주목할 만한 시리즈

특금법을 성공으로 이끈 ‘어벤져스’
정보보안팀을 만나다

박인수, 김상호, 한명욱 님을 만나다

ismsTF

“앞으로 무궁무진한 블록체인 서비스가 나올 겁니다
그 기회의 바다 속에서 ISMS 인증은 헥슬란트에게
기회이자 동력이 될 거에요”

헥슬란트 팀은 얼마전 옥텟과 토큰뱅크 두 가지 서비스에 대한 한국인터넷진흥원(KISA)의 ISMS 정보보호 관리체계 인증을 취득하였습니다. 비거래소에서는 최초의 획득이었고 거래소와 비거래소에서 한 가지 서비스 통과 하기에도 바빴던 시간동안 무려 두 가지의 서비스를 통과하는 쾌거를 이뤄냈습니다. 불안정한 블록체인 시장에서 제도권의 진입을 위해 부단한 노력을 시도 하고 있는 헥슬란트 팀. 그 중심에 정보 보안체계를 담당하는 보안팀을 만나보았습니다.

국내 최고를 넘어 ‘가상자산사업 시장의 기준'을 만들기 위한 목표로 하는 박인수 님, 김상호 님, 한명욱 님을 만나 보안팀 분들이 일하는 방법과 ISMS 준비 과정에 대한 에피소드를 이야기 나눠보았습니다.
  1. 안녕하세요, 정보보안팀 여러분! 각자 자기 소개 한번 부탁드릴게요

    1. 박인수

      CTO 및 CISO(Chief Information Security Officer) 를 담당하고 있는 박인수라고 합니다.
      이외에 주로 헥슬란트에서 옥텟 서비스 총괄과 헥슬란트의 전반적인 정보보호체계를 담당하고 있습니다.
    2. 김상호

      헥슬란트 옥텟 개발에 참여하고 있고 블록체인 관련 서비스 개발시 코어 설계를 담당하고 있습니다. 뼈대를 잡는 역할이라고 볼 수 있고 헥슬란트의 전반적인 네트워크 담당을 하고 있습니다.
    3. 한명욱

      헥슬란트 전략팀에서 일하고 있고 ISMS 관련 사내 지침과 규정을 작성하고 있습니다.
      정보보호 담당자와 CISO의 사이에서 함께 관련 규정을 조율하고 거기에 맞는 내용들을 작성하고 검토하는 업무를 담당하고 있습니다.
  2. 이번 심사를 준비하면서 각자 맡은 업무가 있었나요?

    1. 박인수

      네, 기존의 업무에서 조금 더 심사기준에 맞는 업무로 변경이 있었습니다. ISMS 총괄업무를 맡게 되었고 인증을 준비하면서 내부(헥슬란트) 와 외부 (컨설팅사) 사이에서 의견이나 관련 법안들을 조율하며 진행절차를 밟아왔는데요 헥슬란트에서 단독으로 진행하기 어려운 부분들을 컨설팅사의 도움을 통해 지침을 마련하는 역할을 했습니다.
    2. 김상호

      주로 저와 인수 님은 인프라 쪽을 담당하면서 명욱 님이 정리한 지침들을 바탕으로 실제 이행하는 작업들을 진행하였습니다. 보안이 미흡한 부분들을 채워넣었죠.
    3. 한명욱

      컨설팅사는 기존 사업자의 기준을 보유하고 있고 이 지침들을 헥슬란트와 같이 가상자산 사업에 맞도록 실제 바꾸는 과정이 필요했습니다. 증적, 지침, 규정등을 서류로 만들어 구비하였고 핫월렛 콜드월렛 지침의 기준을 바로 세웠습니다. 20여가지 정도 되는 지침들이었던 것 같아요.
  3. ISMS 인증 취득 준비하면서 어떤 것들을 느끼게 되었고 배우게 되는 계기가 되었나요?

    1. 박인수

      본격적인 준비기간은 20년 12월 ~ 21년 6월까지 약 7개월 동안 진행하는 과정이었어요
      ISMS인증 자체가 개인정보 보호에 초점이 맞춰진 기존안들이 많다보니 실제 블록체인과는 거리감이 있는 지침들이 있었죠. 이러한 것들을 실무에 가깝게 조율이 되어가는 과정이 필요하지 않을까 생각합니다.
    2. 김상호

      하지만 이번 인증을 통해 우리의 취약점도 알게 된 계기가 되었어요
      개선하고 시스템화 하면서 서로 보안에 대한 인식이 높아졌다랄까?
      한 단계 발전하게 되는 의미있는 경험이었어요
    3. 한명욱

      상호 님 말씀처럼 어느새 체득이 되어 있더라고요.
      이번에 헥슬란트 옥텟 버전이 업그레이드 되는 과정이 있었는데
      이 과정에서 저도 모르게 보안을 생각하면서 시스템을 구축해야 하는데 하고 습관처럼 나오더라고요 (하하)
  4. 80개의 인증 항목은 대표적으로 어떤 것이 있었고 그중 가상자산 사업자용 세부점검 56개 항목을 통과했어요
    그중 가장 기억에 남는 항목이나 준비 과정에서의 에피소드가 있다면?

    1. 박인수

      대여금고가 가장 기억에 남아요. 은행의 대여금고는 보통 지점에서 VVIP가 아니면 주지 않는데
      이것을 받는 것 자체가 굉장히 까다롭고 어려웠어요. ISMS인증 심사 기준 항목이기도 한 부분이라 어떻게든 해결해야하는 상황 속에서 정말 고군분투 했었던 기억이 있습니다.
      이외에도 ISMS 망 분리 대상이 아니라 준비하지 않아도 된다 라는 컨설팅사의 내용이 있었는데 사전심사를 받아보니 필요했던 상황이었어요. 컨설팅사도 ISMS 인증처도 블록체인 관련해서 아직은 명확한 기준이 없었던터라 명확한 가이드라인이 전무했죠. 이렇다 보니 보안수준을 최고 수준으로 맞추고 보안을 요구하게 되었고
      준비해야 하는 수준이 정말 어려웠습니다.
    2. 김상호

      인프라는 잘 되어 있어도 체계적인 것이 아직은 좀 부족했던 것 같아요. 처음에는 “이것까지 해야하나?” 라는 의문이 있던 것들도 어떻게든 맞춰내고 나니 “이걸 다 했네..” 라는 생각이 들었죠. 하고 나니 뿌듯했습니다.
    3. 한명욱

      가상자산 사업의 신설항목이 생기다 보니 마땅한 레퍼런스가 없었어요
      하지만 이런 것들을 끈질기게 만들어 내고 제도에 맞게 구축하다보니 어느새 “비거래소 최초"라는 타이틀을 얻게 되었고 더불어 “옥텟" 과 “토큰뱅크" 두가지 서비스를 동시에 인증받게 되었죠. 거래소 비거래소 통틀어 두가지의 서비스를 심사 받고 인증을 따낸 곳은 헥슬란트가 유일할 겁니다.
      이렇다 보니 저희만의 준비 노하우가 생겼고 스타트업으로써는 사실상 진행하기 어려운(비용과 시간의 문제) 상황을 해결해낸 쾌거를 이뤘죠
    ismsTF
  5. 듣고보니 특금법 시행 전 인증취득 쉽지만은 않았던 것 같아요 비거래 ‘최초’로 인증을 취득한 헥슬란트는
    어떤 것에 집중했을까요?

    1. 박인수

      특금법 시행령인 9월 24일까지는 무조건 완료해야 한다.
      시간적인 데드라인에 집중했습니다. 사전심사가 2주정도 미뤄졌을 때에는 너무나 갑작스런 변동상황이라 긴급 회의를 진행해서 계획을 정말 정밀하게 세웠어요.. 그정도로 시간이라는 압박이 있었죠
    2. 김상호

      더군다나 두개의 서비스를 준비하다 보니 두개에 대한 증적을 따로 쌓아야 하는 상황이었고 겹치지 않게 준비되어야 하는 미션이 있었어요. 추가로 보안 솔루션 도입에 대한 고민도 있었는데 이유는 보안 솔루션 자체의 비용이 비싸기 때문이죠. 일례로 서버비가 한 대에 10만원이면 보안 솔루션 도입은 15만원정도의 비용이 든다고 보시면 되요. 그러다 보니 아직 시작단계인 스타트업에서는 비용적인 리스크를 효율적으로 운용할 수 있을지에 대한 고민이 있었습니다.
    3. 한명욱

      ISMS를 블록체인 회사가 처음 받다보니 지침 규정들이 아직은 기존 제도에 머물러 있는 경우가 있었어요
      이러한 가이드를 가지고 어떻게 지침 수준을 맞춰야 할지 고민이 많았고 지침을 쓰면서도 이게 맞는지에 대한 부분들을 명확하고 검증 된 지표로 만들어 내는 것이 저에겐 숙제였습니다.
  6. 그동안 불완전하다는 블록체인 시장에서 헥슬란트가 제도적인 기반을 마련하면서 점차 인정받고 있는 상황인 것 같다. 확실히 체감이 하는가?

    1. 박인수

      올해 4번 정도 심사관분들에게 설명하고 오는 자리가 있었습니다. ISMS 인증 받는 대다수의 고객사가 헥슬란트 옥텟을 쓰다 보니 옥텟 서비스가 어떻게 ISMS에 부합하는지 말씀드리고 오는 자리었습니다.
      심사관 한 분께서 “아마 당분간은 바빠지실 겁니다" 하고 말씀 주셨었는데 그만큼 헥슬란트 옥텟이 시장에서 인정 받고 있다는 생각에 설레어 잠이 안오더라고요.
    2. 김상호

      블록체인을 조금이라도 아는 사람이라면 이번 ISMS 인증 관련해서 여러번 개인적으로 연락이 왔어요
      블록체인에 대한 이해가 조금씩 인정받고 있구나 하는 생각이 들었고 제도화의 길이 열려 가고 있구나 느꼈죠.
    3. 한명욱

      ISMS를 준비하면서 옥텟의 점유율을 새삼 체감하게 된 계기가 되었어요.
      워낙 암호화 화폐 사건사고가 그동안 많은 상태였고 우리가 ISMS를 준비하면서 이번과 같은 인증 사례가 정말 올바르게 기술을 선도하고 개발하는 업체들을 골라내는 시작이 될거라는 확신이 있었고 그렇게 된다면 좀 더 많은 건강한 생태계가 자리 잡혀 가지 않을까 하는 생각이 들었습니다.
  7. 다른 비거래소에서는 이번 인증취득 절차에 움직임이 많이 없었어요. 대다수 업체들이 인증 취득을 진행하지 않았는데 헥슬란트는 왜 ISMS 인증을 취득하게 되었나요?

    1. 박인수

      맞아요. 비거래소 기준으로 아직 인증을 받은 업체는 미비한 상황이에요. 이 지점에서 사실 지갑구축 솔루션사들이 현재 어떻게 움직여야 할지 애매한 상황도 있습니다.
      헥슬란트는 사실 비거래소임에도 불구하고 인증을 받기로 결심한 이유는 명확해요
      옥텟은 키 보관을 하는 서비스이지만 키 보관에 대한 인증은 필수 사항이 아니었죠. 이러한 상황임에도 불구하고 저희는 키도 자산이라고 생각하고 접근하니 오히려 단순해지고 명확해지더라고요.
      최소한의 보안, 최소한의 개인정보 보호라고 생각하고 필요성을 인지하면서 멀리보면 지금은 단순한 키 보관이겠지만 향후에는 반드시 확장 될 가능성이 있다는 판단하에 접근했습니다.
      현재는 인증절차는 선택이고 없어도 무방하게 시스템을 운영 할 수는 있겠지만 앞으로의 블록체인 시장은 매년 발전을 거듭할거라 확신하고 있기 때문에 미리 선제적 대응을 했다고 봐 주시면 좋을 것 같아요.
  8. 마지막으로 9월 24일 특금법이 시행된 이후 블록체인 시장은 어떻게 변화할까요?

    1. 박인수

      내년에는 블록체인을 가지고 서비스로 도입하는 융합의 시도가 많을거라 생각해요
      NFT를 가지고 게임 결재가 현재에도 이루어 지고 있는 상황을 보면 확장의 가능성은 무한하다고 봅니다.
      이때 옥텟이라는 솔루션이 산업의 카테고리를 막론하고 도입 될 수 있는 곳은 무궁무진 할 거에요

      이제 제도적인 기반을 마련했기도 했고 이것들을 바탕으로 대기업이라던지 규모가 큰 스타트업에서 여러가지 활용사례들이 많아질 것입니다. 폭발적인 성장의 가능성을 앞두고 저희가 준비 할 수 있는 모든 것들을 마련해야죠 제도적으로 체계가 갖춰진 기업만이 기회를 결과로 바꿔 낼 수 있고 성장의 동력으로 움직이게 될 것입니다. 그동안 규제 리스크가 워낙 강했고 이 모든 것들이 9월 24일 이후에는 많이 해소되지 않을까 기대감도 있어요. 헥슬란트가 구상하고 있는 수 많은 서비스들도 이제 제도적인 힘을 얻어 더 많이 만나 보실 수 있을 것 같습니다.
시리즈 전체 보기