이윤혁
Security Leadership &
Compliance Architecture
개발자·기획자·운영자가 안심하고 도전할 수 있는 환경을 만들어 신뢰받는 회사가 되도록 보안 리더십을 실천해 왔습니다.
About Me
보안은 규제를 지키는 업무를 넘어 팀의 몰입도를 높이고, 제품의 성장 속도를 지키며, 브랜드 신뢰를 설계하는 일이라고 생각합니다.
지난 17년간 정보보호 컨설팅, 금융권 보안, 인터넷은행 인가, 스타트업 보안팀 리더십까지 다양한 환경에서 "팀과 기술이 더 잘 성장하도록 돕는 보안 리더십"을 실천해 왔습니다.
Strong Point
규제를 해석에서 끝내지 않고 구조와 시스템으로 바꾸는 것
개발자·기획자와 같은 언어로 보안을 설명하는 것
보안팀이 “왜 이 일을 하는지” 이해하고 몰입하도록 만드는 것
스타트업부터 금융권까지 현실적인 보안 전략 설계
Security Team Building
만들고싶은 보안팀
브랜딩을 추구하는 기업의 정보보안팀
브랜딩 기업에게 보안팀은 '필수 전력'
브랜딩을 추구하는 기업은 단순히 서비스를 운영하는 조직이 아닙니다.
우리는 목표가 있는 스포츠 팀에 가깝습니다.
- 단기 성과가 아닌 지속적인 우승
- 기능 완성이 아닌 신뢰와 정체성
- 일회성 성공이 아닌 시간이 지날수록 강해지는 팀
스포츠 팀이 우승하기 위해 뛰어난 선수, 명확한 전술, 그리고 팀 전체의 신뢰와 몰입이 필요하듯,
브랜딩을 추구하는 기업에서 정보보안팀은 '있으면 좋은 팀'이 아니라, 우승을 위한 필수 전력입니다.
일반 기업의 보안 vs 브랜딩 기업의 보안
| 구분 | 일반 기업 | 브랜딩 기업 |
|---|---|---|
| 보안의 목적 | 사고 예방, 규제 대응 | 신뢰 축적, 브랜드 보호 |
| 보안 수준 | 건강검진 수준 | 컨디션 관리 + 한계 돌파 |
| 보안팀 역할 | 사후 대응 중심 | 스쿼드와 서포트 모두 수행 |
| 보안 문화 | 규칙과 통제 | 신뢰, 협업, 투명성 |
"브랜딩 기업의 보안팀은 ‘검진 조직’이 아니라 ‘경기력을 끌어올리는 조직’입니다."
보안팀은 스쿼드이면서 동시에 서포트 조직
🏃 Squad로서의 보안팀
- • DevSecOps
- • 제품·플랫폼 설계 단계부터 참여
- • 서비스 품질과 사용자 신뢰에 직접 영향
- • 함께 경기장에서 뛰는 팀원
🛡️ Support로서의 보안팀
- • 보안 거버넌스와 기준 수립
- • 컴플라이언스와 리스크 관리
- • 전사를 보호하는 판단과 조율
- • 전술 설계 및 컨디션 관리
👉 우리가 지향하는 형태는 Support 성격을 가진 독립적인 Security Squad입니다.
몰입을 만드는 세 가지 조건
1. 같은 목적
“규제가 아니라
신뢰와 브랜드를 위해”
2. 같은 고민
개발 속도 vs 안전
이상과 현실의 조율
3. 같은 Goal
신뢰받는 보안팀
브랜드를 지키는 팀
우리가 생각하는 보안팀의 핵심 3가지 축
Security Maturity
성숙도 기반의 현실적인 성장
보안은 흑백이 아닙니다. "우리는 어디에 있는가", "다음 단계는 무엇인가"를 고민하며 조직·전사·DevSecOps 관점의 로드맵을 그려나갑니다.
Trust Branding
내·외부로 신뢰받는 정보보안 문화
통제보다 설명을, 규칙보다 이유를 공유합니다. 개발자가 우회하지 않고, 조직이 숨기지 않는 신뢰받는 보안 문화를 만듭니다.
몰입할 수 있는 보안팀
성장을 체감할 수 있는 구조
책임은 크고 성과는 잘 보이지 않는 보안팀. 우리는 명확한 미션과 자율적인 판단을 통해 팀원이 오래 깊게 몰입할 수 있는 조직을 만듭니다.
"브랜드를 이해하고, 함께 뛰며, 신뢰를 설계하는 보안팀"
시간이 지날수록 기업과 함께 더 강해지는 보안팀을 지향합니다.
Security Team Plan (몰입할 수 있는 보안팀)
Unit · Role · OKR
독립적이면서도 유기적으로 연결된 보안 조직의 구조와 역할 정의
1️⃣ Security Squad 전체 구조
Security Squad는 4개의 유닛(Unit)으로 구성되어 있으며, 전사 조직과 긴밀히 연결되는 허브형 보안 조직입니다.
- Product & Platform Security Unit
- Cloud & Infrastructure Security Unit
- Governance · Risk · Compliance (GRC) Unit
- Security Enablement & Trust Unit
* 각 Unit은 명확한 책임 영역과 목표(Goal)를 가지며, 제품·개발·플랫폼 조직과 Squad-to-Squad 방식으 연결됩니다.
2️⃣ Unit별 역할 정의 (Role)
Product & Platform Security Unit
"제품과 함께 설계되는 보안"
- 제품·플랫폼 설계 단계 보안 리뷰
- Threat Modeling / Secure Design
- DevSecOps 파이프라인 설계
- 인증·인가·데이터 보호 아키텍처 자문
Backend / Frontend / Mobile 팀
보안 이슈로 인한 개발 재작업 감소율
Cloud & Infrastructure Security Unit
"플랫폼의 안정성과 확장성을 지키는 보안"
- Cloud / Kubernetes / Network 보안
- IAM, Secret, Key 관리
- 보안 모니터링·탐지 체계 운영
- 침해사고 대응 및 포렌식
고위험 설정 미준수 감소율
Governance · Risk · Compliance (GRC) Unit
"조직이 안전하게 성장할 수 있는 기준을 만드는 보안"
- 보안 정책·표준·가이드 수립
- ISMS, ISO, SOC2 등 컴플라이언스 대응
- 리스크 평가 및 위험 등록부 관리
- 보안 성숙도 모델 운영
법무 / 경영지원 / 감사
인증·감사 대응 리드타임 감소
Security Enablement & Trust Unit
"신뢰와 몰입을 만드는 보안"
- 보안 교육·캠페인·가이드 콘텐츠
- 개발자 친화적 보안 도구 제공
- 보안 커뮤니케이션 & 문화 설계
- 대내·외 신뢰 커뮤니케이션 지원
HR / Brand / PR
보안 이슈 자발적 공유 비율
3️⃣ OKR 설계 원칙
Security Squad가 조직과 연결되는 방식
Squad-to-Squad
보안팀은 "승인 조직"이 아니라 함께 문제를 푸는 파트너. 제품/플랫폼 Squad와 동일한 리듬으로 협업.
Early Involvement
설계 완료 후 리뷰 ❌
기획·설계 단계부터 참여 ⭕
Clear Ownership
보안팀이 모든 보안을 대신하지 않음.
실행 책임은 각 Squad, 보안팀은 기준·가이드·의사결정 지원.
Transparent Decision
왜 이 보안이 필요한지 설명하고 리스크와 선택지를 함께 공유.
4️⃣ Security Squad의 공통 원칙
- ✓보안은 속도를 늦추는 역할이 아니라 방향을 잡아주는 역할이다
- ✓통제보다 설계와 합의를 우선한다
- ✓규칙보다 신뢰와 이해를 중시한다
- ✓모든 보안 활동은 브랜드 신뢰로 귀결되어야 한다
우리가 지향하는 Security Squad
그리고 시간이 지날수록 조직과 함께 더 강해지는 Security Squad
Recent Focus
몰입하고 성장하는 환경
기술 인력이 몰입하고 성장할 수 있는 보안 환경을 설계합니다. 불필요한 제약을 줄이고, 지식 공유 문화를 만들어 개인와 조직이 함께 성장하는 구조를 만듭니다.
보안·감사 자동화
감독규정 자율규제 전환에 대응하여 보안 및 감사 프로세스를 자동화합니다. AuditFlow와 같은 도구를 통해 반복적인 컴플라이언스 업무를 효율화합니다.
브랜딩 기반의 보안팀 구성
보안팀의 비전과 가치를 명확히 하고 대내외적으로 소통합니다. 단순 통제 조직이 아닌, 제품의 신뢰를 더하는 비즈니스 파트너로서의 정체성을 확립합니다.
Work Experience
MOIN
2024.11 ~ Present보안팀 리더
- 글로벌 지점(싱가포르, 라트비아, 일본 등) 설립을 위한 규제 대응
- 해외 금융 규제(Dora, GDPR 등) 및 전자금융 컴플라이언스 대응
- 연구 개발망 및 망분리 대체 통제를 위한 ZeroTrust Architecture 설계
- 전자금융 기반시설 관리체계 자체 점검 후 개선 계획 수립
- ISO27001 취득, ISMS 및 VASP ISMS 준비
- 정보보호 규정 및 지침 제정
- 신규 보안팀 구성, 전사 거버넌스 설계 및 팀 문화 기반 마련
Levvels
2022.10 ~ 2024.11CISO/CPO
- Web3 Wallet 신규 서비스 보안 아키텍처 수립
- 보안팀 Team Building
- 두나무 그룹 보안 감사 대응
- 개인정보·정보보호 지침 제·개정
- 관리체계 및 클라우드 보안 기반 마련
CLASS101
2022.03 ~ 2022.10CISO
- 정보보호 조직 리딩
- ISMS 준비 및 보안 운영 체계 정착
- Okta·QueryPie·MDM·FW 등 인프라 보안 구성
- 개발자 중심 보안 UX 개선
토스뱅크 (Toss Bank)
2020.03 ~ 2022.02정보보호 정책 담당자
- 인터넷은행 본인가 및 심사 대응
- 보안팀 Team Building
- 본인확인기관·전자서명인증 사업 마무리
- 전자금융 보안성 심의 운영
- 고액송금 체크카드 OTP 적용 (국내 최초)
- 클라우드 기반 정보보호 운영 체계 설계
KB국민은행
2019.01 ~ 2020.02디지털사업부 차장
- 금융 DT 플랫폼 보안 설계
- Pivotal 기반 금융 MSA·DevSecOps 구조 구축
- 금보원 CSP 안전성 공동 평가 후 금감원 신고 완료 (국내 최초)
- 대규모 금융권 개발자 경험(DX) 기반 보안 운영
하나금융티아이
2017.03 ~ 2018.08정보보안
- 그룹 공용 클라우드 보안 아키텍처 구축
- 금융 망분리 구조 개선 프로젝트
- 개인정보 비식별화 가이드 수립
- 데이터센터 ISMS 인증 취득
LS글로벌
2015.06 ~ 2017.02정보보안
- 그룹 DRM 구축 PM
- 11개 계열사 통합 보안 아키텍처 설계
- APT 대응 솔루션 구축
- 변화관리·교육·운영까지 총괄
롯데닷컴
2014.08 ~ 2015.06정보보호팀 과장
- ISMS 인증 및 개인정보 체계 수립
- 대규모 보안관제 개선
- AWS 전환 보안 아키텍처 구성
이글루시큐리티
2007.11 ~ 2014.08컨설팅/관제
- 공공/금융/기업 대상 ISMS, ISO27001, 안전진단
- 사이버안전센터 설계 및 운영
- 보안관제·솔루션 운영·취약점 점검
- 정보보호 아이디어 공모전 장려상 수상