1998년에 취업 메타 검색엔진으로 출발해 성장한 우리나라의 대표적인 온라인 리크루팅 마켓플레이스로 세계 최대의 온라인 리크루팅 사이트인 몬스터닷컴과 함께 글로벌 네트워크를 통해 기업에게는 글로벌 인재 확보의 기회를, 구직자들에게는 글로벌 기업으로의 취업과 세계 시장 진출의 기회를 제공하고 있는 잡코리아의 문치웅 시스템운영팀 차장을 만나 잡코리아만의 보안 노하우를 들어 봤다. 

개인정보보호관리체계 안정화 및 고도화 달성 목표

지난 2002년 한국정보통신산업협회(회장 정장호)가 시행하고 정보통신부겭袁汰悶編?공정거래위원회 등이 후원하는 ‘개인정보보호마크(ePRIVACY마크)’ 제1차 취득업체 39개사 54개 인터넷사이트에서 구인겚망?분야로는 유일하게 선정돼 인증서를 취득한 잡코리아는 동종 업계에서는 가장 발빠르게 보안 시스템을 구축, 남다른 보안 노하우를 가지고 있다.

문 차장은 “잡코리아는 온라인 리크루팅이라는 업종의 특성상 고객의 개인정보를 많이 취급하고 있어 IT 업무 중 많은 부분이 개인정보보호에 초점을 맞추며 진행됐고 개인정보보호가 이슈화 되기 이전부터 이미 고객의 개인정보를 보호하기 위해 정보보호 활동(정보보안 컨설팅, 안전진단 수검 등)이 활발하게 이뤄졌다”고 말했다. 그는 또 “이를 기반으로 개인정보보호관리체계 수립, 매년 정보보안 연간 계획에 따른 이행 및 점검을 통해 개인정보보호관리체계 안정화 및 고도화 달성을 이루는데 노력하고 있다”고 덧붙였다.

업무 도입 초반에는 정보보안이 인프라 보안에 포커스된 업무 영역이었기 때문에 업무 프로세스 내에 개인정보보호 활동을 반영하는데 참조할 수 있는 검증된 방법론 및 벤치마킹 사례 등이 다양하지 않아 많은 시행착오를 겪었다는 문치웅 차장은 “최근 고객의 개인정보보호에 대한 관심이 증가하면서 개인정보보안이 비즈니스 연속성 측면에서 중요한 부문으로 자리잡았다”고 강조했다.

그는 “잡코리아는 개인정보 및 정보보안을 총괄하고 있는 CPO가 지정돼 있으며 CPO 이하 각 분야별 정보보호관리담당자가 지정돼 있다”며 “이와 같은 보안조직 구조는 보안이 IT에서만 수행하는 것이 아닌 전사적으로 개인정보보호 업무를 효율적으로 진행할 수 있다는 강점이 있다”고 밝혔다.

잡코리아는 이와 더불어 전문가를 보유한 정보보호 외부업체와 연계해 정보보호 관리 조직을 운영하고 있으며 정보보호 관리 조직은 정보보호 정책을 수립, 접근통제, 정보보호시스템 구축, 웹 취약점 점검, 시스템 취약점 점검, 침해사고 대응 업무를 하고 있다.

특히 SOX(내부 회계관리 제도)와 같이 주기적으로 테스트 및 점검하고 개선사항을 반영하는 등 보안 활동의 전 과정을 체계적으로 관리하는 보안활동관리시스템을 운영하고 있다.

문 차장은 “기술적인 보안 강화뿐만 아니라 내부 구성원을 대상으로 개인정보보안에 따른 관리강화를 위한 교육도 정기적으로 실시하고 있으며 본사(몬스터)에서 시행하는 정보보호 및 개인정보보호에 대한 온라인 교육을 의무적으로 하고 있다”고 덧붙였다.

내부 개인정보 취급자에 대한 접근통제 강화

잡코리아는 인터넷 회원들의 주민등록번호 유출과 불법적인 명의 도용을 방지하기 위해 ‘아이핀’을 도입했고 이로 인해 잡코리아는 회원 가입 시 주민등록번호를 사용하지 않고 회원가입을 할 수 있게 됐다.

문 차장은 “아이핀을 이용해 잡코리아 회원가입을 하는 가입자의 경우 아이핀 발급기관인 한국신용정보(www. nuguya.com)에 자신의 신원정보를 확인하기 때문에 잡코리아에 개인정보가 저장되지 않는다”며 “아울러 기존의ID/PW찾기 등 일부 정보만으로 식별이 가능한 개인정보 서비스의 경우에도 보안을 강화해 구직자들의 개인정보유출에 대한 불안감을 해소해 안전하게 구직활동을 할 수 있도록 했다”고 설명했다.

이 외에도 내부 개인정보 취급자에 대한 접근통제 및 고객정보 이력관리 시스템을 구축했다. 잡코리아의 경우 고객이 허용한 범위(회사에 이력서 제출 등) 내에서만 개인정보를 활용될 수 있도록 통제하는 것이 가장 큰 이슈이기 때문이다.

따라서 잡코리아는 개인 이력서 DB에 접근 권한을 둬 노출 수위를 다르게 적용하며 개인정보에 관련된 데이터는 해쉬함수를 이용해 암호화를 하고 있다. 특히 완벽한 정보보안을 위해 ‘기업정보 확인절차’를 둬 기업회원이 등록하는 기업정보를 실시간으로 체크하고 확인하도록 했다.

문 차장은 “이미 전담인력을 통해 실시중인 이 서비스는 매출액, 업겵泰? 종업원수, 기업형태(상장, 코스닥, 벤처)등의 정확성을 파악하고 입력을 고의로 오기한 경우, 자체 필터링에 의해 불량기업 DB에 추가된다”며 “‘불량기업 차단관리 서비스’를 구축해 불량기업으로 확인되는 기업에 한해서는 이력서 검색 및 채용공고 등록 일체를 차단하고 있다”고 설명했다.

특히 그는 “정기적으로 비지니스 프로세스상에서의 개인정보 라이프사이클을 분석하고 이를 내부 통제에 반영함으로써 보안활동을 비지니스 프로세스에 내재화, 안정화, 고도화하는 것이 중요하다고 생각한다”고 의견을 피력했다.

이를 위해 그는 최신 이슈, 정부의 개인정보보호 관련 방향성 및 동향 등을 파악해 회사의 정책에 반영하고 있으며 정보보호 컨설팅 등을 통해 글로벌 기업의 벤치마킹 사례 등을 분석해 주안점을 도출 후 잡코리아에 반영하려고 노력하고 있다.

문 차장은 “향후 KISA(한국인터넷진흥원)에서 추진중인 개인정보보호관리체계 인증 획득을 준비하고 있으며 이를 기반으로 잡코리아의 개인정보보호 활동을 대내외적으로 홍보함으로써 기업의 이미지를 향상시키는데 노력할 것”이라고 강조했다.

<글 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제118호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지