올해 DB암호화·DDoS차단 장비로 보안 강화

국내 최대 취업·인사 포털 기업인 인크루트는 지난 1998년부터 인터넷 채용 서비스를 국내에 처음 도입한지 올해가 벌써 10년째 다. 강산이 한 번 변한다는 지난 10년 동안 이 곳을 이용한 고객도 상당하다. 현재 약 380만 건의 고객정보를 갖고 있다는 이 기 업은 인터넷을 기반의 비즈니스가 중심인 만큼 최근 점점 지능화 되고 다양화 된 보안 위협도 늘어난 고객회원 만큼 증가했다. 하 지만 아직 큰 사고 없이 안정적으로 서비스를 제공하고 있다. 이러한 인크루트의 정보시스템팀에서 보안을 책임지고 있는 강진수 과장에게 안정적인 서비스운영과 정보보안에 관한 노하우를 들었다.

인크루트는 1998년 국내·외에서 최초로 인터넷 채용 시스템을 선보인 취업·인사 포털 기업이다. 명실공히 취업시장의 탄생과 성장을 이끈 역사의 주역으로서 채용 시장을 선도하고 있으며 인터넷 채용서비스를 시작한지 올해로 10년을 맞고 있는, 이 분야에서는 따라 올 기업 이 없다.

특히 인크루트가 취업서비스를 시작한 이후 연이어 등장한 다른 취업사이트들이 현재 외국회사에 넘어가거나 M&A되는 등 변혁을 거듭해 온 상황에서도 인크루트는 굳건히 자리를 지키고 있었다. 이 뿐만 아니라 대한민국 을 대표하는 취업사이트로서도 시장 점유율을 높여가 고 있다는 것이 큰 자랑이다.

또한 지난 2005년 업계에서 유일하게 코스닥에 상장, 투명하고 신뢰받는 기업 경영을 실천하고 있으며, 최근 높아진 보안 위협에서도 그 피해를 최소화하기 위해 보 안 투자와 인프라를 확대해 보안 강화와 피해 예방에 적극적인 노력을 기울이고 있다.

개인정보보호 강화 위해 정책·장비 도입

사내 보안관련 업무는 모두 정보시스템팀 내에서 수행 하고 있다. 정보시스템팀 내에서 회사 내의 정보보호를 조율하고 회사의 다른 조직들과 협력하고 있는 것이다. 강진수 정보시스템팀 과장은 “다른 기업의 보안 담당자들도 모두 알고 있듯이, 정보보호 관련해서는 어느 한 부서가 잘한다고 되는 문제가 아니라, 회사의 모든 조직 들이 실천해야 할 문제라고 생각한다”며 “따라서 ‘전사 의 보안 부서화’가 인크루트의 보안 정책이라 할 수 있다”고 말했다.

현재 사내 최대 보안 이슈는 이미 사회적으로도 큰 이 슈가 되었지만, 마찬가지로 개인정보보호가 가장 크다 고 판단하고 있다. 강 과장은 “인크루트는 비즈니스 모 델 특성상 상당히 많은 종류의 개인정보를 가지고 있다”며 “그 중에는 신체정보, 연봉정보 등을 비롯한 민감할 수 있는 개인정보도 포함되어 있다 보니 당연히 개 인정보 유출사고에 민감할 수밖에 없고 회사에서도 상당히 많은 신경을 쓰고 있다”고 밝혔다.

이를 위해 현재 서비스에 있어서도 개발본부에서 중요한 개인정보에 대해 암호화하는 작업을 진행하고 있다. 현재는 내부 테스트 중이지만 10월 중으로는 DB에 암 호화 적용이 완료될 것으로 보고 있다.

특히 현재 진행되고 있는 DB암호화는 자체적으로 다양 한 암호화 방법을 개발해 종류별로 테스트를 거쳐 가 장 적합한 방법을 찾고 있다는 것.

강 과장은 “물론 외부의 DB암호화 솔루션도 많은 검토를 해봤지만, 속도나 인덱스 관련 지원이 되지 않는 부 분에서 적합하지 않았고, 또 오라클 기반은 지원범위가 넓은데 비해 현재 사용하고 있는 MS SQL서버 기반은 여러 가지 미흡한 부분이 더 많아서 자체적으로 개발한 암호화 솔루션을 적용하기로 했다”고 설명했다.

아울러 올해 강화된 사내 정보 보안 시스템이나 정책으로 강 과장은 사내 정보보호정책서, 지침서, 절차서 등에 대한 전체적인 제·개정을 꼽았다. 이는 문서로만 존재하는 정책, 지침이 아니라 실제로 임직원들 이 기억하고 현업에서 적용될 수 있도록 방향을 잡았다는 것이다. 강 과장은 “올해는 중국으로부터의 DDoS 공격과 이를 통한 금전적 요구가 유난히 많은 해였으며 이는 인크루트에도 예외는 아니었다”며 “전에는 DDoS 공격 등을 먼저 한 후에 금전을 요구 하는 전화가 걸려왔지만, 최근에 는 전화로 먼저 금전을 요구하며 돈을 주지 않으면 공격하겠다는 전화가 걸려온다”고 밝혔다. 하 지만 인크루트는 기본적인 보안 솔루션과 장비 등으로 이 같은 해커들의 공격을 차단할 수 있었다.

그는 또 “올해 이러한 해커들의 공격과 협박에 대비하기 위해 DDoS 차단 전용 시스템을 구축 하고 대응하고 있으며 서비스의 안정성을 높이는 데에도 노력하고 있다”고 덧붙였다. 특이할 만한 것은 인크루트가도 입한 DDoS 장비는 리스크가 적고 무중단의 안정적인 서비스 제공을 위해서 기업 내부망에 설치하는 것이 아니 라, 아웃오브패스 방식으로 네트워크에 부담을 주지 않고 공격 대상이 되는 시스템만을 효과적으로 방어하는 장비를 채택했다는 것이다.

임직원들의 보안 의식 향상이 중요

최근 빈번하게 발생하는 보안 사고에 대비해서는 보안 정책의 변화나 제·개정보다는 임직원들의 보안에 대한 인식 향상을 위해 더 많은 노력을 하고 있다. 또 올 해 에 7월~9월에만 모두 8번의 개인정보보호 교육을 실시했고 전체 임직원 중 90% 이상이 이번 교육에 참석했다는 것은 이를 반증한다.

또 마케팅, 이벤트 등을 통한 타 업체와의 서비스 연동 이 빈번하게 발생하는 특성상, 이러한 서비스 진행시에 는 개인정보의 보호를 기초에 두고 진행하고 있다. 간혹 회사의 이익과 보안의 이슈가 대립되는 상황이 발생하기도 하는데, 가시적인 이익 보다는 정보보호에 더 역점을 두고 있다는 것. 이에 따라 경영진들은 온라인 기업의 특성상 보안의 중요성을 인식하고 이에 대한 투자와 지원을 아끼지 않고 있다.

“특히 온·오프라인의 보안 사고들로 인해서 대부분의 기업들이 보안에 민감해져 있는 것이 사실이며 이제는 한 건의 보안사고로도 회사의 비즈니스와 명성, 신뢰성 면에서 큰 타격을 줄 수 있다는 점을 경영진 대부분이 공감하고 있다”고 강 과장은 말했다.

또한 그는 “보안에 대해 이슈가 있을 때마다 일회성으로 투자를 하느냐, 아니면 회사의 업무 프로세스를 정보보호를 고려하여 개선하느냐는 큰 차이가 있다는 것 을 충분히 잘 알고 있기 때문에 인크루트는 그러한 부 분에서 현재 개 선해 나가는 과정에 있으며 이 모든 과정은 경영진들의 높은 보안의식과 지원이 없으면 불가능하기에 사내 보안인프라에 관한 투자와 지원은 충분히 이루어지고 있다”고 덧붙였다.

그렇다면 타기업과 차별화된 인크루트만의 정보보안 시스템이나 정책은 무엇일까? 우선 서비스 기획, 마케팅, 개발 등 다른 많은 부서들이 각각 새로운 서비스를 기획하거나, 변경이 있을 경우 정보시스템팀으로 보안적인 측면에서 검토를 요청한 후에 새로운 서비스를 진행 하고 있다.

즉, 고객의 요구를 얼마나 빨리 반영하느냐가 관건인 인터넷 비즈니스에서 보안에 대한 검토를 한 단계 더 거친 다는 것은 쉽지 않은 일이지만, 모든 부서의 직원들이 이러한 절차는 반드시 필요한 부분이라 생각한다는 것이 강 과장의 설명이다.

그는 “간혹 보안 이슈로 인한 업무 진행이 원활하게 진행되지 않을 때도 있지만, 그 안에서도 위험을 최대로 감소시키고 서비스는 효과적으로 제공될 수 있는 방안 을 찾고 있다”고 말했다.

주기적 취약성 점검은 해킹 방어에 필수

고객정보보호의 중요성이 확대되는 가운데 인크루트는 올해 관리적인 측면에서 고객 개인정보를 취급하는 ‘개인정보 취급자’에 대해 교육을 좀더 심화시켜 확대할 계획이다. 이와 맞물려서 기술적인 측면에서 고객정보 조 회·이용에 대한 DB감사 시스템 도입도 검토 중에 있다. 현재 인크루트에서 보안을 위해 도입 운영하고 있는 솔루션은 방화벽, 침입탐지 시스템, DDoS 차단 시스템, L7Layer스위치 등이며 외부 관제 업체(보안 전문 기 업)를 통해 24시간 보안관제를 위탁하고 있다.

이러한 보안 솔루션에 대한 강 과장은 “보안 장비를 구매하는 입장에서 본다면 보안장비의 성능, 제조·개발업 체의 신뢰성, 동종 업계의 레퍼런스 규모 등을 먼저 보 게 된다”며 “장비의 성능 측면에서도 국내 보안 솔루션들도 충분히 경쟁력이 있다고 생각한다”고 말했다.

서버, 네트워크, 웹 등 다양한 부분에서

취약성을 식별하고 위험을 분석해서 제거하는 것이

근본적인 대응 방안이라 생각하고 있다

그런데 문제는 제조·개발업체의 신뢰성 부분이라는 것. “한 때 전세계 보안업체의 절반이 국내에 있다고 할 정도로 많았던 보안 전문 업체들이 폐업을 하거나, 타 기업이나 업종에 인수·합병되는 과정을 보면서 우리가 국내 솔루션을 구매했을 때 지속적으로 지원을 받을 수 있을까 하는 부분에서 좀 불안한 것은 사실”이라며 국내 보안 솔루션에 대한 문제점을 지적했다.

또한 그는 “국내 보안 벤더들도 국내의 공공시장과 같이 상대적으로 영업이 용이한 시장뿐만 아니라 일반 기업 시장에서도 활성화 되어 레퍼런스쪽에서 우선 검토 대상이 될 수 있는 분위기가 되면 좋겠다”고 강조했다. 최근 들어 기업의 핵심 기술 정보나 고객정보가 해킹이 나 유출의 대상이 되고 있는 가운데 인크루트도 최근 종종 앞서 언급한 것처럼 해킹을 하려고 하는데 일정 금액을 지불하면 해킹하지 않고 넘어 가겠다”라는 협박 성 전화가 회사로 걸려온다.

그러나 여러 가지 보안 솔루션을 운용하고 있고, 또 DDoS 방어 장비의 덕분에 실제로 큰 피해로 이어진 적 은 없었다는 것이 강 과장의 설명이다. 또 사이버수사 대에 수사를 의뢰하기도 했지만 범인을 잡을 수는 없었다.

이처럼 최근에는 이렇게 금전적인 이익을 노리고 해킹 시도나 DDoS와 같은 공격을 하는 경우가 대부분이다. 회사의 핵심 정보나 고객 정보가 금전적인 이익을 얻으려는 사람들에게 공격의 대상이 되고 있다는 것 자체가 위험이라고 할 수 있다는 것이다.

강 과장은 “취약성 없는 곳에 침입 없다는 오랜 보안 업 계 격언처럼 취약성을 제거하는 데 집중하고 있다”며 “서버, 네트워크, 웹 등 다양한 부분에서 취약성을 식별 하고 위험을 분석해서 제거하는 것이 근본적인 대응 방 안이라 생각하고 있다”고 강조했다. 이에 기술적인 취약 성 분석을 주기적으로 시행하고 있으며 취약성 발견시 신속하게 조치하도록 하는 것이 가장 중요한 업무 중의 하나라는 것이 그의 설명이다. “하지만 무엇보다 중요한 것은 전 직 원의 보안과 정보보호에 대한 마인 드”라는 것이 그의 생각이다.

이력서 정보, 최소한의 정보만 기록·수집해야

이 기업은 취업·인사 포털 사이트라 는 조금은 특별한 온라인 기업이라 는 특수성 때문에 다양한 종류의 개인정보들을 가지고 있는 것이 사실 이다. 이러한 개인정보를 보호하기 위해 웹 서비스뿐만, 아니라 내부 사용자의 보안도 강화해야 할 필요가 있다.

강 과장의 생각은 “일련의 보안사고 발생 사례를 볼 때 기술적으로 아무 리 좋은 시스템을 구축했다고 하더라도 운영하는 사람의 실수나 도덕 적인 문제로 인해 사고가 충분히 발생할 수 있는 만큼 기술적인 측면뿐 만 아니라 인적인 보안도 상당히 중요하다”는 것이다.

또한 그는 외부 수사기관 등에서 회원의 개인정보와 접 속기록을 요구하는 사례가 점점 늘어나고 있다고 말했다. 특히 검·경찰을 비롯해서 군 수사 기관 등에서 요 청하는 것이 대부분이라는 것.

물론 이러한 기관에서는 각각의 필요에 의해서 요청하는 것이어서 ‘통신기록 확인 요청서’와 같은 절차를 지 켜서 요청하는 경우가 대부분이지만 일부의 경우 요청서의 수신처가 30개 기업이 넘는 곳에 동시에 요청하는 것을 보면, 각 기관에서 통신기록에 대한 요청을 너무 남발하는 것은 아닌지 한번쯤 생각해볼 문제라고 지적 했다.

이는 회사 입장에서 보면 고객보호라는 측면도 생각해 야 하고 이에 응대하기 위해 투입되는 인적 리소스도 많기 때문이라는 것이다. 그는 이러한 이유 때문에 “통 신기록의 요청은 법적인 측면에서 반드시 필요한 경우 에만 요청할 수 있도록 법·제도적 보완이 되어야 한다” 고 말했다.

아울러 기업에서 요구하는 이력서상의 개인정보가 필요 이상으로 많다는 의견들이 많다고 강조했다. “인크루트 뿐만 아니라 모든 취업사이트는 기업들이 요구하는 정 보를 수집·보관할 수밖에 없는데, 이런 부분들은 각 기 업들과 충분한 의견조율을 통해서 이력서에도 꼭 필요 한 최소한의 정보만 기록하고 수집할 수 있는 시스템으 로 개선될 필요가 있다”는 것이 그의 생각이다.

향후 인크루트는 국내 최대 취업포털 사이트로서 고객 정보보호와 양질의 취업정보 서비스를 제공하기 위해 안전한 개인정보의 유통과 활용을 위해 모든 노력을 아 끼지 않을 것이다.

<글/사진 : 김태형 기자 (is21@boannews.com)>

[월간 정보보호21c 통권 제99호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>