SK텔링크 김성식 정보기술팀 대리

업무에 지장 없는 매끄러운 구축과 운용 연계성 고려

SK텔링크는 지난 1998년 설립 이후 통신시장에서 국제전화사업의 지속적인 성장과 유선사업, 그리고 유무선 결합 상품에 주력해왔다. 현재는 SKT와 SK브로드밴드 등 관계사와 긴밀한 협조관계를 유지하고 있으며 향후 신규 사업인 인터넷 관련 사업 분야로도 확대를 계획하고 있다. 보안업무는 각 시스템별로 담당자가 보안업무를 하고 있다. 이 기업에서 보안 업무를 맡고 있는 김성식 SK텔링크 정보기술팀 대리는 “지난 2007년 회사의 정보자산을 보호하기 위해서 DB보안과 암호화 구축이 필요하다고 판단, 이를 도입·구축해 운영하고 있다”며 DB보안의 필요성을 강조했다.

현재 사내 최대 보안 이슈는 무엇인가?

현재 이 기업이 최대 보안 이슈는 무엇보다 개인정보보호다. 현 방송통신위원회의 규제지침에 의한 규제사항을 준수하고 있으며, 특히 개인정보가 직원 개인 PC에 저장되지 않도록 열람만 할 수 있는 시스템으로 전환했고 로그관리 시스템도 도입했다. 이에 내부적인 정보보호 안전진단 등을 통한 내부적인 보안 강화에 중점을 두고 있으며 구성원의 보안 의식 변화와 같은 변화관리에 대해서도 많은 역량과 리소스를 투입 중이다.

DB보안 솔루션을 도입하게 된 계기는?

지난 2007년 10월부터 2~3개월의 구축 기간을 거쳐 12월에 오픈했다. 특히 홈페이지와 기간시스템과의 연동에 대해 많은 시간을 할애 했으며 암호화로 외부 침입에 대한 권한별 암호화 시스템을 구축했다. 이는 DB보안과 암호화 시스템을 구축한 것은 외부의 침입시 1차적 보안을 한 것과 하지 않은 것의 차이가 크기 때문이다.

특히 자체적인 내부 모의 해킹 진행 결과를 기반으로 취약점을 계속 보완하고 있으며 이는 악의적인 목적으로 침입시 DB에 대한 접근을 힘들게 하기 위함이며 회사의 정보자산을 보호하기 위해서는 DB보안과 암호화 구축이 필요하다는 판단에서 DB 보안을 적용하게 됐다.

DB보안 솔루션 도입·구축 전에 가장 먼저 고려했던 부분은?

우선 서버에 미치는 부하정도와 암호화했을 때의 DB 사이징의 용량 등의 여러 가지 요인들을 검토했으며 가격과 기타 유지 보수와 같은 비용 문제에 대해서도 가장 적극적인 업체를 마지막까지 자세히 검토한 후에 결정했다. 특히 가장 중점을 둔 사항으로는 업무에 지장을 주지 않으면서 매끄러운 구축이 이루어지도록 하는 것과 타 DB관련 제품들과의 운용 연계성 보장을 꼼꼼히 살폈다.

DB보안 솔루션 구축시 가장 어려웠던 점은?

사내에서 암호화 자체가 처음 시도되는 것이었던 만큼 많은 문제가 있었지만 이 중에서도 커스터마이징이 많아 이를 조율하는데 많은 어려움이 있었다. 기 구축사례를 중심으로 BMT를 실시했고 이를 통해 사내 환경에 적합하게 커스터마이징이 이루어졌다. 특히 대용랑의 데이터를 색인 검색을 하는 경우가 많은데 이에 대해 솔루션 엔진을 수정해가며 그에 대한 요구사항을 충족하기 위해 많은 노력을 했다.

DB보안 솔루션 구축 후의 운영 효과는?

개발파트에서 암호화를 풀고 다시 암호화를 해야 하는 불편함이 있지만 접근 제어에 큰 변동이 없이 대응 업무 프로세스가 정립됐다는 점은 큰 효과라 할 수 있다. 현재 타사의 좋은 제품도 많겠지만, 이글로벌시스템측의 유지보수에 대한 적극적인 응대와 고객사의 요구에 많은 고민과 노력을 했다는 점에서 높은 신뢰감을 갖고 있다.

특히 이글로벌시스템의 DB보안 솔루션의 가장 큰 특징은 암호화된 인덱스를 통한 색인검색 지원과 무중단 구축기능을 들 수 있다. 이 외에도 최근 버전에서는 암복호 부하를 DB서버와 Application서버에 분산 시킬 수 있으며 안정화 기간동안 문제 발생시 즉시 원복할 수 있도록 하는 Dual-Mode 등도 특징적인 기능이다. 이러한 기능들은 담당자들이 유연한 운영계획 수립을 가능하게 한다.

향후 보안강화를 위한 다른 계획은?

전반적인 경기 침체로 전체 예산이 많이 줄었지만 보안 예산은 줄지 않았다. 향후 미흡한 접근제어 시스템을 더 강화해 원천적으로 비인가자의 접근을 제어하고 로그관리를 통해 강화해 나갈 예정이다. 그리고 운영자 등의 내부정보 유출방지를 위해 외부로 나가고 들어오는 파일과 이메일 모니터링 등을 하고 있지만, DRM 정보유출 방지를 위한 시스템 구축과 정책마련 등을 지속적으로 보완해 나갈 것이다.

최근 발생한 개인정보유출 사건과 관련, 변화된 사내 정책이나 시스템은?

지난해 발생한 크고 작은 정보유출 사건과 관련해서 그룹사 내부적으로도 큰 보안이슈가 되고 있다. 관계사 모니터링 캠페인과 취약점 보안 패치, 관리·감독을 강화하고 있다. 또한 보안에 대한 적극적인 투자도 이루어 지고 있다. 

올해 최대 보안 이슈를 꼽는다면?

우선 사내의 가장 중요한 보안 이슈는 보안 구성원들의 보안인식제고이다. 그리고 시스템적으로 자체 진단해서 취약점을 보완해 나가야 한다.

이를 통해 외부의 보안 감사에서도 좋은 평가를 받을 수 있도록 하는 것이 올해 최대 보안 이슈이자 목표이다. 또한 DDoS와 스패메일에 대한 이중화 시스템의 미흡한 부분을 보강할 것이며 DRM부분도 추가적으로 구축해 전반적인 사내 보안 시스템을 강화할 예정이다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제102호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>