국내 주요 생명보험사 중 하나인 교보생명보험은 지난 50년간 종신, 연금, 교육, 건강/상해, 퇴직, 변액 등 생명보험 전 영역에 걸쳐 가치 있는 상품과 서비스를 개발·제공하고 있다. 2008년 현재 약 530만명의 고객을 비롯해 2만3천명의 재무설계사와 임직원들이 근무하고 있는 이 회사는 자산만 해도 46조원, 연매출 12조원, 보유계약 244조원 규모다. 이 기업에서 보안을 담당하고 있는 IT전략팀의 홍기석 과장은 “보안은 조직 내부의 커뮤니케이션이 가장 중요하다”며 “조직내 프로세스, 기준을 보안의 관점에서 점검하고 표준화해야 한다”고 말했다.    

현재 교보생명의 최대 보안 이슈는 무엇인가?

지난해 가장 화두가 됐던 내부 정보보호체계 강화가 가장 큰 현안이다. 교보생명은 그동안 정보보안관리체계(ISO27001) 인증을 통해 보안관련 기준과 프로세스를 정립하고 외부 발송 e-메일에 대한 통제, USB 등 휴대형 저장장치 통제, PC DRM(문서암호화) 구축 등, 정보보호 대책을 꾸준히 적용해 오고 있다.

또한 정보기술과 비즈니스의 변화에 발맞춰 정보보안 체계도 계속 진화·발전해야 하는데 지난해 하반기부터는 고객정보 보호에 초점을 맞추어서 여러 가지 대책을 계획·추진하고 있다.

DB보안 솔루션을 도입하게 된 계기는?

전자금융감독규정, 정보통신망법 등 IT보안관련 법규에 대응하고 사내 개별적으로 운영되는 DB서버에 대한 중앙집중적인 접근통제가 필요했다. 이러한 이유 때문에 지난 2007년 5월부터 피앤피시큐어의 DB세이퍼를 도입, 2007년 10월에 구축을 완료해 현재 운영하고 있다.

DB보안 솔루션 도입·구축 전에 가장 먼저 고려했던 부분은?

우선은 기능성이다. 접근권한의 중앙집중적 관리와 위반·접근내역 분석기능, 그리고 정책관리의 편리성을 가장 먼저 고려했다. 그 다음에 솔루션 적용에 따른 기존 시스템의 변경이 없어야 하며 PC에 설치된 각종 SW와 충돌이 없어야 하는 호환성을 꼼꼼히 살폈다. 또 한 가지는 DB보안 시스템에 장애가 발생해도 정상적인 DB접속이 이루어져야 하는 안정성이다. 여러 가지 솔루션을 가지고 기능이나 호환성, 그리고 안정성을 꼼꼼하게 따져본 결과 피앤피시큐어의 DB보안 솔루션이 이러한 부분에 대해서 모두 만족스러운 결과가 나왔다.

이번 DB보안 솔루션 구축시 가장 어려웠던 점은?

무엇보다 애플리케이션 개발부서의 협조와 이해를 구하는 데 가장 많은 어려움 있었다. 즉 DB보안 솔루션을 도입함에 따라 DB에 대한 접근통제가 강화되고 이에 따라 개발과 운영업무가 불편하게 됐다. 하지만 서로 충분한 커뮤니케이션을 통해 보완해 나갔다. 그리고 일부 PC에서 DB보안 솔루션과 충돌이 발생하는 PC용 소프트웨어와의 호환성이 문제였는데 이를 모두 해결하고 지금은 안정적으로 운영하고 있다.

DB세이퍼와 타사의 DB보안 솔루션의 차이점은?

우선 정책관리 방법이다. DB세이퍼의 정책관리방법은 우선순위 기반의 정책관리로 타 제품에 비해 우수하다. 또 사용자가 DB 서버에 접속할 때 접속 권한이 있는지 검사하는 접속 제어 정책과 사용자가 쿼리를 실행했을 때 실행 권한이 있는지를 검사하는 권한제어 정책을 적용한다. 그리고 클라이언트 IP, 응용프로그램, 접속시간, ORACLE ID, DML 등의 조건으로 클라이언트의 작업을 제어할 수 있다.

그리고 타 제품은 수작업을 통해 백업과 복원이 이루어지는데 DB세이퍼는 로그 관리 기능이 우수하다. 또 DB로 접근하는 모든 명령에 대한 모니터링 기능으로 Gateway형태로 처리되므로 어떠한 환경에서도 100% 로깅된다. 아울러 대형 금융사에서도 안정성이 검증된 솔루션이라는 점에서 신뢰성을 갖는다.

DB보안 솔루션 구축 후의 DB운영이나 보안측면에서 나타난 효과는?

가장 큰 효과는 신청, 승인, 부여 등의 DB 접근권한관리 프로세스가 중앙집중적으로 정형화 됐다는 것이다. 그리고 DB 사용내역에 대한 상시 점검이 가능해졌다. 또 한 가지는 로그 분석을 통해 보안감사 툴로서 활용이 가능하다.

즉, 중앙집중적인 접근권한관리로 내부 사용자로 인해 발생할 수 있는 주요 데이터를 보호하는 장치를 마련하고 전사적인 DB보안의 표준 지침을 수립하게 됐다는 것이다.

또한 데이터베이스는 실시간으로 적용된 접근권한제어 정책에 따라 데이터를 보호하고 모든 내역을 로그로 남겨 감사와 사후 추적에 사용할 수 있게 되어 각종 보안지침과 보안 규정에 따라 데이터를 보호할 수 있게 됐다. 이는 전사적으로 데이터 보호 수준을 한 단계 향상시키는 계기가 됐다는 점에서 효과적이라고 말 할 수 있다.

향후 고객정보나 사내 보안강화를 위한 다른 계획은?

교보생명은 최근 발생한 개인정보유출 사건과 관련, 개인정보보호를 강화했다. 이에 업무용 노트북은 사외 반출을 금지하고 모든 문서를 암호화하여 사외에서는 열람이나 편집, 인쇄를 금지했다. 그리고 DM발송 등 외부 협력업체에 정보제공시 보안대책으로 고객정보 안전전송시스템을 현재 구축하고 있다. 또한 최근 다양한 형태로 증가하고 있는 DDoS 공격과 잠재적인 위협에 대비해서 DDoS 방어 시스템을 구축중이다.

향후에는 PC 내 저장된 고객정보를 상시 모니터링할 수 있는 체계를 구축하고 애플리케이션 보안로그 백업·분석시스템을 구축할 예정이다.

보안 담당자로써 올해 최대 보안 이슈를 꼽는다면?

개인정보보호법 제정에 따른 변화관리가 가장 큰 이슈가 될 것으로 전망된다. 즉 개인정보보호 관련 기준이나 절차, 정비, 암호화 등과 정보보호 시스템 확충, 고객정보를 활용한 텔레마케팅 제한 등에 많은 관심이 쏠릴 것으로 보인다. 또한 계속 증가하고 있는 해킹에 의한 전자금융거래의 안전성과 모바일 금융거래, IP-TV 등 첨단 정보기술에 대한 보안대책이 가장 큰 보안 이슈가 될 것이라고 생각한다.

정보보안과 관련해서 하고 싶은 말이 있다면?

보안은 조직 내부의 커뮤니케이션이 가장 중요하다. 다시 말해서 보안 수준을 높이면 반대 급부로서 비즈니스나 사용자 측면에서 제약사항이 발생한다. 따라서 정책관리가 매우 중요하며 정책의 적용에 따른 커뮤니케이션과 적절한 변화관리가 요구된다.

또 조직내 프로세스와 기준을 보안의 관점에서 점검하고 표준화해야 한다. 표준화하지 않고 그때 상황에 따라 일관적이지 않은 보안을 적용하면 보안정책의 균형 유지가 어렵고 보안의 홀이 생기기 마련이다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제103호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>