• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

고객정보 유출 방지...우선적으로 필요한 조치는? 2010.05.13

고객정보 유출사건이 발생할 경우 기업은 손해배상 등의 금전적 손실뿐만이 아니라 기업 이미지 훼손을 통해 고객신뢰를 잃게 되며 이는 궁극적으로 사업의 존속에까지 영향을 미칠 수 있다. 고객정보 유출 방지를 위해 기업은 우선적으로 어떠한 조치를 취해야 할까? 보안 전문가들의 의견을 들어보자.


김광진 엔씨소프트 정보보안실 위험관리팀 팀장

경영진의 의지는 기본으로 뒷받침되고 있다는 가정하에 고객정보 유출 방지를 위해 기업보안에서 필요한 조치로 가장 중요한 것은 직원들의 보안인식 교육일 것이다. 정보소유자가 소유한 정보의 중요성과 보호해야 할 가치 그리고 그에 대한 책임을 인식하지 못한다면 어떠한 보안조치도 쉽게 무력화될 수 있기 때문이다. 따라서 고객정보 유출을 방지하기 위해서는 지속적인 보안인식 강화가 필수 요소다.


김준학 현대하이카다이렉트 IT팀 보안담당

개인정보보호를 위해 기업이 가장 먼저 시작해야 하는 업무는 개인정보 보관 실태 조사 및 DATA(개인정보) Flow에  대한  조사라고 할 수 있다. 기업이 보관하고 있는 개인정보의 종류와 보관되는 방법과 매체 그리고 개인정보의 사내 및 사외 이동 경로를 파악하는 것은 향후 개인정보를 보호할 수 있는 로드맵을 완성하는 데에 있어 가장 중요한 작업이다. 개인정보를 보호해야 하는 보안 관리자 또는 개인정보 취급자들이 위와 같은 환경과 Flow에 대한 높은 이해도를 갖고 있지 못한다면 개인정보보호에 대한 구체적인 방안을 제시하기 어려우며 만약에 발생하게 될지도 모를 유출사고에 대한 추적과 감사가 불가능해질 것이기 때문이다.


노중구 한국CISSP협회 기획총무이사

고객정보 유출관련 소송, [개인정보의 기술적겙桓??보호조치기준] 개정 등의 영향으로 기업들은 체계적인 고객정보 관리체계를 수립해 시행하고 있고 아이핀, 암호화 등 기술적인 조치로 개인정보 유출사고를 예방하려고 노력하고 있으나 이는 사고가 발생한 경우에 면책용으로 사용하려는 경향이 높다고 판단된다. 정보통신망법을 비롯한 개인정보관련 법령들에서는 개인정보수집을 최소화 하도록 하고 있는데 이를 지키려는 노력을 하고 있는지? 반드시 필요하지 않은 개인정보를 수집하고 있지는 않은지? 지금 바로 점검해봐야 할 것이다.


박종섭 보안 전문가

개인정보를 효과적으로 보호하기 위해서 필요한 사항들은 관리적인 측면에서는 기업이 보유하고 있는 개인정보가 수집, 사용, 저장 그리고 폐기되는 제반 과정에 대한 파악과 이 과정을 전사적으로 통제 및 감독해 나가는 활동이다. 기술적인 측면에서는 보유하고 있는 개인정보를 사내 보안정책상의 취급기준에 따라 분류해 명시함으로써 적절한 보안 통제에 의해 보호받을 수 있도록 해야 하며 인적인 측면에서는 개인정보취급자 및 전 임직원을 대상으로 하는 지속적인 인식제고의 노력이다.


서홍원 네오위즈 게임즈 보안팀 팀장

고객정보 유출 방지를 위해 기업 보안에서 필요한 조치로는 우선 DB를 암호화해야 한다. 이는 내부자에 의한 유출, DB관리자 권한으로 데이터를 Export해 유출하는 경우와 Root 권한으로 File System을 통째로 백업해 유출하는 경우를 불가능하게 하기 때문이다. 아울러 외부로부터의 유출 시도도 차단된다. 이 외에 외부 접속 가능 경로에 대한 모니터링을 하고 내부 고객정보 접근 가능 인력을 최소화시키며 고객정보를 최소한 수집하는 것이 중요하다.


유용호 비씨카드 IT보안솔루션팀 과장

‘측정될 수 있어야 관리될 수 있다’는 말이 있듯이 고객정보 유출방지를 위한 가장 우선적인 보안조치는 고객정보 취급에 대한 가시성을 높이는 것이다. 가시성을 어떤 관점에서 어떤 방법으로 갖추냐의 문제는 6W2H 원칙과 Bottom Up 체계로 말할 수 있다. ‘누가(Who), 언제(When), 왜(Why), 어디서(Where), 어떤 방식으로(How), 무엇을 위해(How much), 어떤(What) 고객정보를 누구에게(Whom) 제공했느냐?’를 Bottom Up 체계(담당자 -> 팀장 ->부장 -> 임원 -> CEO)로 구축할 때 고객정보의 가시성은 확보되고 측정될 수 있으며 관리할 수 있을 것이다.


최근 대규모 고객정보 유출 사건이 발생하면서 보안의 중요성이 높아지는 가운데 기업들은 고객정보보호 강화 방안을 앞다퉈 내놓고 있다. 보안전문가들은 이를 위한 방안으로 기업이 우선적으로 취해야 할 조치에 대해 관리적인 측면 혹은 기술적인 측면이나 인적인 측면에서 각각의 의견을 제시했다.

<글 : 이상준 지사장 포티넷 코리아 (julee@fortinet.com)>


[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>