발 일도 하는데요. 최근에는 엔지니어들이 작성한 코드에 회사의 주요 정보가 포함되어 있는지 자동적으로 검출하는 ‘시크릿 진단’ 기능을 만들었죠.

보안 철학에 따라 사내 규정이나 업무 방향성도 많이 달라질 것 같은데, 당근 보안팀만의 철학이 궁금해요.

인터뷰 사진 (Elliot)

Elliot: 저희 팀은 통제보다는 모니터링 중심으로 운영하려고 해요. 보안 업무를 하다 보면 서비스를 안전하게 지키려는 통제 조치들이 오히려 구성원들의 업무 생산성을 저해할 수도 있는데요. 그런 조치들을 사내에 일률적으로 적용하기보다는, 최대한 통제를 줄이고 모니터링으로 커버하려고 해요. 방대한 양의 로그 데이터에서 유의미한 정보를 찾아내는 게 모래사장에서 바늘을 찾는 것처럼 쉬운 일은 아니지만, 당근이 속도감 있게 성장할 수 있도록 최대한 지원하려고 하는 거죠.

또 보안 업무를 하다 보면 접하게 되는 키워드 중에 ‘규제’, ‘조사’ 같은 것들이 있는데, 이런 상황에도 최대한 진정성 있게 접근하려고 해요. 규제를 준수하지 못했을 때의 리스크를 냉철하게 따져보고 최대한 규제를 준수하려고 하죠.

당근은 도메인이 다양해서 각 서비스마다 특화된 보안 사항을 챙기는 게 어려울 것도 같은데, 어떤가요?

Elliot: 실제로 그렇지만 그게 어떻게 보면 장점이기도 해요. 당근은 앱 하나에 중고거래부터 부동산, 중고차, 알바 등 다양한 산업군이 있잖아요. 저희는 기획부터 오픈까지 여러 서비스들의 보안 사항을 검토하면서 다양한 도메인들을 경험해 볼 수 있는 거죠.

Raina: 저도 개인정보 처리 절차를 검토할 때 산업군별로 특별법을 고려해야 하는 경우가 많이 생겨요. 중고차 서비스는 자동차 관리와 관련된 법령을, 부동산 서비스는 부동산 거래와 관련된 법령을 추가적으로 고려해야 하죠. 그때마다 다양한 법령을 살피며 우리 서비스에 적용될 만한 부분, 개인정보보호법과 충돌될 수 있는 부분들을 꼼꼼히 따지는데요. 이 과정에서 당근의 서비스만큼이나 다양한 도메인의 지식을 쌓아갈 수 있어서 좋아요. 

어쩔 수 없이 보안 사고나 장애를 경험하는 일도 생길 텐데요. 효과적으로 대응했던 사례도 하나 소개해 줄 수 있나요?

Elliot: 당근에서도 사용하고 있는 크라우드 스트라이크 사의 보안 소프트웨어가 작년에 전 세계적으로 PC 장애를 발생시킨 적이 있어요. 각 국가에서 항공이나 교통, 의료가 마비됐을 정도로 큰 사건이었죠. 빠르게 조치하기 위해 식은땀을 흘리면서 짧은 시간 동안 깊게 몰입했던 경험이었어요. 다행히도 초동 조치는 수 분 이내로 끝내고, 단기간 내에 다양한 방안들을 다각도에서 검토할 수 있었는데요. 장애를 식별한 직후 프로그램을 삭제하도록 지원하거나, 크라우드 스트라이크 측의 조치 방안이 공개됐을 때 빠르게 적용하고, 지속적으로 모니터링하는 체계를 만드는 등 짧은 시간 동안 여러 작업을 동시에 진행했죠. 

평소에도 일하는 속도가 이렇게 빠른 편일까요?

Elliot: 저희는 팀 내부뿐만 아니라 다른 팀과도 커뮤니케이션이 굉장히 신속하게 이뤄지고 있어서 전체적인 업무 속도가 꽤 빠른 편에 속해요. 덕분에 회사가 성장하면서 특정 솔루션이 필요해질 때마다 늘 지연 없이 적시에 도입할 수 있는 거 같고요. 예를 들어 이전 회사에서는 1년이 걸렸던 일이 당근에서는 3개월 정도밖에 걸리지 않는 식이에요. 당근의 CISO인 Eugene과 CTO인 Seapy가 기술적 역량이 뛰어나셔서 설득을 위한 커뮤니케이션 비용이 크지 않고 내부 의사결정이 속도감 있게 진행돼요.

Raina: 저도 여기서 1년 동안 준비해서 취득하는 인증을 3개월 만에 취득한 경험이 있어요. (웃음) 당근이 기존에 의무적으로 취득해야 하는 인증은 ISMS였는데요. ISMS-P라고 개인정보 관련 영역을 추가로 심사하는 인증을 취득해야 하는 상황이 생긴 거예요. 보통은 1년에 한 번만 인증 심사를 받는데, ISMS 심사를 완료한 지 반 개월도 지나지 않아서 다시 ISMS-P 취득을 준비한 거죠.

개인정보 처리와 관련된 전반적인 사항을 점검하는 데 굉장히 오랜 시간이 걸리는데, 3개월 동안 몰입해서 심사 준비를 마치고 인증을 취득했죠. 덕분에 프로덕트 팀이 관련 사업에 제안서를 제출할 수 있는 자격을 기간 내에 만들어드렸을 때 너무 뿌듯했어요.

말씀하신 것처럼 다른 팀과의 협업도 정말 많을 것 같은데, 협업 과정은 어떤가요?

인터뷰 사진 (Raina, Toto)

Toto: 다른 팀과 협업할 때도 병목 없이 빠르게 진행돼요. 얼마 전에 ISMS-P 인증 심사를 준비하기 위해 필요한 데이터가 있어서 관련 담당자분과 미팅을 진행했는데요. 요청 사항을 드릴 때 다음 날 해주시겠지 생각했는데, 미팅이 끝나자마자 바로 작업을 시작하시는 거예요. 저도 좀 쉬엄쉬엄 하려고 했었는데. (웃음) 스레드에서 실시간 진행 상황을 공유해 주시면서 결국 당일에 완료해서 전달해 주시더라고요. 다른 팀에서 요청을 받으면 해야 할 일을 전반적으로 검토하는 과정이 필요할 거라고 생각했는데, 평소에도 긴밀히 소통하면서 어떤 작업이 필요한지 공유하니까 빠른 협업이 가능한 거 같아요.

Elliot: 규제 기관에서 진행하는 조사에 대응할 때, 특히 다른 팀과의 긴밀한 협업이 필요한데요. 작성해야 하는 자료의 양도 많고 내용도 꼼꼼히 살펴봐야 하거든요. 그럴 때 프로덕트 팀 입장에서는 서비스를 잘 운영하다가 갑작스럽게 대응해야 하는데도, 저희가 배경 설명과 작성 가이드를 드리면 잘 준수해서 빠르게 작성해 주세요. 

Raina: 저도 법적인 부분들을 검토하다 보면 법무팀하고 협업할 일이 굉장히 많은데요. 법적인 부분들을 훨씬 더 잘 아시니까 많은 조언을 주세요. 서로 의견을 나누면서 잘 대응해 나갈 수 있어서 좋죠. 또 프로덕트 팀하고도 함께 논의하다 보면, 규제만 바라보는 입장에서는 생각할 수 없는 질문들을 하시는 경우가 있어요. 이런 관점에서도 규제 사항을 바라볼 수도 있겠구나 싶어서 좋더라고요. 

보안팀은 팀워크도 정말 좋다고 들었어요.

인터뷰이 사진 (Elliot, Toto)

Elliot: 예를 들어 저는 일하다가 Raina를 부르기만 했는데, Raina는 제가 왜 불렀는지 이미 알고 있을 때가 있어요. 팀에서 진행되는 여러 업무를 병렬적으로 잘 살펴보고, 다른 팀원들이 궁금해할 만한 부분을 평소에도 생각해 두기 때문이겠죠. 그래서 부르기만 해도 자판기처럼 “지금 이거 때문에 그러시는 거죠?”라면서 도움을 줘요. 서로 동기화가 잘 돼있다는 게 저희 팀의 장점 같아요. 특별한 노력을 기울이지 않아도 다들 알아서 잘해주시니까, 리더로서 너무 편하게 일하나 하는 생각도 들고요. (웃음)

Toto: 보안은 일의 특성상 본인이 한 판단과 의사결정에 대해 다른 팀원들이 리뷰를 해주면 조금 더 안심하고 일할 수 있는데요. 저희 팀은 그런 부분에서 서로 호흡도 잘 맞고 단합이 잘 돼요. 각자 맡은 업무 역량은 물론이고 커뮤니케이션도 너무 수월하게 진행되니까, 팀원들 한 분 한 분이 대체재가 없다는 생각이 들어요.

보안팀은 현재 인원 확장 중이라고 들었는데요. 앞으로 어떤 분이 합류하기를 원하시나요?

인터뷰이 사진 (Elliot, Raina)

Elliot: 저는 다양한 경험을 가지고 계신 분이 오셨으면 해요. 당근에는 중고차, 부동산, 알바처럼 다양한 버티컬 서비스들이 있는데요. 보안 역량은 물론이고 여러 도메인에서 일해 본 경험이 있다면, 이런 다양한 서비스를 안전하게 만드는 데 큰 도움이 될 거 같아요. 특히 Application Security Engineer의 경우, 도메인뿐만 아니라 취약점 진단, 보안 개발 등 다양한 영역의 보안 엔지니어링을 즐기시고 주도적으로 챙길 수 있는 분이면 좋을 것 같아요.

또 다양한 사람들과 원활하게 협업할 수 있는지가 중요할 거 같아요. 저희는 법무팀뿐만 아니라 각 서비스를 만드는 수많은 프로덕트 팀과 함께 일하거든요. 그 안에서도 PM, 엔지니어처럼 다양한 직군의 구성원들과 소통해야 하죠. 본인의 전문성을 바탕으로 컴플라이언스적인 검토든 기술적인 검토든 보안팀의 의견을 잘 전달하고, 당근의 구성원들과 원활하게 협의할 수 있는 분이면 좋을 것 같아요.

Raina: 저는 문제를 바라볼 때 다양한 해결 방법을 고민하는 분이면 좋겠어요. 인증 심사 항목이나 법적인 규제 사항을 글자 그대로 해석하면, 솔루션을 도입하거나 네트워크 접근을 제어하는 것만으로 손쉽게 문제를 해결하는 경우가 있긴 해요. 근데 이런 접근은 단순히 통제를 키워나가는 방식이죠. 그래서 어떤 항목이나 사항을 만족시키기 위해 쉽고 간단한 방법이 아니라, 다른 관점에서 다양한 시도를 해보는 분이면 좋을 거 같아요.

보안팀의 앞으로의 목표가 궁금해요.

Elliot: 모든 신규 서비스나 기능의 기획 단계에서부터 보안팀이 함께하고 싶어요. 현실적으로 아직은 모든 조직에서 기획 단계부터 일일이 공유해 주지는 못하고, 일정 부분 개발된 상태에서 공유해 주시는 경우가 종종 있거든요. 이를 개선하기 위해 보안팀에서는 Privacy by Design 개념을 당근의 다양한 서비스에 적용해 나가는 중이에요. 서비스의 마지막 단계가 아닌 기획과 설계 단계에서부터 보안을 면밀히 검토하는 거죠. 앞으로는 초기 단계에서부터 각 팀에 서비스 특성에 맞는 보안 가이드를 잘 전달하려고 해요. 서비스 런칭이 다가오는 시점에 보안 때문에 배포가 지연되는 경우가 절대 생기지 않도록 말이죠.

그러다 보면 각 팀에서도 서비스를 기획하고 개발할 때 어떤 것들을 고려해야 하는지 내재화될 거예요. 이런 과정을 계속 반복하면서 당근 구성원들 사이에서 보안 위험들이 자연스럽게 관리되는 환경을 조성하는 게 최종적인 목표예요.

믿고 쓰는 당근을 함께 만들고 싶다면보안팀 채용 공고 바로 가기🔐

당근

당신 근처의 지역 생활 커뮤니티

추천 포스트