SK커뮤니케이션즈(이하 SK컴즈)는 올해 전사적인 보안 시스템 개편을 진행했다.

사이트의 통합과 맞물려 전사적인 보안정책 수립 필요성이 요구됐던 상황에서 ISO27001 인증 획득을 위한 작업은 내부 보안체질을 강화시키는 계기가 됐다고 볼 수 있다.

SK컴즈의 이경아 보안문화추진팀장을 만나 올해 보안이슈에 대한 SK컴즈의 대응과 내년도 전략을 들어봤다. 

■ 올해 가장 중요하다 느꼈던 보안이슈는?

올해 가장 중요한 보안이슈를 꼽는다면 세 가지로 볼 수 있다. 첫 번째는 외부 내부 고객정보보호에 대한 문제 이슈였고, 두 번째는 증권사를 비롯해 중소기업들을 대상으로 한 금품요구 DDoS 공격, 그리고 마지막은 웹사이트나 메신저를 통한 악성코드 유포가 올해 가장 재정비해 사전 예방 및 두드러진 이슈였다.

SK컴즈도 이런 이슈에 대한 대응으로 바뻤던 것으로 기억한다. 개인정보보호를 위해 고객정보 유출 방지를 위한 비밀번호 변경 캠페인을 수시로 진행했다. 또한 내부적으로는 보안체계 프로세스를 재정비해 사전 예방 및 사후 대응체계를 더욱 강화하는 계기가 됐다. 그리고 DDoS 공격에 대비하기 위해 DDoS 공격 대응 시나리오를 만들어 모의 DDoS 공격을 통해 테스트를 진행하기도 했다. 하지만 아직도 서비스 트레픽에 비해 DDoS 장비가 부족한 편으로 보여 증설을 계획 중이다. 그밖에도 악성코드 유포 방지를 위해 안랩과 협력해 무료백신을 네이트온에 적용 예정이다.

■ SK컴즈가 엠파스등 통합하면서 여러 보안이슈가 발생했을 것 같은데.

사실 엠파스와 통합에서 엠파스가 SK컴즈와 보안수준 차이가 거의 없어 큰 문제는 없었다. 다만 보안 정책에서 여러 부분 차이가 있었지만 전사적인 보안팀인 보안문화추진팀에서 보안 정책을 전사적으로 구성하기에 이르렀다.

이처럼 올해에는 사이트 통합이나 여러 이슈로 인해 내부보안조직의 강화가 두드러졌다. 특히 보안문화추진팀의 구성으로 전사적인 조직으로 보안이슈를 다루게 됐다. 가령, 보안팀의 경우 이전에는 기술조직에 속했지만 보안문화추진팀이라는 전사스텝으로 개편돼 업무의 범위가 확대됐다.

■ 보안문화추진팀에 대해 소개를 하자면?

보안문화 추진팀은 정식으로 9월 개설됐다. 보안문화추진팀이라는 이름에서도 나타나지만 보안의 강화라는 부분도 있지만 궁극적으로 바라는 것은 보안이 문화로 정착하는 것에 목적을 두고 있다. 올해 보안이슈의 특징은 내부보안과 외부보안 등 전방위적으로 보안 문제가 발생할 수 있다는 점을 직설적인 사례로 보였다고 볼 수 있다. 결국, 보안의 강화는 보안인프라와 더불어 내부 직원 모두와 사용자까지 모두 아우르는 보안의식이 중요해지고 있다. 따라서 보안문화추진팀은 내부와 외부, 사용자까지 아우르는 보안 문화 정착을 위한 활동을 하는 조직이다. 가령, 사용자에게 비밀번호 변경이나 클린인터넷 캠페인을 주관하는 등의 활동까지 포함한다.

■ 보안조직의 역할이 강화되고 있지만, 다른 조직과의 협력이 잘 안 되고 있다던데. 

SK컴즈는 CSO의 역할을 맡은 임원이 CRO(최고대외관계책임자)조직에 포함돼 있다. 이는 서로의 커뮤니케이션을 원활하게 하기 위함이다. 특히 이런 조직 구성은 홍보와 대외협력, 보안문화추진 등 각 팀이 내외를 불문한 협력을 강화하는 계기가 됐다. 이런 부분에서 CEO의 역할이 중요한 것 같다. 현재 SK컴즈의 경영진은 보안에 지대한 관심을 가지고 있어, 내부 보안감사나 모든 보안 활동이 직접 보고되고 있을 정도다.

■ ISO27001 인증 작업으로 힘든 나날을 보냈을 것 같다.

ISO27001 인증은 올 여름부터 추진을 해서 현재 인증 추천절차를 밟고 있어 이르면 이번주 내에 인증이 최종 확정될 것 같다. 사실 인증 절차는 여러 조직의 통합과 맞물려 내부보안을 강화하는 계기가 된 것 같다. 특히 내부 보안정책과 지침 프로세스를 수립하고 이행함과 동시에 서비스 설계 시 보안기능에 대한 검토를 진행하는 QA(Quality Assurance) 프로세스 개선 등 내부 보안역량이 강화됐기 때문이다.

■ 내부보안은 내부직원 보안교육의 강화와도 직결되는 것 같다. 내부보안 교육은 얼마나 잘 되고 있는가?

보안교육의 중요성이 부각되고 있기 때문에 구체적인 여러 방안을 통해 강화하고 있다. 특히 연 1회 이상의 전임직원 대상 보안교육과 더불어 상시 온라인 교육을 위해 시스템을 구축 중이다. 또한 내부 임직원 보안 의식 제고를 위해 클린데스크 캠페인을 보안교육과 연계하여 실시하고 있으며 신규 입사자 대상의 교육도 실시하고 있다. 이런 교육은 핵심정보 취급과 관리나 보안이슈 등 다양한 소재를 가지고 진행 중으로, 인터넷기업이라 그런지 내부 직원의 이수율도 높다. 최근 보안문화추진팀이 시간을 따로내 사보와 같은 뉴스레터를 만들었는데 호응이 좋은 편이다. 내부적으로는 보안문화정착이 멀지 않았다는 우스개 소리도 할 정도로 내부적으로는 보안에 대한 관심이 높은 편이다.

■ 여러 보안이슈와 더불어 사용자를 대상으로 한 포털의 역할도 중요해지고 있다. 어떤 준비를 하고 있는지.

포털은 보안수준을 최대로 높여야하는 의무가 있다. 특히 보안위협은 보이는 부분보다 안보이는 부분이 많기 때문에 많은 준비를 해야한다. 하지만 아무리 보안을 강화해도 사용자들의 보안인식이 부족하다면 허점을 노출할 수 있다. 따라서 포털은 사용자의 보안 인식을 강화하는 부분도 신경써야한다. 특히 개인정보보호의 경우 사용자들이 스스로 자신의 정보보호에 대한 관심을 유도해야하기 때문에 여러 캠페인을 진행하고 있다. 특히 개인정보의 중요성에 대한 캠페인은 지속적으로 강화할 방침이다.  

■ 2009년에는 어떤 보안이슈가 두각을 나타낼 것으로 예상하는지?

내년에는 올해의 이슈가 대부분 유지될 것으로 보인다. 하지만 이런 이슈가 올해보다 지능화된 패턴으로 진행될 것으로 예상된다. 특히 경기침체는 금전을 목적으로 한 악의적인 보안위협을 더욱 불러올 것이다. 이에 따라 보안의 중요성은 일부의 기업에 해당되는 것이 아닌 전 사회적인 이슈가 될 것으로 보인다. 특히 보안위협은 이윤추구에 따르는 리스크로써 특별한 관리가 요구되고 있기 때문에 기업들도 보안에 대한 인식이 더욱 확고해지고 경영층에서도 더 많은 관심을 갖게 될 것으로 보인다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>