개발자의 손에서 CSO의 눈으로 - 지란지교소프트 천명재 CSO

조회수 274

2002년 겨울, 월드컵 열기로 들썩이던 대한민국의 한편에서는 닷컴 산업의 변화 바람이 개발자들에게 새로운 기회를 열고 있었습니다. 그 시절, 한 개발자가 지란지교소프트의 문을 두드렸습니다. 단기 아르바이트로 시작한 인연은 뜻밖의 성과로 이어졌고, 그렇게 스팸스나이퍼 개발에 함께한 젊은 청년은 22년 동안 지란지교패밀리와 함께 성장해왔습니다. 오늘은 천명재 CSO를 만나 스팸스나이퍼의 코드를 작성하던 손으로 이제 지란지교패밀리 전체의 보안 체계를 정립하기 까지의 과정에 대해서 들어보겠습니다.



지란지교패밀리에 처음 합류하셨을 때를 기억하시나요?

온 나라가 월드컵의 열기로 달궈졌던 2002년 겨울에 입사했습니다. 스팸스나이퍼 v1을 이을 v2를 만들기 위해 지란지교소프트에 합류해 UI와 서버 개발을 맡아 진행했습니다. 그 때는 닷컴버블이 꺼지던 막바지 시기였는데, 제가 맡았던 스팸스나이퍼는 판매가 점점 늘어 다행이었습니다.

입사는 단기 아르바이트로 했었는데 나름 성과가 나쁘지 않았는지 정식 합류를 제안받았고 정말 열심히 개발에 몰두하면서 발신 메일 보안 솔루션인 메일스크린까지 추가 개발을 하다보니 어느덧 CTO가 되어 있었습니다.

지란지교패밀리에 합류하던 당시 한국의 개발 상황은 한마디로 체계가 부족한 중구난방으로 얘기할 수 있을 것 같습니다. 저 또한 부족했지만 체계 잡힌 개발과 개발 환경을 연구해가면서 동료들의 협조를 얻어가며 하나씩 쌓아갔었습니다.

분사 후 지란지교시큐리티에서 CTO를 맡으면서 개발 방법론 뿐만 아니라 보안에도 관심을 더 쏟게 되었습니다. 우리가 개발하는 제품에서 발견된 취약점도 경험하면서 몇몇의 노력만으로는 불가능하고 회사 차원의 의지가 중요하다고 느껴 그런 부분에서 노력을 해왔는데 그것이 이번에 다시 지란지교소프트로 복귀하며 CSO를 맡게 된 계기가 된 것 같습니다.


22년이라는 긴 시간 동안 가장 기억에 남는 에피소드나 프로젝트는 무엇인가요?

가장 강렬하게 기억에 남는 것은 스팸스나이퍼 초기 개발 시기입니다. 제품이 아직 안정화되지 않은 상태였던 상황에서 갑자기 서울대에 판매가 되어버렸는데, 이로 인해 굉장히 힘든 시기를 보냈습니다. 5개월이라는 시간 동안 저희 팀 전체가 매일같이 서울대에 상주하면서 작업을 진행해야 했죠. 아침부터 밤까지 계속되는 작업 속에서 매일 점심은 짜장면을 먹었는데, 그 경험이 워낙 강렬해서 그 이후로 무려 13년 동안이나 짜장면을 입에도 대지 않았을 정도입니다. 그때는 제품을 안정화시키는 것이 무엇보다 중요했기 때문에, 팀원들 모두가 힘을 합쳐 밤낮없이 노력했던 기억이 납니다. 지금 생각해보면 정말 힘든 시기였지만, 그만큼 팀워크도 다질 수 있었고 제품에 대한 책임감도 더욱 강해졌던 것 같습니다. 이 경험은 제 개발자 경력에서 가장 인상 깊은 순간으로 남아있고, 지금도 그 시기를 떠올리면 마치 어제 일처럼 생생합니다.



이렇게 오랜 기간 한 회사에서 일할 수 있었던 원동력은 무엇인가요?

가장 큰 이유는 함께 일하는 사람들이 좋았기 때문입니다. 리더십 스타일도 매우 인상적이었는데, 업무적으로는 높은 기준과 완성도를 요구하면서도 인간적으로 배려가 있었고, 자율성을 존중하면서 필요할 때 적극적으로 지원해주는 문화가 있었습니다. 이런 동료들과 리더들이 있었기에 오랫동안 함께할 수 있었던 것 같습니다. 특히 인상 깊은 점은, 회사를 떠났다가 다시 돌아오는 동료들이 있다는 것입니다. 이는 그만큼 우리 회사가 좋은 직장이라는 것을 보여주는 것이라고 생각합니다. 서로를 신뢰하고 배려하는 문화, 구성원의 자율성을 존중하면서도 필요할 때 지원을 아끼지 않는 분위기가 제가 오랫동안 회사를 다닐 수 있었던 가장 큰 원동력이었습니다.


지란지교시큐리티 CTO로 재직하시며 그룹 보안 체계에 기여했던 주요 프로젝트나 성과를 2개만 꼽는다면 무엇일까요?

그룹의 보안 체계 측면이라고 하니 뭘 꼽아야 할지 고민이 되는데 일단 머드픽스를 통한 악성메일 훈련 정례화를 들 수 있을 것 같습니다. 이메일은 공격자가 가장 선호하는 공격 방법인데, 훈련 회차를 거듭하며 초기에 비해 감염 사례가 줄어들었습니다. 내부에서는 한 명만 뚫려도 전체로 전염될 수 있어 더 주의가 필요한데 지속적인 훈련과 주의 환기로 더 개선될 것으로 생각됩니다.

다음은 자칫 별거 아니라고 생각될 수 있지만 전사 계정 통합을 꼽고 싶습니다. 보안 상 구체적인 방법은 언급하지 않겠지만 모든 인증이 하나로 통합되어 각 인증이 따로 놀지 않아 보안 사각 지대를 줄이는 효과가 있습니다. 퇴사로 계정이 삭제되면 관련된 모든 시스템에서 해당 계정으로 로그인이 불가능합니다.



지란지교소프트로 복귀하며 지란지교패밀리 CSO까지 맡게 된 소감과 배경이 궁금합니다.

100년 기업을 향한 지란지교패밀리의 여정에서 오치영 CDO님의 장기적인 비전과 고민속에는 보안의 중요성이 큰 부분을 차지했고, 이것이 제가 CSO(Chief Security Officer)를 맡게된 배경인 것 같습니다.

보안 취약점은 단순한 기술적 문제를 넘어 회사의 신뢰도 하락, 금전적 손실, 내부 구성원들의 자긍심 하락 등 광범위한 부정적 영향을 미칠 수 있습니다. 이러한 위험으로부터 회사를 보호하고 더 나은 미래를 준비하기 위해서는 체계적인 보안 관리가 필수적이라는 공감대가 이번 임명의 배경이 된 것 같습니다.

오랫동안 재미있게 개발했던 지란지교소프트로 다시 복귀하게 되어 감회가 새롭습니다. 다만 CSO라는 새로운 역할이 주는 책임감과 부담감도 크게 느끼고 있습니다. 이러한 막중한 책임을 잘 수행해내기 위해 더욱 열심히 준비하고 노력하겠다는 각오를 다지고 있습니다.


지란지교패밀리 CSO로서 회사 보안 체계를 강화하기 위해 가장 중점을 두고자 하는 부분은 무엇인가요?

무엇보다 일관되고 체계적인 보안 정책 수립을 최우선 과제로 삼고 있습니다. 이를 기반으로 각 관계사들의 보안 수준을 상향 평준화하고, 보안을 일상적인 업무 문화로 정착시키는 것이 목표입니다. 현재는 지란지교소프트, 지란지교시큐리티, 지란지교데이터 세 회사를 중심으로 보안 정책을 수립하고 있습니다.

시중에 좋은 보안 정책 사례들이 많지만, 가장 중요한 것은 우리 회사의 현실에서 실제로 실행 가능한 정책을 만드는 것입니다. CSAP(Cybersecurity Assurance Program) 인증 관련 정책들도 참고하고 있지만, 단순히 인증 요구사항을 충족시키는 것이 아닌, 우리 회사의 문화와 업무 특성에 맞는 실질적인 가이드라인을 만드는 데 중점을 두고 있습니다. 처음에는 최소한의 필수 내용만 담으려 했으나, 작업을 진행하면서 보안의 범위와 깊이를 더해가다 보니 현재 400페이지가 넘는 정책이 만들어졌습니다.

현재는 이 방대한 내용을 실제 현장에서 적용 가능한 수준으로 정제하는 작업을 진행하고 있습니다. 각 부서와 팀의 특성, 업무 프로세스, 그리고 실제 발생 가능한 보안 위험 등을 종합적으로 고려하여, 현실적이면서도 효과적인 정책으로 다듬어 나가고 있습니다. 이를 통해 구성원들이 자연스럽게 받아들이고 실천할 수 있는 보안 체계를 구축하고자 합니다.



AI와 디지털 전환이 가속화되는 가운데, 보안 체계가 어떻게 변화해야 한다고 생각하시나요?

AI가 화두가 되고 디지털 전환이 가속화되는 상황이지만, 보안의 본질은 변하지 않는다고 생각합니다. 오히려 기본에 충실한 보안 체계를 수립하는 것이 그 어느 때보다 중요해졌습니다.

최근 보안 위협이 증가하면서 다양한 보안 솔루션이 등장했고, 일반 제품들도 보안 기능을 강화하는 추세입니다. 하지만 이로 인해 발생하는 부작용도 있습니다. 고객들은 복잡한 보안 요구사항에 피로감을 느끼고 있고, 관리자들은 여러 보안 제품을 오가며 관리에 어려움을 겪고 있습니다.

이러한 상황에서 주목할 만한 변화는 '다층적 보안'의 부상입니다. 보안 업체들이 서로 협력하여 고객사에 설치된 제품 간 데이터를 공유하고, 통합적인 관리 체계를 구축하려는 시도가 늘어나고 있습니다. 우리 역시 다른 보안 업체들과의 협력을 통해 고객 편의성과 보안성을 함께 높일 수 있다고 보고 있습니다. 이를 위해서는 제품 간 원활한 데이터 교환이 가능한 표준화된 API 개발이 필수적일 것입니다.


그간의 보안 경험을 통해 얻은 중요한 교훈과 철학에 대해서 말씀해주시겠어요?

그동안의 경험을 통해 얻은 가장 큰 교훈은 보안은 결코 한 번에 완성되는 것이 아니라는 점입니다. 보안 문제는 한번 발생하면 그 파급효과가 상상 이상으로 크고, 수습하는 데 엄청난 시간과 비용이 소요됩니다. 이는 단순히 한 회사뿐만 아니라 연관된 모든 조직에 영향을 미칠 수 있는 중요한 문제이기에, 저는 항상 선제적인 대응을 강조하고 있습니다.

이런 맥락에서 제가 가장 중요하게 생각하는 것은 "기본에 충실한 보안"과 "고객의 입장에서 생각하는 제품 개발"입니다. 화려한 솔루션이나 최신 기술도 중요하지만, 가장 기본적인 보안 원칙들이 제대로 지켜지지 않으면 모든 것이 무의미해질 수 있기 때문입니다. 또한 우리가 만드는 보안 솔루션이 실제 현장에서 신뢰받고 효과적으로 작동하기 위해서는 개발자 스스로가 첫 번째 사용자이자 검증자가 되어야 한다고 믿습니다.

결국 보안은 단순한 기술적인 문제가 아니라 회사의 문화이자 철학이 되어야 합니다. 이를 위해 잠재적인 보안 위험 요소들을 사전에 파악하고 대비하는 것은 물론, 구성원들의 보안 의식 향상과 지속적인 모니터링, 개선을 통해 안전하고 신뢰할 수 있는 보안 체계를 구축해 나가고자 합니다.



마지막으로 오디오방 고정 질문입니다. 개인적인 꿈과 비전은 무엇인가요?

뒤돌아봤을 때 그럭저럭 나쁘지 않게 그래도 열심히 살았구나 라고 생각할 수 있게 되는 것입니다.


천명재 CSO는 화려한 기술 용어보다 사람과의 신뢰를, 단기적 성과보다 지속 가능한 문화를 이야기합니다. AI 시대가 요구하는 복잡한 보안 체계도, 결국은 기본을 지키는 데서 시작된다는 그의 믿음은 마치 오래된 나무가 뿌리를 내리듯 묵직한 힘을 전합니다. 앞으로 지란지교패밀리의 단단한 보안을 넘어 신뢰의 문화를 만들어갈 천명재 CSO의 행보에 많은 기대와 응원을 부탁드리겠습니다.


8 1

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.