이 글의 원문은 당근 팀 블로그 ‘누구나 안심하고 사용하도록, 당근의 안전을 지키는 보안팀’에서 확인할 수 있습니다.

이번 글에서는 이런 내용을 확인할 수 있어요! ☑️

• 당근을 안전하게 성장시키기 위한 보안팀의 보안 철학
• 도메인이 다양한 당근에서 경험할 수 있는 보안 업무의 장점
• 긴밀한 협업으로 보안 이슈에 신속하게 대응하는 보안팀 문화

이런 분들에게 도움이 돼요! ‍🙋

• 안전하면서도 빠른 서비스 성장을 지원하는 법이 궁금한 분
• 보안 사고에 수 분 이내로 효과적으로 대응한 사례를 알고 싶은 분
• 팀의 업무 속도를 높일 수 있는 협업 방식을 고민하는 분

수많은 사용자들이 당근의 다양한 서비스를 안심하고 이용할 수 있는 이유는 무엇일까요? 바로 보이지 않는 곳에서 당근의 안전을 지키기 위해 치열하게 노력하는 보안팀 덕분인데요. 보안팀은 내외부의 위험으로부터 당근의 정보와 서비스를 보호할 뿐만 아니라, 이 모든 활동들이 정보보호 관련 규정 안에서 이뤄질 수 있도록 꼼꼼히 검토하기도 해요. 기술적 지원부터 컴플라이언스 지원까지, 신뢰할 수 있는 서비스를 위해 최선을 다하는 당근 보안팀과 이야기 나눠봤습니다.

안녕하세요, 먼저 간단히 자기소개 부탁드려요!

Elliot: 안녕하세요. 보안팀 리더를 맡고 있는 Security Engineer Elliot이에요. 당근에서 일한 지는 2년 정도 됐고, 합류하게 된 계기는 저희 아이 때문인데요. 육아용품을 구하려고 당근을 자주 이용하다 서비스에 매력을 느껴 이직하게 됐어요.

Raina: 저는 Privacy Engineer로 일하고 있는 Raina예요. 제 소소한 버릇은 자주 사용하는 서비스들의 개인정보 처리방침을 읽는 건데요. (웃음) 당근 것도 읽어보니 제가 기여할 수 있는 게 많겠더라고요. 그래서 합류하게 됐어요.

Toto: 저는 최근에 보안팀에 Security Engineer로 합류한 Toto예요. 제가 전에 다니던 회사가 규모가 엄청 커지면서 업무에 대한 제약이 많았는데요. 매너리즘에 빠져있던 차에 당근을 소개받아 이직하게 됐어요. 여기는 커뮤니케이션이나 업무 추진 속도가 굉장히 빨라서, 오히려 새로운 자극을 받으면서 다니고 있어요. 

보안팀은 당근에서 어떤 일을 하고 있나요?

Elliot: 쉽게 말해 당근의 모든 서비스를 안전하게 지키는 일을 해요. 직군을 기준으로 업무 영역을 나눠보면 크게 엔지니어 직군과 매니저 직군으로 분류할 수 있는데요. 엔지니어 직군은 서비스의 보안을 강화하고 보호하는 데 기술적으로 기여해요. 사내 보안 도구를 개발, 운영하고 침해 사고에 대응하죠. 매니저 직군은 정보보호 인증을 취득하고 유지하는 컴플라이언스 업무나 당근의 여러 서비스들이 정보보호 규제를 잘 준수하고 있는지 점검하는 일을 하고요.

보안팀은 각자 맡은 역할이 다르다고 들었어요.

Elliot: 맞아요. 우선 저는 보안 솔루션 운영 관리를 맡고 있는데요. PC에 설치되는 백신이나 외부에서 내부망 접근 시 활용하는 ZTNA 솔루션을 자동 설치·관리 솔루션인 MDM을 통해 구성원들이 더 편리하게 사용하도록 관리하고 개선해요. 

Raina: 저는 개인정보 보안과 컴플라이언스 업무를 담당해요. 당근의 여러 서비스에서 개인정보 처리가 적법한 절차에 따라 진행되고 있는지 검토하죠. 또 내부 어드민에 개인정보 처리 시스템을 구성할 때, 안정성 확보 조치 방안들이 잘 지켜졌는지도 확인하고요. 컴플라이언스 측면에서는 ISO27001이나 ISMS-P와 같은 정보보호 인증을 유지·관리해요.

Toto: 저는 CERT(침해사고 대응)를 맡고 있어요. 기본적으로는 사내 보안 솔루션이나 서비스 시스템들에서 발생하는 로그 데이터를 모니터링하다가 이상 행위를 발견하면 담당자를 만나 이슈를 해결해요. 또 침해 사고가 발생하면 모니터링하면서 모아놨던 정보들을 활용해 빠르게 대응할 수 있도록 도와요. 

Elliot: 개인 사정으로 인터뷰에 함께하진 못했지만, Ryan은 해커의 관점에서 모의해킹을 진행하며 서비스의 취약점을 발견하는 일을 해요. 예를 들어 누가 당근의 매너 온도를 조작하면 서비스 신뢰도가 많이 훼손될 수 있잖아요. 그럴 때 서비스의 취약점을 찾고 엔지니어들과 직접 소통하며 개선해 주는 역할을 해요. 또 보안 관련 플랫폼 개발 일도 하는데요. 최근에는 엔지니어들이 작성한 코드에 회사의 주요 정보가 포함되어 있는지 자동적으로 검출하는 ‘시크릿 진단’ 기능을 만들었죠.

보안 철학에 따라 사내 규정이나 업무 방향성도 많이 달라질 것 같은데, 당근 보안팀만의 철학이 궁금해요.

Elliot: 저희 팀은 통제보다는 모니터링 중심으로 운영하려고 해요. 보안 업무를 하다 보면 서비스를 안전하게 지키려는 통제 조치들이 오히려 구성원들의 업무 생산성을 저해할 수도 있는데요. 그런 조치들을 사내에 일률적으로 적용하기보다는, 최대한 통제를 줄이고 모니터링으로 커버하려고 해요. 방대한 양의 로그 데이터에서 유의미한 정보를 찾아내는 게 모래사장에서 바늘을 찾는 것처럼 쉬운 일은 아니지만, 당근이 속도감 있게 성장할 수 있도록 최대한 지원하려고 하는 거죠.

또 보안 업무를 하다 보면 접하게 되는 키워드 중에 ‘규제’, ‘조사’ 같은 것들이 있는데, 이런 상황에도 최대한 진정성 있게 접근하려고 해요. 규제를 준수하지 못했을 때의 리스크를 냉철하게 따져보고 최대한 규제를 준수하려고 하죠.

당근은 도메인이 다양해서 각 서비스마다 특화된 보안 사항을 챙기는 게 어려울 것도 같은데, 어떤가요?

Elliot: 실제로 그렇지만 그게 어떻게 보면 장점이기도 해요. 당근은 앱 하나에 중고거래부터 부동산, 중고차, 알바 등 다양한 산업군이 있잖아요. 저희는 기획부터 오픈까지 여러 서비스들의 보안 사항을 검토하면서 다양한 도멘들을 경험해볼 수 있는 거죠.

Raina: 저도 개인정보 처리 절차를 검토할 때 산업군별로 특별법을 고려해야 하는 경우가 많이 생겨요. 중고차 서비스는 자동차 관리와 관련된 법령을, 부동산 서비스는 부동산 거래와 관련된 법령을 추가적으로 고려해야 하죠. 그때마다 다양한 법령을 살피며 우리 서비스에 적용될 만한 부분, 개인정보보호법과 충돌될 수 있는 부분들을 꼼꼼히 따지는데요. 이 과정에서 당근의 서비스만큼이나 다양한 도메인의 지식을 쌓아갈 수 있어서 좋아요. 
 

보안팀은 갑작스러운 장애에도 신속하게 대응하고 보안 솔루션을 늘 지연 없이 적시에 도입한다고 해요. 팀원들이 긴밀하게 협업해 일하는 속도가 굉장히 빠른 덕분인데요. 당근의 수많은 서비스를 지키는 보안팀의 일하는 문화가 더 궁금하다면, 💡어바웃당근 블로그에서 지금 바로 콘텐츠 전문을 확인해보세요!