11월은 대부분의 회사가 사업 계획을 수립하고 확정하는 시기이다.
내가 다니고 있는 회사도 현재 사업 계획을 수립하는 단계를 진행 중이고
IT 인프라와 정보보호 영역을 총괄하고 있는 나 또한 이런저런 생각이 많은 시기를 보내고 있다.
보통 어느정도 규모가 있는 회사는 인프라와 정보보안을 별도 부서로 분리하곤 한다.
우리 회사의 경우 IPO를 목표로 회사 규모를 키워가는 중이기 때문에
아직까지는 인프라와 정보보호 영역이 한 부서로 통합되어 있고, 이러한 조직 구성은 경험상 장/단점을 동시에 갖는다.
두 조직이 통합되어 있을 때의 장점
인프라 관점에서의 보안성 확보가 용이함
그다지 깊이 생각을 안해봐도 나올 수 있는 답변이다.
인프라와 보안 영역의 헤드가 동일 인물이다 보니, 그 어떤 갈등도 없이 속시원한 의사 결정을 내릴 수 있다.
이러한 속시원한 의사 결정들은 빠르게 업무 성과로 이어지곤 한다.
두 조직이 통합되어 있을 때의 단점
타 부서와의 정보보호 관련 협의 과정에서
우리의 의견을 인프라 입장에 치우친 것으로 단정하고, 날을 세우는 경우가 가끔씩 있음
지금 직장에서 일해오며 이러한 경우를 꽤 많이 겪어봤지만, 사실 아직도 겪을 때 마다 피로도가 가장 큰 부분이다.
사실 그들 입장에서 생각해보면, 그런 생각들도 어느 정도는 이해가 되기도 하고
각 부서 별 추구해야 하는 고유의 가치가 있기 때문이다. (사업 : 비용, 개발 : 효율성, 인프라 : 안정성 등)
그 동안 내가 너무 보안에 힘을 기울이는 회사들에만 있어봐서 그런지 고정관념에 사로잡혔던 것들이
이러한 반대에 부딪히며, 시간이 지나 생각을 달리 할 수 있는 계기가 되기도 했다.
때로는 힘들긴 하지만, 반드시 나쁘다고만 볼 수 없는 점이기도 하다.
사업 계획 수립에 앞선 고민들
1. 개발에서의 효율성 vs 보안성
앞서 언급했듯 우리는 아직 규모가 크지 않기 때문에
한정된 자원과 예산으로 개발하고, 정해진 기한 내 서비스 오픈을 해야 한다.
다만 우리 서비스 고객의 범주에는 금융권 및 메가캡이 포함되기 때문에
개발 과정에서의 보안성 검토(모의해킹 등)나 정보보호 인증(ISMS 등)이 필요하다.
이 과정을 생략하고 개발하면, 기한 내 서비스 오픈은 가능할지 몰라도
고객이 우리와 계약하기 전 서비스 보안성 검토를 요청할 때 어차피 취약 사항이 드러나고, 시정해야 한다.
→ 지금 고생을 피해도 나중에 고생 예약(고통 총량의 법칙)
사실 개발 책임자급 레벨에서는 보안성 검토고 뭐고 일단 서비스 오픈이 우선이다.
'기한 내 개발을 완료해서 서비스 오픈 성공'이 개발 조직에서의 유일한 성과라 할 수 있기 때문이다.
나 또한 업계에서 오랜 기간 일해왔기에, IT 분야에서 '납기 준수'가 얼마나 중요한지 알고 있다.
다만 정보보호 책임자로서 급하다는 이유로 이 모든 것을 용인해버리면
그건 내 입장에서 보면 직무 유기와 다름없기 때문에, 불편한 이야기를 꺼낼 수 밖에 없다.
만약 서비스 오픈 이후 소스상 취약 사항으로 인해 보안 사고가 발생했을 때
경영진에 '개발 부서에서 바쁘다고 점검 안한다고 했습니다.' 라고 보고를 한다고 생각해보자.
상상만 해도 끔찍하다.
문제는 회사 사정을 어느 정도 잘 알고있는 내 입장에서는
현재 개발실의 읍소에 꽤 많은 부분 공감이 간다는 점이다.
CISO 직책이 내가 아니라 다른 사람이고
심플하게 인프라 책임자였다면 이런 상황 따윈 전혀 신경쓰지 않았을텐데.ㅎㅎ
내 성격상 진짜 하기 싫은 2가지가 혼재된 항목이라, 이 부분에서 조금은 스트레스를 받고 있다.
남에게 싫은 소리 하기
내가 책임져야 하는 것들이 내 생각과 다르게 흘러가는 상황 걱정하기
하루 빨리 나 혼자 모든 것을 결정하고, 망해도 혼자 망하는 투자에만 몰두하는 그 날이 오기를🙏
2. 안정성 및 보안성 vs 비용
이 부분은 사실 모든 회사 인프라/보안 책임자들의 고민일 것이다.
인프라의 가용성 확보와 각 영역별 정보보안 수준 향상을 도모하려면
재정적인 뒷받침이 전제가 되어야 하는데, 한정된 예산과 지원을 받아가면서
어떤 것들부터 진행하는 것이 조직에 가장 적합할지를 고민하는게 큰 숙제다.
비유하자면 마치 고립된 형국에 처한 장기판과 같다.
나의 턴에 움직일 수 있는 말은 하나뿐이고
이걸 움직이자니 저게 불안하고, 저걸 움직이자니 이쪽도 보완해야 할 것 같고
이 사항은 사실 고민해야할 부분이긴 하나
내게 있어서는 사람(or 조직)과 불편한 얘기를 해가며 넘어야할 산이 아니므로 크게 스트레스가 되진 않는다.
상대가 사람만 아니면 수월함.ㅎㅎ
혼자 해결해야 하는 상황에서 답을 찾는건 익숙하고, 좋아하기도 하므로
충분히 감당 가능한 부분이다.
'25년 사업 계획
이제서야 본론으로 들어간다.
서론들을 적다보니 분량이 생각보다 길어져
본론은 간략히 정리하는 용두사미 스타일로(ㅋㅋ) 가보려 한다.
일단 주요한 사항들만 다뤄보자.
1. 인프라 : 안정적인 서비스 개발/운영을 위한 시스템 자원 증설
- 시스템 자원 증설(가상화 서버, 스토리지)
현재 우리는 IDC에서 On-Premise 형태로 인프라를 운영 중인데
시스템 자원이 거의 풀차서, 언제 모자랄지 모르는 상황이다.
시스템 구성 안은 다음과 같다.
기존 IDC를 구축할 때 비용 문제로 서버와 스토리지간 연결은
DAS 방식을 채택했었는데, 가용성을 위해 SAN 도입이 필요한 시점이다.
스토리지는 추가 구매 대신 인클로저(외부 스토리지)를 활용키로 검토했다.
용량 확보를 위한 저비용 고효율 방식을 채택하였다.
가상화 서버는 이중화 구성으로 운영하였는데 자원 사용율 이슈로
1대 추가 구매하여 3중화 형태로 운영할 계획이다.
- 인프라 구성 및 운영 자동화(Ansible)
IDC를 구축하고 오픈소스 모니터링 체계까지 완성한 지금
인프라 관점에서의 Nest-Step 키워드는 '자동화'이다.
인프라 운영에서는 어쩔 수 없이 발생하는
노가다를 해야하는 업무들이 있는데, 이러한 부분들을 앤서블로 해결한다.
업계에서는 코드형 인프라(Infrastructure as Code)라고 부른다.
2. 보안 : 기존 서비스 ISMS 인증 갱신, 신규 서비스 보안성 검토
보안 영역에서는 내년 신규로 도입하는 장비나 솔루션은 없다.
서비스의 성공적 오픈이 최우선으로 고려되어야 하기 때문에
기술적 보안 수준은 전반적으로 올해와 대동소이할 전망이다.
기존 제공하고 있는 서비스에 대해서는 매년 ISMS 인증심사를 받고 있는데
올해까지는 신규 서비스를 심사 대상으로 추가하지 않고 갱신을 진행하기로 한다.
신규 서비스에 대해서는 오픈 전 외부 전문 업체를 통해 모의해킹을 수행할 계획이다.
공수나 일정 문제로 설령 조치를 못하고 위험 수용한다고 해도
우리가 개발한 소스코드에 어떤 취약점이 있는지 알고는 넘어가야 하기 때문에
최소한의 보안성 검토를 위해 모의해킹 수행 자체는 반드시 필요하다는 생각이다.
2025년은 우리 회사가 상장이라는 목표에 도달하기 위해
가시적인 성과를 내고 뚜렷한 성장을 보여줘야 하는 해이다.
이를 위해 발버둥을 치고있는 지금, 정보보호라는 명목으로 웬지 겐세이를 놓는듯 하여 기분이 좋지 않다.
CISO로서의 삶은 회사 내에서 매우 외롭다.ㅎㅎ
어떻게 하면 유연한 보안을 할 수 있을지 계속 고민해봐야지.
다같이 으쌰으쌰해서 목표를 이룰 수 있기를👊
