코인원 가상화폐 거래소가 과학기술정보통신부가 주최한 ‘제22회 정보보호 대상’에서 대상을 수상 후 자사 보안 시스템의 다음 목표 키워드로 ‘제로트러스트’를 제시했다.
코인원의 ‘제로트러스트’는 시스템에 대한 접속요구가 있을 때, 네트워크가 이미 침해된 것으로 간주하고 ‘절대 믿지말고 계속 검증하라’는 철학을 강조하는 보안 모델이다. 해킹이 아닌 정상적인 루트의 네트워크 접근 시도도 확인이 완료될 때까진 지속적으로 보안 체계를 유지(검증)해야 한다는 게 ‘제로트러스트’의 핵심 내용이다.
코인원은 정보통신(IT) 기반구조 대상 공격을 포함해 거래소 임직원과의 사회·심리적 관계를 이용한 사회공학 침투까지 발생 가능한 모든 시나리오를 ‘제로트러스트’ 모델로 대비하겠다고 피력했다.
거래소 관계자는 자사가 지난 2014년 설립 이후 ‘강한 보안’을 목표로 보안 시스템 강화에 지속적으로 투자해온만큼, ‘제로트러스트’를 통해 철저한 자기객관화로 강력한 보안 체계를 이어나가겠다고 밝혔다.
그는 “코인원은 올해도 보안 조직의 규모와 질을 더욱 확대하며 보안 체계 강화에 열을 올렸다”라며 “가상자산 해킹 시도의 수법과 루트가 고도화되며, 최근 국내·외 가상자산 거래소의 보안사고가 잇따라 발생하고 있기 때문이다”라고 말했다.
현재 코인원은 장애·재해·외부공격 등 사고발생 시 자체 위기 대응력을 강화하기 위해 ‘침해사고 대응훈련’과 ‘재해복구 모의훈련’, 두 가지를 보안조직 주관 하에 매년 1회 이상 운영 중이다.
사이버 보안 전문 기업과의 모의해킹(Pen-Test) 훈련도 매년 실시되고 있다. 업계에서 코인원은 튼튼한 보안 시스템을 갖춘 업체로 알려져 있으며, 설립 후 현재까지 9년 연속 보안 무사고 기록을 보유 중이다.
코인원 관계자는 업무 중 생활화 되어있는 임직원의 보안의식도 코인원 보안의 강점으로 꼽을 수 있다고 설명했다.
그는 “완벽한 보안을 위해 담당자 뿐 아니라 거래소 전구성원의 의식을 함께 높여야 한다는 게 화이트 해커 출신 차명훈 대표의 지론이다”라며 “사내에선 매일 오후 7시 퇴근 전, 7가지 항목을 점검하고, 매월 7일 검토하는 ‘생활보안 777 캠페인’이 운영되고 있다”라고 부연했다.
‘생활보안 777 캠페인’ 외에도 코인원에서는 책상, 서랍 등의 개인 업무 공간을 철저히 관리해 회사의 기밀 및 중요 정보가 외부로 노출되지 않도록 하는 ‘클린데스크 캠페인’이 펼쳐지고 있는 것으로 파악됐다.
사내 보안 조직의 확장도 주목할 만하다. 코인원은 올 하반기 ‘서비스 보안 엔지니어’와 ‘정보보안솔루션 운영’ 등 2개 포지션에서 보안 직군 집중채용을 진행했다. 사내 보안조직은 전체 인원 기준 10% 수준으로 지난해 상반기 대비 2배 이상 확대된 상황이다.
관계자는 지난해 최중섭 정보보호최고책임자(CISO)가 합류한 이후 코인원의 보안 전문성이 더욱 높아졌다고 덧붙였다. 최 정보보호최고책임자는 한국인터넷진흥원(KISA)와 네오위즈 등 공공기관과 정보통신 기업에서 30년 이상 정보보호 및 개발 운영 경력을 쌓아온 베테랑 보안 전문가다.
한편 코인원은 “’제22회 정보보호 대상’에서 ▲정보보호 조직 및 예산 편성 ▲정보보호체계 운영 ▲거래지원 가상자산 및 서비스의 안전성 확보 ▲물리보안 ▲임직원 보안의식 등 다방면에서 높은 점수를 받으며 올해 최고의 정보보호 기업으로 뽑혔다.
거래소 관계자는 “이번 수상은 가상자산 업계 최초 사례라는 점에서 의미가 크다”라며 “정보보호 대상을 수상으로 설립 이후 10여 년간 지향해 온 ‘강한 보안’에 화룡점정을 찍은 우리 회사는 탄탄한 인적・기술적 시스템을 기반으로 ‘제로트러스트’라는 다음 목표를 실현하겠다”라고 강조했다.