롯데월드, 제22회 정보보호 대상에서 대기업·기관 부문 정보보호 우수상 수상
폐쇄적이지 않은 유연한 소통 문화·보안 정책으로 정보보호 대상 수상까지 이끌어
전사적 ‘사내 보안 모의고사·스팸메일·모의해킹 훈련’ 등 적극적인 교육 통했다

[보안뉴스 이소미 기자] 국내 테마파크 ‘롯데월드’는 1989년 7월에 오픈해 대지면적 3만여평에 달하는 부지에 40여종의 어트랙션과 화려한 공연, 다양한 즐길거리 제공으로 연평균 600만명 이상이 방문한다. 이러한 롯데월드가 올해 정보보호 분야에서 경사를 맞았다. 제22회 정보보호 대상 시상식에서 레저 업계에서 최초로 대기업·기관 부문 정보보호 우수상을 수상한 것이다.

이에 <보안뉴스>는 롯데월드 주진국 정보보안부문장(CISO)과의 인터뷰를 통해 정보보호 대상 수상소감과 함께 수상 비결, 그리고 롯데월드의 정보보호 현황 및 향후 계획 등에 대해 들어봤다.


다양한 규모와 계열사 내 보안경력자, 각 분야별 장점만 모아 운영
롯데월드 정보보안부문을 이끌고 있는 주진국 정보보안부문장(CISO/CPO)은 레저 분야 외에도 현대백화점, GS리테일 등 다양한 유통업계 10여년 이상의 경력을 갖고 있다. 롯데월드 정보보안부문은 2022년 6월에 신설된 조직으로 정보보호 및 개인정보보호 관련 로드맵 마련 등 컨트롤타워 역할을 수행한다.

주 부문장은 “새로 시작하는 조직부터 규모가 크고 작은 조직을 모두 경험했지만 ‘임직원 모두 1인 보안담당자’라는 모토가 보안체제 마련에 가장 효과적이었다”면서, “전사적인 ‘1인 보안담당자’ 체제를 위해 대표이사를 비롯한 경영진(C레벨)의 정보보호에 대한 큰 관심과 적극적인 지원이 있었다”고 말했다. 롯데월드 방문객들의 추억을 매듭짓는 마지막 단추로 ‘정보보안’을 꼽을 만큼 대표이사의 강한 의지는 롯데월드 장기 근속자들의 ‘보안 생활화’를 이끌어냈다.

주 부문장은 “매달 정보보호 현안 및 이슈 보고와 그룹 내 ESG 평가지표 KPI에도 대표부터 임직원에 이르기까지 보안 점수를 반영하는 등 적극적인 정보보호 활동을 전개하고 있다”면서, “부서 내 최일선 정보보안 관리자 역할을 전 직원이 수행할 수 있도록 현장의 개인정보 취급자 및 관리자 중심의 ‘정보보호TFT’ 조직을 구성해 협업을 진행하고 있다”고 덧붙였다.

또한 그룹사·대외 기관을 통해 스팸메일 훈련, 사내 보안 모의고사 등을 통해 직원들의 보안의식을 제고하고 팀·개인 성과평가(KPI) 점수에 반영한다. 보안지침 위반 시 감점이나 과한 경우 징계위원회까지 열어 보안에 대한 막중한 책임감을 고취시키고 있다. 그 결과, C레벨부터 직원 개개인에 이르기까지 보안에 대한 심각성을 인지하고 대부분 보안에 철저히 임하고 있다고 설명했다.

수탁사 관리 위한 ‘개인정보보호포털’ 운영 및 ISMS-P 인증과 전사적 임직원 대상 교육
대기업의 개인정보 유출 사고는 수탁사 측에서 발생하는 경우가 많아 ‘개인정보보호포털’을 통해 온라인상에서 수탁사와의 업무 공유 및 연계를 제공하는 등 자동화 시스템을 구축했다. 또한 모든 화면에 마스킹을 적용하고 해외 사업장의 경우 필히 수집돼야 할 정보만 마스킹·가명처리·익명화로 처리하는 등 개인정보 수집 최소화를 위해 노력하고 있다.

특히 롯데월드는 호텔·면세점에 비해 △이용 고객의 회원카드 △분실물 접수카드 △택배송장 등 지류로 작성하는 오프라인 개인정보 문서가 많다. 따라서 철저한 라이프사이클 관리를 통해 개인정보 처리 후 안전하게 파기될 수 있도록 임직원 교육 및 사업장 불시 점검 등의 노력을 기울였다.

또한 ISMS-P 인증을 성공적으로 취득하고 정보보호 관련 주요기관인 △한국CISO협의회 △한국인터넷진흥원(이하 KISA) △한국산업기술보호협회 등과의 적극적인 소통 및 협력을 통해 보안 최신 동향을 습득하는 등 입체적인 정보보호 활동을 진행하고 있다.


한정된 인력으로 인해 발생하는 어려움... ‘유연한 소통 문화’로 넘는다
한정된 보안인원으로 △국내 온·오프라인 사업장 관리 △블랙컨슈머·체리피커 등 악성 고객 시스템 악용 예방 위한 관리활동 △단기 근무직 인원 대상 보안인식교육 △개인정보·정보보호관련 법률 자문·대응까지 조직 내에서 모두 수행하는 데 어려운 점이 적지 않다는 게 주 부문장의 얘기다.

이에 주 부문장은 “정보보안은 언제나 빈틈 없이 여러 상황을 대비해야 하는 만큼 육체적·정신적 긴장의 연속인 업무”라면서 “조직의 장으로서 팀원들의 건강을 챙기는 것과 적절한 휴식 보장으로 즐겁게 일하는 문화를 만들고자 했다”고 전했다. 효율적인 업무를 위해 불필요한 정기 회의 및 보고서·회의자료 등을 생략해 ‘스몰 토크형’ 문화를 정착시켰고, 각 팀원들의 뚜렷한 유형 및 강점을 부각한 업무 배치 등으로 많은 활동을 차질 없이 수행해낼 수 있었다고 자평했다.

롯데월드 정보보안팀 관계자는 팀 내 적극적인 의견 수용과 확실한 방향성 제시 및 단계별 성취에 따른 격려 덕분에 팀원 전원이 지치지 않고 더욱 힘을 낼 수 있는 계기가 됐다고 말했다. 아울러 유관기관과의 활발한 교류와 소통, 제도적 지원 덕분에 정보보안팀이 큰 성장을 이뤄낼 수 있었다고 덧붙였다.

한편, 롯데월드는 테마파크 운영 노하우를 기반으로 다양한 국가 진출을 목표로 하고 있다. ISO27001 인증을 취득하면서 해외사업 진출을 지원하고, KISA에서 진행하는 ‘정보보호제품 평가제도’를 통한 도입 제품의 모의해킹 시범사업과 ‘데이터 안심구역’ 마케팅 활성화를 위한 계획도 준비하고 있다고 밝혔다.

마지막으로 주진국 부문장은 시설물이 많은 사업 특성상 OT 보안 강화와 함께 그동안의 운영 우수사례 노하우에 대한 교육을 진행함으로써 중소·중견 규모 회사의 정보보호 수준 향상에도 기여하고 싶다는 포부를 나타냈다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>