"내년 창사 10주년에 맞춰 10년 보안 무사고를 달성하는 게 목표입니다. 올해는 제로트러스트(Zero Trust) 보안 체계를 구축하는데 몰두하고 있습니다"
가상자산거래소 코인원이 업계 처음으로 제로트러스트 보안체계 구축에 나선다. 31일 서울 여의도 코인원 본사에서 만난 최중섭 정보보호최고책임자(CISO, 이사)는 내년 제로트러스트 도입을 목표로 현재 전사 차원의 시스템 구축에 속도를 내고 있다.
최 이사는 "제로트러스트는 장비만 가동하는 게 아니라 회사의 시스템, 인력, 운영, 정책 등 모든 부문에서 준비가 돼야 한다"며 "현재 테스트 중으로 내년에는 초기 버전을 적용 가능할 것"이라고 말했다.
코인원이 업계 처음으로 시도하는 제로트러스트란 '절대 믿지 않고 항상 검증한다(Never Trust, Always Verify)'는 철학을 바탕으로 모든 네트워크를 의심하고 검증하는 보안 모델이다. 최근 국내 대기업들이 제로트러스트에 관심을 갖기 시작했지만 실제 체계를 구축한 기업은 드물다. 올들어 정부도 정책 아젠다로 다룰 정도로 보안 분야에서는 가장 핫한 관심사로 부상했다.
최 이사는 "거래소와 다른 업계의 가장 큰 차별점은 고객의 실제 자산을 다룬다는 점"이라며 "자산의 안전이 보장되지 않는 거래소는 투자자들의 신뢰를 얻기 힘든 만큼 무거운 책임감으로 보안시스템을 구축하고 있다"고 강조했다.
코인원은 업황 침체기에도 불구하고 보안에 대한 투자를 아끼지 않고 있다. 현재 진행 중인 보안인력 채용과 관련해 그는 "가상자산의 보안성 검토를 강화하기 위한 것"이라며 "코인원의 보안조직은 전체인력 대비 10%로 지난해 상반기 대비 현재 2배 이상 확대됐다"고 밝혔다.
최 이사는 가상자산의 보안성 검토 결과 문제가 있으면 상장하지 않는다는 원칙도 강조했다. 그는 "범죄에 사용될 가능성이 있고 블록체인 설계를 바꾸는 등 취약점이 있는 가상자산은 확인을 통해 상장을 하지 않는다"며 "거래 지원에 앞서 모든 가상자산의 보안성 검토를 실시하고 사후적으로도 보안 이슈가 발생하는지 모니터링하고 있다"고 말했다.
오랜 무사고 비결로는 임직원들의 철저한 보안의식을 꼽았다. 그는 "입사 후 가장 먼저 느꼈던 점은 화이트해커 출신 대표가 설립한 거래소라는 명성에 걸맞게 탄탄한 보안 시스템을 갖췄다는 것과 보안조직 뿐만 아니라 임직원의 보안의식도 매우 높다는 것"이라며 "회사에서 이메일 공격 훈련을 했는데 10분만에 신고가 들어와 놀랐다"고 회상했다.
30년 가까이 공공기관과 기업에서 보안업무를 몸 담은 그는 보안담당자의 첫째 덕목으로 윤리를 강조했다. 최 이사는 "보안 업무를 하다 보면 의도치 않게 권한을 넘어서는 비밀을 보게 되는데, 자기의 이익을 위해 악용하면 절대로 안 된다"며 "보안담당자는 윤리적이어야 한다"고 말했다.
