• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 말인가요? 내 인생의 도전 과제죠 2010.03.18

이형우 CJ인터넷 개발운영실 이사

‘넷마블 서비스 인프라 운영’을 대상으로 정보보호관리체계(ISMS: Information Security Management System) 인증을 획득한 CJ인터넷 이형우 개발운영실 이사는 “이번 정보보호관리체계인증 취득은 넷마블이 정보보안을 체계적이고 효과적으로 진행하고 있음을 의미하는 것”이라고 강조했다.


ISMS 인증을 획득한 소감은?

보안구축을 위한 초석을 다졌다는 느낌, 고도화된 보안을 하기 위한 한걸음을 내디뎠다고 생각한다. 사내에서도 보안에 대한 공감대가 형성됐고 기술적으로도 많은 노하우가 축적되는 계기가 됐다. 물론 개인적으로 상당히 기쁘다.

 

인증을 받기 위해 어떤 노력들이 필요했나?

준비하는 데만 대략 7개월의 시간이 걸린 것 같다. ISMS에서 요구(Requirement) 하는 사항과 법규사항(Compliance), 그리고 회사의 업 특성에 따른 보안 리스크(Risk) 해소에 중점을 뒀고 이를 관련부서 및 임직원들과 재편성하고 보완하는 작업 등에 특히 많은 신경을 썼다.

 

CJ 인터넷의 보안관리 조직 체계는 어떻게 이뤄져 있으며 주요 업무는 무엇인가?

임원으로 구성된 정보보호위원회가 상위기관으로 있으며 그 아래 정보보호조직이 있다. 정보보호책임자 이외에 보안팀 총 6명으로 구성돼 있다. 회사의 정책, 지침을 세우고 관리하는 관리적 보안, 사내 및 넷마블 서비스를 관리하는 기술적 보안 그리고 출입통제 등의 물리적 보안 등 회사내의 보안 전 분야를 관여한다. 또한 보안시스템 구축 및 운영, 전사 보안 교육 등 보안과 관련한 다양한 일들을 망라한다.

 

국내 대표적인 온라인 게임 기업으로서 차별화된 보안 시스템이 있다면?

ESM(Enterprise Security Management)에 정보보호 조직에서 가지고 있는 지식(Knowledgebase)을 결합한 시스템이 있다. 보안이벤트 관리누수방지 및 오탐률 최소화, 즉각적이고 효과적인 방어 및 원인분석, 사후개선을 위한 목적으로 구축됐다. 이 시스템은 시간이 가고 지식이 쌓일수록 효과가 크게 증대될 것이라고 생각한다.

 

최근 기업의 핵심 기술 정보나 고객정보가 해킹이나 유출의 대상이 되고 있는데 어떻게 대처하고 있는가?

앞서 말했듯이 고객정보보호는 당사의 핵심관리사항으로 이에 따라 많은 노력과 고민을 하고 있다. 기본적으로는 법적 요구사항을 준수하고 내부적으로는 개인정보 관리 프로세스를 구축해 개인정보 흐름을 철저하게 관리하고 있다.

 

현재 사내 최대 보안 이슈는 무엇인가?

서비스에서는 DDoS공격에 대한 방어와 고객정보 보호다. 또한 무선기기(스마트폰 등)의 위협이 있는데 이는 정보유출, 공격 등의 도구와 경로로 사용될 가능성이 높은 만큼 보안 관리에 더욱 신경을 쓰고 있다.

 

향후 보안이 강화돼야 할 부분은 무엇이며 보안에 대한 개인적인 생각은?

소스코드 레벨의 보안성 검토 부분에 대해 더욱 더 신경을 쓸 것이다. 처음부터 제대로 만들어진 제품이라면 취약성은 매우 줄어들게 되고 관리해야 할 일도 매우 줄어든다. 이것이 투자대비 효과측면에서 유리하지만 인식하고 실행하기는 쉽지는 않은 부분이다.

보안에 대한 개인적인 생각은 리스크 분석이 가장 중요하다고 생각한다. 어떤 정보를 보호해야 할지, 어떤 공격으로부터 보호해야 할지, 정보유출 시 영향 등을 분석하고 정책을 일관성 있게 유지하면서 프로세스를 표준화 하는 것이 가장 중요하다.

 

보안 강화를 위한 향후 CJ인터넷의 계획은?

H/W 적인 네트워크 보안강화는 물론 S/W 적인 보안에 역량을 집중할 예정이다. 웹과 게임 애플리케이션 소스코드에 대한 보안을 더욱 강화하고 또 하나는 현재도 진행중인 보안솔루션을 하나로 묶는 통합보안관리시스템 구축을 완료하는 것이 중요한 계획이다.

 

보안과 인연을 맺게 된 계기는?

처음에 서버 & 네트워크 관리자로 직장생활을 시작했다. 그때만 하더라도 보안에 대한 의식이 거의 관리적 보안 수준이었다. 그 후 인터넷이 발전하면서 정보보호의 중요성이 인식되던 2000년도 인터넷 기업으로 이직하면서 보안업무를 시작했다. 보안산업의 미래 비전이 긍정적이라고 바라봤으며 보안은 애플리케이션 등이 결합된 기술이었기에 도전하고 싶어 인연을 맺게 됐다. 지금 생각하면 탁월한 선택이 아니었나 생각한다.

 

보안 업무를 하면서 애로사항은 없는지, 가장 보람을 느낄 때는 언제인가?

방어하는 입장에서 본다면 불가항력적인 부분이 많다는 것, 최선을 다했음에도 불구하고 취약성은 발생하기 마련이고 이를 제거하기 위해 능동적으로 동향을 파악하고 준비하고 대처하기에는 너무 많은 인력과 비용투자가 필요하다는 것이 제일 큰 애로사항이다.

이는 나뿐만 아니라 보안을 담당하는 이들이라면 누구나 느끼고 있는 부분이 아닐까 싶다. 같은 맥락에서 늘 새로운 시도와 빠른 변화가 일어나는 IT 산업에서 보안이라는 업무는 대부분이 늘 뒤에서 따라가야 하는 구조라 가끔은 무력감이 들기도 한다. 그러나 벽돌 하나로 시작해 차곡차곡 탄탄히 쌓아 올려 어느덧 여러 위협에 든든한 바람막이와 버팀목이 되고 있음을 볼 때 가슴 깊은 곳까지 뿌듯한 보람을 느낀다.

<글 : 호애진 기자(is@boannews.com)>


[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>