소를 잃지않고 외양간을 고치는 방법

만약 당신이 핀테크 사업에 발을 들이게 된다면 그 순간, 마치 등 뒤에 유령처럼 따라다니는 검은 그림자를 느끼게 될 것 입니다.
다룰 수 있는 민감정보 중 가장 민감한 정보를 다루다 보니 결국 이 사업에서 가장 크게 신경 써야 하는 부분은 어쩔 수 없이 보안과 신뢰성이 되어갑니다.
"어떻게 소를 잃지않고 외양간을 고칠 수 있을까?"
인원구성
사실 인프라에 대한 보안 쳬계 이전에 가장 중요한 건 믿을만한 사람들로 내부 인원을 세팅하는 것 입니다. 단지 실력뿐만 아니라 오랜기간 같이 일해오고 신원이 확실한 인원들로 초기 팀을 구성하는 것이 첫 번째로 가장 중요한 일 입니다.
우리팀은 현재 기업들에게 프라이빗한 자금운용 서비스를 제공해주고 있으며 팀 구성도 최정예로 하여 리스크를 최소화 하고 있습니다. 핀테크 서비스를 운용한다면 이러한 인원관리가 가장 우선시 되어야 할 것 입니다.
따라서 인원채용에 대해서는 래퍼런스 체크를 가장 중요하게 생각하고 있으며 2단계 이하로 건너서 아는 사람들을 대상으로만 채용하는것을 원칙으로 하고있습니다.
인프라
인프라 구성은 한눈에 들어오는 다소 단순한 구조를 채택하여 초기 리스크관리를 하는 게 중요합니다. 기본적인 망 분리와 키 관리 세팅부터 오히려 조금 보수적일 수 있는 수준의 단순한 인프라 구성으로 단단하게 틈새를 메우는 일이 필요합니다.
특히나 모든 인프라 계정에 MFA를 적용하고 꼭 필요한 인원들만 접근할 수 있도록 하는 일이 필요합니다. 3rd party 서비스를 채택하는 일도 마찬가지입니다. 업력이 오래되고 활발하게 유지보수를 하며 금융보안인증을 받은 업체를 선정하여 지속적으로 커뮤니케이션하는 일이 필요합니다.
우리는 현재 헥토데이터를 데이터 공급업체로 선정하였는데, 다소 비용이 높지만 13년이라는 업력과 보안인증 그리고 여전히 실시간으로 빠른 커뮤니케이션을 해주는 모습에 신뢰를 느껴서 선택하게 되었습니다.
검사/컨설팅/인증
국가에서 제공해 주는 여러 보안 서비스들을 적극적으로 활용하는 것이 중요합니다. KISA에서 제공해 주는 보안검사 서비스를 활용해 실제 모의해킹부터 비즈니스 로직 코드 검사를 통해 혹시라도 있을 데이터 유출에 미리미리 대비할 수 있습니다.
또한 금융보안위에서 제공하는 보안 컨설팅을 수시로 활용할 수 있으며, 추후 업력이 쌓이고 트래픽이 증가할 경우 반드시 필요한 ISMS-P 인증(최고 수준의 보안인증)을 받을 수 있는 기반을 미리 다져놓을 수 있습니다.
보안은 특히나 디테일이 중요하기 때문에 서비스가 발전해 나가며 구멍이 생길 수 있는 작은 부분까지 핸들링하기 위해서는 한번에서 끝나지 말고 정기적으로 검사와 컨설팅이 반드시 이루어져야 합니다.
마치며
저는 AI로 간편하게 회사의 비용과 자산을 관리할 수 있는 서비스를 만들고 있습니다.
과거 삼성전자 AI/빅데이터센터에서 6년간 근무하며 여러 민감정보를 안전하게 다루어 온 경험이 있습니다. 실제로 글로벌하게 판매되는 프로덕트의 데이터들은 조금만 정보가 유출되어도 유럽연합에서 조 단위의 과징금을 받을 수 있기 때문에 많은 고민을 하고 노하우를 쌓아나갔습니다.
그랜터 서비스를 시작하며 빠르게 확장하기 보다는 한발한발 단단하고 조심스럽게 내딛는것을 가장 중요하게 생각하고 있습니다.