KaKao

온라인 서비스에서 ‘유일함’은 오래 지속되기 어렵습니다. 화면과 기능은 빠르게 모방되고, 모바일이라는 제한된 지면에서 서비스들은 점점 비슷하게 느껴집니다. 그러다보니 사용자가 직접 보지 못하는 층위에서 서비스 경쟁력이 갈리기도 합니다. 예를 들어, 데이터가 흐르는 경로를 어떻게 설계했는지, 비정상 징후를 얼마나 민감하게 감지하는지, 사고를 가정한 절차가 얼마나 훈련돼 있는지 등의 지점에서 차이가 발생할 수 있습니다. 카카오스타일은 서비스의 개선 및 단기 성과와 더불어 눈에 띄지 않는 부분의 기반을 일찍부터 다져왔습니다. 이번 호에서는 카카오스타일이 보안이라는 주제로 쌓아온 철학과 실천을 소개합니다.

국내외 표준으로 검증된 보안 관리 

사람이 하는 일이 100% 완벽하기는 어렵지만, 보안은 1%의 놓친 부분에서 사고가 발생할 수 있습니다. 그래서 내부 검사에 더해 외부의 시선으로 놓치는 부분을 보완하기로 했습니다. 기존에 카카오스타일은 법 요구사항에 따라 정보보호 및 개인정보보호 전반을 관리할 수 있는 내부 프로세스를 수립/운영을 하고 있었습니다. 하지만 여기에 만족하지 않고, 우리의 노력이 정말로 제대로 이루어지고 있는지 객관적으로 검증받고자 했습니다. 이를 위해 국내외 공신력 있는 정보보호 인증제도를 활용하고 있습니다. 이러한 인증제도는 기업이 정보보호 관리체계를 체계적으로 수립하고, 지속적으로 안전하게 운영하고 있는지를 엄격한 기준으로 심사하여 자격을 부여하는 제도입니다.

 

∙ ISMS (정보보호 관리체계 인증) : 기업의 주요 정보자산을 보호하기 위한 정책, 조직, 자산관리, 개발보안 등 80개의 항목을 심사하여 정보보호 관리체계의 신뢰성을 국가가 공인하는 제도

 

∙ ISMS-P (정보보호 및 개인정보보호 관리체계 인증) : ISMS 인증 기준에 더해, 개인정보의 처리 단계별 요구사항 21개를 추가로 심사하는 국내 최고 수준의 개인정보보호 인증. 개인정보의 라이프사이클 전반에 걸쳐 안전장치가 마련되어 있는지를 검증

 

∙ ISO/IEC 27001 : 국제표준화기구(ISO)에서 제정한 국제 표준 정보보호 인증으로, 전 세계적으로 통용되는 가장 권위 있는 인증 중 하나

 

많은 기업들이 법적 의무사항인 ISMS 인증을 취득하는 데 그치는 경우가 많습니다. ISMS-P 인증은 기존의 ISMS 기준에 개인정보와 관련된 기준을 추가적으로 요구하고 있어 준비 기간이 더 소요되고, 심사 기준 또한 훨씬 까다롭기 때문입니다. 동종 패션 플랫폼 업계의 현황을 살펴보면 이러한 차이는 더욱 분명해집니다. 타사와는 다르게 카카오스타일은 법적 의무가 없는 시점(2020년)부터 자발적으로 국내 최고 수준인 ISMS-P 인증과 국제 표준인 ISO 27001 인증을 모두 취득하여 선도적으로 정보보호 수준을 격상시켰습니다. 이는 단순히 법적 기준을 충족하는 것을 넘어, 고객의 개인정보를 글로벌 스탠다드에 부합하는 최고 수준으로 관리하겠다는 카카오스타일의 강력한 의지 표현입니다. 경쟁사들이 의무 인증에 집중할 때, 저희는 한발 앞서 고객 신뢰를 최우선으로 생각하고 더 높은 기준을 향해 나아갔습니다. ISMS-P 인증은 국내 고객에게, ISO 27001 인증은 글로벌 시장에서 우리의 정보보호 수준에 대한 신뢰를 약속하는 증표와도 같습니다.

이미지 새창 열림

조금의 빈틈도 허용하지 않으려는 노력

제품을 만드는 임직원이 기본적인 보안 의식을 가지고 있고, 1년 주기로 외부 검증을 받고 있지만 빠르게 변화가 일어나는 현대의 서비스를 챙기기에는 부족하다고 생각했습니다. 카카오스타일은 이를 보완하기 위해 외부 침입자(해커)와 동일한 관점에서 서비스를 점검하는 화이트 해커를 고용해 마지막의 보안도 챙기고 있습니다. 화이트 해커는 보안 취약점을 점검하는 목적으로 해킹 기술을 활용하는 보안 전문가입니다. NASA 명예의 전당, 구글 명예의 전당, 메모리 포렌식 세계대회 우승 등 이력을 가진 화이트 해커가 직접 모의해킹, 이상탐지, 침해사고 대응 등을 수행하여 서비스의 보안을 강화하고 있습니다.

 

∙ 모의해킹 : 핵심 서비스를 대상으로 가상의 환경을 구축해 수동 점검, 자동 점검을 모두 활용하여 잠재된 위협을 제거하고 있습니다.

 

∙ 이상탐지 : 상품 정보, 리뷰 정보 등 카카오스타일의 핵심 서비스 정보를 수집하는 경우 이상 행위로 식별하고 차단해나가는 작업을 하고 있습니다.

∙ 침해사고 대응 : 보안 위협이 발생했을 때 피해 확산을 최소화하고, 사고 발생 원인을 제거해나가는 조치를 하고 있습니다.

이미지 새창 열림

글로벌 수준의 보안 환경에서 운영되는 서비스 

카카오스타일은 출발부터 AWS라는 퍼블릭 클라우드 위에서 서비스를 설계했습니다. 한정된 인력으로 자체 데이터센터의 물리·네트워크·하드웨어 보안을 고도화하는 것보다, 클라우드가 제공하는 기본 보안 역량을 활용해 애플리케이션 보안에 집중하는 편이 더 안전하다고 판단했기 때문입니다. 퍼블릭 클라우드는 실시간 모니터링과 이상 징후 자동 감지 기능을 통해 잠재적인 위협을 빠르게 식별하고 대응할 수 있는 환경을 제공합니다. 이를 통해 예기치 않은 보안 위험이 실제 사고로 이어지기 전에 차단할 수 있으며, 운영팀은 보다 안정적인 서비스 제공과 핵심 기능 개발에 집중할 수 있습니다. 카카오스타일은 권한 관리, 네트워크 구역화, 데이터 접근 통제 등을 체계적으로 설계하여, 퍼블릭 클라우드의 보안 기능이 서비스 전반에서 안정적으로 작동하도록 노력하고 있습니다.

편리함을 지키는 보안 설계

강력한 보안은 종종 사용자의 불편함을 가중시킵니다. 카카오스타일은 최소 권한 원칙과 맥락 기반 인증을 도입해, 높은 보안 수준을 유지하면서도 사용자가 반복적인 불편을 겪지 않도록 흐름을 다듬었습니다. 사용자가 서비스 이용시마다 재인증을 하게 하는 대신 자동 로그인을 유지합니다. 이 때 상대적으로 위험이 적은 앱과 위험성이 높은 웹을 분리해서 처리하고, 이상이 탐지 되면 재확인 하는 방식으로 보안과 사용성의 균형을 찾았습니다.

개발 효율성과 데이터 보안을 함께 지키는 운영 방식

카카오스타일은 제품 개발 과정에서 보안과 효율성 간의 균형을 유지하기 위해 프로덕션 데이터 접근 정책을 정교하게 설계하고 있습니다. 프로덕션 데이터란 서비스가 실제로 운영되는 환경에서 실제 사용자들이 생성하고 이용하는 데이터를 말합니다. 데이터 접근 권한은 업무 목적에 따라 최소한의 읽기만 허용되어 있고, 운영 중 발생하는 문제는 최대한 프로덕션 데이터에 접근하지 않고 대응할 수 있도록 체계가 만들어져 있습니다. 기존 체계로 대응하지 못하는 경우에만 적절한 절차를 거쳐 데이터 수정이 가능하고, 사용자 암호, 주소 등 민감 정보는 어떤 경우에도 접근을 원천적으로 차단하고 있습니다.

이러한 정책은 단순히 규제를 강화하는 것이 아니라, 개발과 운영 효율성을 유지하면서도 보안성을 저하시키지 않는 것을 목표로 하고 있습니다. 결과적으로, 개발자는 안전한 범위에서 필요한 정보를 확인하고 문제를 해결할 수 있으며, 서비스 전반의 안정성과 신뢰성은 한층 강화되었습니다.

이미지 새창 열림

AI 시대의 보안 

AI의 활용 범위가 빠르게 확장되면서, 코드 작성과 테스트 설계 등 개발 과정에서도 AI가 중요한 역할을 맡고 있습니다. 이를 통해 제품 개발 속도는 크게 향상되었지만, 보안 측면에서는 새로운 과제가 등장했습니다. AI가 생성한 결과물의 보안 결함은 눈에 띄지 않은 채 누적되거나, 서비스 전반에 치명적인 영향을 미칠 수 있습니다. 실제로 AI가 만든 코드나 설정이 보안 취약점을 포함해 개인정보가 유출되거나, 잘못된 명령으로 운영 환경의 데이터를 삭제한 사례가 보고된 바 있습니다.

 

카카오스타일에서도 AI를 여러 방면에서 도입중이지만, 보안 위험이 적은 분야부터 시작하고 있고, 프로덕션 반영 전 철저히 검증하여 AI의 오류가능성을 낮추기 위해 노력하고 있습니다. 또한 AI가 잘하는 영역과 한계가 있는 영역을 구분해, 임직원이 올바르게 AI를 활용할 수 있도록 교육하고 있습니다.

신뢰할 수 있는 서비스를 위한 보안 역량 강화 

보안은 서비스의 겉으로 드러나지 않는 영역이지만, 작은 취약점이 서비스 전체의 신뢰를 무너뜨릴 수 있어 매우 중요한 요소입니다. 카카오스타일은 단기적인 성과뿐 아니라 지속 가능한 서비스를 목표로 하며, 이를 위해 보안 역량을 지속적으로 강화해나가기 위해 노력하고 있습니다. 1년에 한번 심사 때만 보안을 점검하는 것이 아니라, 외부 업체에 의뢰해 더 짧은 주기로 보안 취약점을 점검하던 시기를 거쳐, 현재는 화이트 해커를 고용해 서비스 변화에 따라 바로 바로 취약점을 점검하고 있습니다. 앞으로도 카카오스타일은 사용자가 안심하고 서비스를 이용할 수 있는 환경을 유지하기 위해 보안 역량을 꾸준히 강화해나가겠습니다.