라포랩스는 결제 정보, 배송 주소, 개인정보 등 민감한 고객 데이터를 다루는 빠르게 성장하는 커머스 기업입니다. PG사, 물류사, 다양한 마케팅 툴과의 연동으로 크리덴셜이 여러 플랫폼에 흩어져 있었습니다. 그러나 전체 보안 기능을 단 한 명의 보안 담당자가 관리하는 상황에서 GitHub, Slack, Notion 등 여러 협업 도구에 산재한 API 키, 토큰, 시크릿을 수동으로 추적하는 것은 불가능했습니다. 크리덴셜 노출 위험은 현실이었지만, 이를 해결할 리소스가 없었습니다. 단 한 번의 데이터 유출이 규제 제재와 고객 신뢰 상실로 이어질 수 있는 커머스 플랫폼에서 이 보안 공백은 지속 가능하지 않았습니다.
라포랩스는 Cremit을 도입하여 전체 기술 스택에 대한 자동화된 크리덴셜 탐지 체계를 구축했습니다. 1인 보안 담당자가 소스코드 모니터링을 위한 GitHub과 협업 도구 커버리지를 위한 Slack, Notion을 연동했습니다. Cremit의 에이전트리스 SaaS 방식 덕분에 최소한의 노력으로 하루 만에 배포가 완료되었습니다. 이전에는 지속적인 수동 감시가 필요했던 작업이 이제 자동화되어, 한 사람이 전담 팀이 필요한 수준의 모니터링을 효과적으로 수행할 수 있게 되었습니다.
""성장하는 커머스 회사의 1인 보안 담당자로서 모든 플랫폼의 크리덴셜 관리를 따라잡을 수 없었습니다. Cremit은 추가 인력 요청 없이도 제 업무를 효과적으로 수행할 수 있는 가시성과 자동화를 제공해주었습니다.""
Jihoon Gong
Security Compliance Engineer
효과는 즉각적이었습니다. 24시간 이내에 보안 담당자는 연동된 모든 플랫폼의 크리덴셜 노출 현황에 대한 완전한 가시성을 확보했습니다. 히스토리 스캔을 통해 그동안 축적되어 온 미확인 리스크들이 발견되었습니다. 가장 중요한 것은, 이제 한 사람이 상당한 인력 투자가 필요한 수준의 보안 모니터링을 자신있게 관리할 수 있게 되었다는 점입니다. 보안 담당자는 압도당하고 수동적이던 상태에서 능동적이고 통제력 있는 상태로 전환되었으며, 추가 예산이나 팀 확장 요청 없이 이를 달성했습니다.