DB보안은 개인정보취급 기업에 반드시 필요한 솔루션

국내 이동통신기업 중 선두기업인 SK텔레콤은 국내 최대 기업인만큼 안전하게 보호해야 할 고객 개인정보의 규모도 크다. 그렇지만 아직까지 개인정보유출과 관련된 사건은 한 번도 없었다. 그만큼 정보보호에도 많은 노력을 하고 있다. 이 기업은 직원들에 대한 보안 마인드 제고를 바탕으로 개인정보를 보호할 수 있는 솔루션 도입과 개선, 그리고 개인정보 취급에 대한 감사 역할 등을 꾸준히 병행하여 운영하고 있다. SK텔레콤의 개인정보관리 파트에서 근무하고 있는 김성훈 IT보안팀 매니저에게 SK텔레콤의 차별화된 개인정보보호 노하우를 들어봤다.

보안전략 수립, 보안 기술, 내부정보보안 및 개인정보보안과 이를 전체적으로 통제하고 전략을 수립하는 CSO Staff 조직으로 구성되어 있는 SK텔레콤의 보안팀은 총괄부서 및 관련 부서만 해도 수백개가 넘는다.

최근 이 기업의 최대 보안 이슈는 정통망법 개정에 따른 내용과 이에 대응하는 것이 가장 큰 보안 이슈다. 이 기업 IT보안팀의 김성훈 매니저는 “이 중에서도 가장 중요한 것은 고객으로부터 받아 관리중인 개인정보에 대한 암호화·위변조 방지 등이 가장 큰 보안 이슈다”고 말했다. 또한 그는 이러한 고객 개인정보 보안을 위한 노하우로 “첫째 직원들에 대한 보안 마인드 제고가 가장 우선이라고 생각하고 둘째 개인정보를 보호할 수 있는 솔루션 도입과 지속적인 개선, 그리고 셋째로는 개인정보 취급에 대한 감사 역할을 들 수 있다”며 “이 세 가지를 하나도 빠짐없이 꾸준히 병행하여 운영하는 것이 SK텔레콤만의 철저한 개인정보보호를 위한 노하우라고 말할 수 있다”고 강조했다.

이와 같은 노력으로 SK텔레콤은 개인정보보호에 있어서 타사보다 앞서간다는 소리를 듣는다. 특히 타 기업에 비해 한 발 앞서 개인정보보호를 위한 준비에 들어갔다. 김 매니저는 “개인정보와 관련된 사회적인 이슈가 불거지기 전인 2003년에 이미 개인정보와 관련한 사고를 예측해 이미 준비를 진행했고 2004년부터 이와 관련된 솔루션 구축 및 전담인력을 배치했다”며 “지금까지 DB보안 솔루션, 개인정보영향평가시스템, 고객정보 전송시스템 등 다양한 솔루션을 국내 최초로 구축·운영하고 있고 이를 통한 각종 노하우를 습득하여 개인정보보호에 만전을 기하고 있다”고 설명했다.

개인정보 유출방지 위해 DB보안

앞으로 개정되는 정보통신망법의 개인정보보호 규정에 대해서 김 매니저는 “기반통신사업자인 만큼 많은 직·간접적인 영향을 받은 것은 사실이다”며 “따라서 법률에서 언급된 내용은 기업에서 지켜야할 최소한의 준수사항인만큼 최우선적으로 준수하도록 노력해야 할 것이며 그러한 꾸준한 노력을 통해 개인정보보호는 역시 SK텔레콤이다는 말을 고객으로부터 들을 수 있도록 할 것”이라고 말했다.

또한 그는 이 같은 법적 규제에 대한 준비에 대해서는 구체적인 것은 밝힐 수 없다면서도 “개인정보의 암호화와 위변조 방지 등에 대한 인프라를 준비하고 있으며 기존의 다양한 솔루션들을 개선중”이라고 말했다.

SK텔레콤은 개인정보 유출에 있어 기업내부에서 가장 취약한 부분은 개인정보를 핸들링하는 직원들의 우발적, 고의적 개인정보 유출이 가장 취약하다고 보고 이에 대한 보안 강화 방법으로 관리적인 부분과 기술적인 부분을 병행하여 고객정보 유출을 방지하고 있다. 특히 관리적인 부분에서는 지속적인 교육, 각종 대장관리, 보안서약서 징구 등을 통해 마인드 제고를 위해 노력하고 있으며 기술적인 부분은 개인정보 취급자를 별도로 격리된 공간에서 근무하도록 물리적 보안을 강화하고 데이터베이스 접근 기록 관리, 개인정보 외부 전송 관리 등을 통해 개인정보의 유출을 방지하고 있다. 이에 앞서 언급했듯이 지난 2004년부터 개인정보의 유출을 방지하기 위해 DB보안 솔루션을 도입·구축하게 된 것.

이와 관련해 김 매니저는 “앞서 언급한 바와 같이 개인정보를 핸들링 하는 직원들의 우발적, 고의적인 개인정보 유출이 가장 크며 막기도 힘들다”며 “이를 통한 개인정보 유출방지를 위해 지난 2004년에 DB보안 솔루션을 도입·구축하게 되었으며 실제 많은 효과를 거두고 있다”고 밝혔다.

아울러 지난해에는 각 고객센터나 대리점 등 전국 3,000여개의 영업망 PC안에 대량으로 방치되어 있는 고객정보를 검색 및 보안하는 개인정보보호 솔루션인 프라이버시아이(Privacy-i)를 추가 도입하고 고객의 개인정보보호가 우발적으로든 고의적으로든 유출되지 않도록 보안을 강화했다.

“특히 이 솔루션은 주민번호, 전화번호, 카드번호 등 고객정보를 패턴 검색하여 암호화하거나 특정 폴더로 이동하거나 삭제하여 보호해주는 기능을 제공하기 때문에 보다 철저한 고객정보보호를 위해 도입되어 사용하고 있다”고 김 매니저는 덧붙였다.

고객 정보보호는 고객과의 약속

이와 같이 각 기업에서 고객 정보보호를 위한 DB보안 솔루션의 필요성과 중요성을 강조하는 김 매니저는 “개인정보를 보유한 기업에서는 반드시 DB보안은 필요한 부분이라고 생각한다”며 “법률 준수를 해야 함은 대한민국에서의 기업활동을 위해 당연한 것이고 이와 더불어 고객 개인의 정보를 활용함에 있어 보호해야 함은 고객과의 약속이기 때문에 더욱 중요하다며 만약 이러한 부분이 지켜지지 않으면 고객은 기업을 외면하게 될 것”이라고 말했다.

특히 이를 위해 SK텔레콤은 앞서 언급한 소만사의 DB보안 솔루션 DB-i를 도입해 운영하고 있다. 이에 대해 그는 “DB보안 솔루션은 어떠한 벤더든지 비슷한 특징과 기능을 보유하고 있다. 그러나 소만사의 솔루션은 능동적인 기술력을 기반으로 일찍 시장에 나왔으며 고객사에서 요구하는 기술을 적재적소에 구현해줄 수 있는 기술적인 능력과 적극적인 고객 대응의 자세가 강점”이라고 말했다.

그는 또 소만사의 DB-i는 오라클을 비롯, DB2·사이베이스·인포믹스·MS SQL·테라데이터·알티베이스·MY SQL 등 국내 최대 8종류의 시스템에 적용되는 솔루션으로 이메일·메신저·웹 하드를 통한 DB내 정보의 사외 유출 경로 추적 기능이 특징이라고 설명했다. 그리고 DB접근권한이 있는 쿼리 툴 이용자들의 권한 오용까지 차단하기 위해 주민번호 및 계좌번호 등 개인식별번호에 마스킹 처리를 하는 고객정보보호 쿼리 툴과 쿼리마스크를 보유하고 있으며 미러링, 인라인+미러링, 프록시+미러링의 하이브리드방식 맞춤보안 시스템과 ID인증기반의 접근통제 기능 및 사전위험탐지 기능 등을 특징적인 기능으로 꼽았다.

DB보안 기초로 다양한 분석 기법 활용

SK텔레콤은 DB보안 솔루션 구축시 여러 가지 난관에 부딪혔지만 직접 개발을 통한 커스터마이징으로 자사에 최적화된 솔루션을 구축했다.

이에 대해 김 매니저는 “지난 2004년 DB보안 최초 도입시부터 지속적으로 구축에 따른 개발이 이루어지고 있다”며 “특히 처음 DB보안 도입시 어려움을 겪었던 부분은 모든 트래픽 구간을 모니터링 할 수 없다는 점을 들었다. 이는 주요 부분만을 모니터링하다 보니 일부 트래픽 구간은 모니터링에서 빠질 수 있는 부분도 커버할 수 있도록 했다”고 밝혔다.

이렇게 소만사와 함께 구축한 DB보안 솔루션에서 생성되는 로그를 기초로 김 매니저는 다양한 분석 기법을 활용하여 제3의 취약점을 찾아내고 이를 보완해나가고 있다. 이러한 분석기법은 SK텔레콤만의 노하우라고 할 수 있다.  그는 또 DB보안 솔루션의 정량적인 운영효과는 산출하기는 매우 힘들다. 하지만 이러한 DB보안 시스템을 구축한 이후 SK텔레콤과 관련된 개인정보 유출 사건은 없었다는 것은 매우 고무적인 일이라고 강조했다.

아울러 김 매니저는 “DB보안은 기술적인 부분이며 누구나 인정하듯 기술적인 보안은 한계가 분명히 있다. 그러나 그렇다고 해서 기술적인 한계를 당연한 것으로 받아들여서는 안될 것”이라고 말했다. 즉 벤더에서는 최초 공급된 솔루션의 일반적인 기능만을 고객사에 제공하고 관리할 것이 아니라 지속적으로 다양한 효과적인 기능을 개발하여 고객사에 제공하고 고객사는 적극적으로 검토하여 시장이 활성화될 수 있도록 리딩하는 선순환적인 체계가 마련되어야 한다는 것이다.

현재 SK텔레콤에서는 개인에 대한 교육은 물론 우후죽순처럼 생겨나는 각종 서비스에 대해 기획단계부터 파기 단계까지 전방위적인 대응을 하고 있다. 지금도 잘 진행하고 있지만 고객정보 보안에 대한 변화관리와 서비스에 대한 지속적인 보안 서비스를 사내에 제공함으로써 구성원 및 이해관계자들로 하여금 걱정 없이 안전하게 고객정보를 이용할 수 있도록 앞으로도 꾸준히 대응해 나갈 계획이다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>