• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

효율적인 보안관리 위한‘통합보안관제’ 필요하다 2009.06.14

최 영 근  흥국생명보험 IT기획팀 차장

개인정보보호위해 DB보안, Anti DDoS 솔루션 구축

 

지난해 창립 50주년을 맞은 흥국생명보험은 지난 반세기 동안 지속적인 성장과 발전을 거듭한 결과 다수의 국내 생명보험사 중에서 선두를 유지하고 있는 우량 기업이다. 이 기업은 현재 약 200만 건의 계약정보와 고객정보 등, 대규모의 정보자산을 관리하고 있다. 이러한 사내 정보자산의 보호와 이에 필요한 보안정책과 보안시스템 운영 등을 총괄하고 있는 최영근 IT 기획팀 차장은 “최근 보안위협이 다양화·지능화됨에 따라 흥국생명은 외부의 DDoS 공격과 내부적인 정보유출 방지를 위한 보안 시스템을 구축하고 있다”고 밝혔다.


현재 사내의 최대 보안 이슈는 무엇인가?

사내 DB와 보안 시스템 등에 상시 접근이 가능한 개발자 및 운용자, DB관리자들에 대한 통제를 강화하는 것이 최우선 과제다. 이에 따라 현재 올해 DB에 대한 보안통제를 강화할 목적으로 BMT를 거쳐 접근제어와 감사기능이 강력한 DB보안 솔루션을 현재 도입 추진 중이다. 이는 5월 중에 구축이 완료될 예정이며 시험 운영 등을 거쳐 7월부터는 본격적으로 가동될 전망이다.

 

보안팀 규모와 주요 업무는 무엇인가?

현재 사내 별도의 보안팀은 구성이 되어 있지 않지만 IT 기획에 1명이 보안정책 수립과 관리, IT 보안대책 방향 마련, 보안통제 등의 업무를 맡고 있으며 전산센터 운영부분에서 1명이 보안시스템의 정책 적용관리, 로그분석 보고 업무를 맡고 있다. 그리고 PMO 1명이 보안지침 이행관리, IT 개발자에 대한 보안통제 업무를 수행하고 있다. 향후 보안 전담부서를 구성해 조직적으로 보안업무를 담당할 계획이다.

 

최근 기업과 금융기관의 보안 사고와 관련해서 변화된 부분이 있다면?

우선 경영진들의 보안에 대한 인식변화가 크다. 이전과 달리 적극적으로 개인 정보보호와 보안의 중요성을 강조하고 있으며 이에 필요한 정책이나 시스템 마련을 요구하고 있다. 또한 보안관련 예산투자에 대한 승인이 용이해졌다. 아울러 직원 개개인들도 보안통제에 따른 불편성에 대해 이해를 하고 있으며 보안과 관련된 업무협조와 통제에 잘 따르고 있다.

 

보유하고 있는 대규모의 고객정보를 안전하게 보호하고 관리하기 위한 대책은?

현재 약 200 만 건의 계약정와 고객정보를 관리·운영중이며 이를 보호하기 위해 기본적인 사용자 접근·권한 통제를 비롯해 고객정보 접근에 대한 로깅, 각 네트워크단의 방화벽, IPS 등의 보안장비 설치 운영 등 시스템적 측면의 보안대책을 수립·운영하고 있다. 또 보안관련 규정 및 지침을 제정·운영중이며 내부유출방지 강화를 위해 IT 개발자의 보안통제를 강화할 목적으로 최근 DB보안 솔루션을 도입·구축하고 있다. 이 외에 차후 보안 강화를 위한 추진 사업으로 최근 빈번하게 발생하는 DDoS공격 방어를 위한 장비 도입을 위해 현재 여러 제품들을 테스트하며 검토하고 있다.

 

내부정보 유출방지를 위한 대책은?

현재 시스템 퍼포먼스 등의 문제로 내부정보 유출방지를 위한 암호화는 되어있지 않지만,  PC 등의 엔드포인트단의 통제를 통해 정보유출을 방지하기 위해 대비하고 있다. 아울러 올 상반기중에는 내부망과 외부망의 분리와 외부와의 통신수단인 메신저 등을 완전히 분리할 계획으로 이를 추진하고 있다.

 

올해 사내의 최대 보안 이슈와 이를 위한 대책은?

보안 담당자로써 가장 고민되는 것은 금융, 공공기관 등, 많은 기업들은 이미 대부분의 보안 장비를 운영·관리중이다. 하지만 매일 쏟아지는 로그와 산재해 있는 수 많은 보안장비의 관리와 운영에 많은 어려움을 느낀다.

이렇게 산재한 장비에 대한 통합관리, 로그의 선별관리 모니터링이 가능토록 하는 통합보안관제가 필요하다고 생각하며 흥국생명도 이에 대한 준비를 계획하고 있다. 그리고 올해에는 네트워크를 통한 비인가 PC의 접속시 통제·관리의 자동화가 필요하다고 판단, 이를 강화하기 위한 솔루션 도입도 고려할 계획이다.

 

보안 강화를 위한 향후 사업 계획은?

앞서 언급했지만 사내 정보자산의 내부유출 방지에 더욱 무게를 두고 정책, 시스템 운영 등에 관한 운영 계획과 관리체계의 정립이 필요하다고 판단해 이를 위한 정보보안 조직을 별도로 신설하여 전문화와 통제력을 강화할 계획이다. 즉 독립된 보안부서가 사내의 IT보안뿐 아니라, 물리적, 인적, 보안을 총괄할 수 있도록 조직의 구성을 강화해나갈 예정이다.

<글/사진 : 김태형 기자(is21@boannews.com)>


[월간 정보보호21c 통권 제105호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>