“국내 대표 암호화폐 거래소 가운데 해킹 사고를 겪지 않은 곳은 고팍스가 유일합니다. 그러나 사고가 나지 않았다는 것에 자만하지 않고, 늘 우리도 해커 공격 예외가 아니라는 것을 분명히 하며 보안을 바라봅니다.”
백명훈 고팍스 CISO는 보안사고가 나지 않는 것에 대한 자신감과 자만이 내부 적이 될 수 있다며 이처럼 말했다.
고팍스는 암호화폐 거래소에서는 가장 먼저 정보보호관리체계(ISMS)를 획득하는 등 보안에 선제적 대응했다.
야피존, 빗썸, 코인이즈 등 국내 암호화폐 거래소가 해킹으로 수십억원부터 수백억원대 피해가 발생한 것과 달리 현재까지 보안 관련 사고는 한 건도 발생하지 않았다. 보안을 비용이 아니라 투자 관점으로 바라보며 보안 강화에 나섰기 때문에 가능했다. 매년 정보보호 인력, 정보보호 활동, 예산 등은 공시를 통해 투명하게 공개한다.
백 CISO는 보안에 많은 돈은 투입하는 것을 넘어 보안 강화를 위해 바라보는 관점을 달리해야 한다고 설명한다. 막는 것을 넘어 사후 조치가 중요하다. 이상 징후 발생 시 얼마나 빠르게 발견하고 대책을 세울 것인가에 역량을 집중한다.
백 CISO는 “보안관리 체계는 하루 아침에 되는 것이 아니라 전체 보안 목표를 잡고 작은 것부터 세심하게 챙겨야 한다”면서 “보안 사고가 발생하지 않은 것이 오히려 해커 먹잇감이 될 수 있어 직원 모두 긴장 상태를 유지한다”고 말했다.
보안체계 구축 중심은 기술, 솔루션보다 '사람'이다. 보안프로그램, 장비 등 대부분 상향 평준화됐지만 여전히 사고는 발생한다. 보안 위협은 단순 기술문제를 넘어 사회공학적 방법을 동원한다. 보안 인력에 대한 교육뿐 아니라 전체 임직원 보안 실천 문화를 만들기 위해 다양한 프로그램은 운영한다.
백 CISO는 “모든 사고는 전조증상을 동반한다는 '하인리히 법칙'처럼 보안 사고가 발생하기 전 각종 서비스를 대상으로 이상 징후가 나타난다”면서 “임직원이 보안에 대한 일정 수준 이상 인지를 하지 못하면 사고를 예방하는 것은 어렵다”고 말했다.
이어 “단순하게 대고객뿐 아니라 사내 홍보·보안 캠페인을 실시하며 매월 1회 정보보호의 날을 지정해 비밀번호 변경, 보안표어 등 제작한다”면서 “올해 ISMS 인증 변화에 따라 새로운 인증 획득을 준비하며 글로벌 서비스를 고려해 유럽개인정보보호 규정(GDPR) 요구사항 등에 주시한다”고 덧붙였다.
정영일기자 jung01@etnews.com