보안 컨설팅과 관제 서비스로 취약점 수시 점검·미비점 보완

지난 2000년 인터넷 포털 기업인 다음커뮤니케이션의 종합 온라인 쇼핑몰로 태어난 디앤샵은 현재 800만명의 회원을 가지고 있는 국내 선두 기업이다. 그동안 많은 발전과 성장을 거치면서 디앤샵은 지난 2007년에는 GS홈쇼핑에 인수 합병되었다. 한편 합병전까지 보안 업무는 모기업이었던 다음커뮤니케이션즈와 함께 수행해왔지만 다음과 분리되면서 보안 업무도 조직구성과 정책마련, 시스템 구축 등, 하나 하나 새로 구축해나가고 있다. 이에 이 기업에서 보안 업무를 담당하고 있는 김도형 디앤샵 기술본부 정보기획팀 과장을 만나 디앤샵의 빈틈없는 개인정보보호 정책에 대해 들었다.

현재 사내의 최대 보안 이슈는 무엇인가?

현재 사내 최대 보안 이슈는 다른 곳도 마찬가지겠지만 개인정보보호와 DDoS 공격에 대응 방안이다. 현재 디앤샵은 GS홈쇼핑에 인수·합병되면서 보안팀이 새롭게 구성되었으며 보안 정책이나 시스템도 하나씩 하나씩 단계를 거쳐 마련하고 있다.

보안팀의 규모와 주요 업무는 무엇인가?

현재 정보기획팀 내에 보안담당자 1명과 보안 전문업체 파견 전문인력 1명이 함께 보안업무를 이끌어 가고 있다. 주요 업무로는 사내 정보보호 정책 수립과 적용, 보안시스템 구축, 보안시스템 운영 및 관리, 보안사고 대응, 취약점 점검 및 대응, 보안위협 예방활동 등을 수행하고 있다. 보안 전문업체의 파견 전문 인력은 보안관제업무 이외에 디앤샵의 기술적인 보안업무 부문을 서포트하고 있다.

최근 온라인 기업과 금융기관 등의 보안 사고와 관련, 고객 개인정보보호 강화를 위해 변화된 부분과 이를 위한 노력은?

고객의 개인정보보호를 위한 TFT가 구성이 되어 개인정보보호를 위한 협의를 지속적으로 하고 대응을 하고 있다. 다시 말하면 현재 디앤샵의 회원으로 가입된 고객의 개인정보는 약 800만명 정도이며 이를 안전하게 보호하기 위해 내부적으로 개인정보관련 팀으로 구성된 개인정보보호TFT를 운영하고 있다.

별도로 구성된 이 개인정보보호TFT에서는 사내의 개인정보보호 현황을 파악하고 취약점 분석 등을 통해 문제점이 발견되면 즉시 개선하며 개인정보보호를 위한 프로세스 수립과 적절한 보안 시스템 구축 등의 활동을 지속적으로 하고 있다. 특히 개인정보보호를 위해 별도로 마련한 개인정보보호 프로세스에 따라 개인정보의 수집, 저장, 이용, 제공, 폐기에 이르는 개인정보 라이프사이클의 모든 것은 지난해 보안 컨설팅을 통해 체계를 마련해 이에 따른 절차와 프로세스에 따라 처리된다.

최근 해킹이나 DDoS 공격 등의 보안 위협이 크게 증가하고 있는데 이의 대책은?

최근 정보보호 분야의 핫 이슈인 웹 해킹이나 DDoS 공격 대응을 위해 디앤샵은 외부 전문업체에 의뢰해 보안관제센터를 운영하고 있으며 24시간 365일 실시간 모니터링을 통해 보안 위협에 대응하고 있다.

또한 분기별로 시스템 취약점 점검과 모의해킹을 통해 취약점을 파악하고 이를 보완하는 작업을 지속적으로 진행하면서 갈수록 다양한 방법으로 증가하는 해킹 등의 보안위협에 대비하고 있다.

안티DDoS, DB보안, DB 암호화, 내부정보유출 등에 대한 시스템은 구축되어 있는가?

우선 최근 이슈가 되고 있는 DDoS 대응은 보안관제를 통한 대응프로세스를 수립하여 적용하고 있으며 수시로 모의훈련을 통해 DDoS 공격에 대비하고 있다. 아울러 안티 DDoS 솔루션은 현재 도입을 진행 중에 있으며 올 하반기에 구축을 위한 BMT를 실시할 예정이다. 그리고 개인정보보호에 있어 중요한 보안 솔루션인 DB보안은 현재 접근제어 및 로깅 체계가 구축되어 있고 이를 보완하기 위한 DB보안 솔루션은 올 하반기에 도입할 예정이다. 또 정보유출에 대해서는 모든 직원이 고객의 개인정보를 가장 중요하게 생각하고 있으며 개인고객정보를 이용하기 위해서는 내부 결재 프로세스에 따라 부서장 및 개인정보보호책임자 승인을 얻어야하며 개인정보보호담당자의 감독 하에 개인정보는 암호화해 전달받고 이용이 완료되면 즉시 폐기하도록 되어있다.

보안을 강화하고자 할때 어려운 부분 또는 문제가 되는 것은?

‘서비스가 먼저냐? 보안이 먼저냐?’이다. 국내 기업의 대부분은 이 둘을 놓고 우선 순위를 정할 때 서비스를 우선으로 프로세스가 진행되길 바란다. 따라서 보안이 우선이 아니라 모든 프로세스 안에 보안이 자연스럽게 스며들도록 해야 하는 것이 가장 어렵다. 하지만 막상 보안시스템을 구축하는 업체의 엔지니어들은 이러한 기업의 서비스 우선이라는 요구에 대해 난색을 표하기도 한다. 이렇듯 기업의 원활한 서비스에 보안이 자연스럽게 녹아들게 하는 것이 앞으로 각 기업의 보안 담당자들이 풀어야 할 숙제다. 또한 국가 정책적으로 정확한 체계가 잡히지 않는 것도 어려운 문제다. 예를 들면 우리나라 정통망법이 시행착오를 거치면서 자주 변동되고 있다. 법적으로 정보보호를 의무화 하는 것도 좋지만 현황을 확실히 파악하고 실현이 가능한 한도에서 망법이 반영 되었으면 하는 바람이다.

향후 보안이 강화해야 될 부분은 무엇이며 보안에 대한 개인적인 생각은?

올해 최대 보안 이슈는 앞서 말한 바와 같이 DDoS 공격과 개인정보보호이다. 따라서 향후에도 지속적으로 개인정보보호 강화와 DDoS 공격에 대한 보안 그리고 임직원들의 정보보호의식제고를 위한 교육 등을 지속적으로 확대·진행해 나갈 것이다. 즉 보안과 정보보호는 남이 하는 대로 따라하는 것이 아니라, 그 회사의 사업 목적에 맞추어 고객서비스 지향적으로 투자해야 한다고 생각한다. 특히 우리와 같은 온라인쇼핑몰은 고객이 안심하고 쇼핑할 수 있는 환경을 만드는 게 정보보호의 목표이기 때문에 그 비즈니스의 목표에 따라 정보보호의 목표도 따라가야 된다고 본다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>