• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“보안은 우리가 숨쉬는 공기와 같은 것” 2010.06.26

에르고다음다이렉트자동차보험 IT팀

자동차보험 판매 방식에서 ‘다이렉트’ 방식과 전문 서비스 영역에서 ‘아웃소싱’ 시스템을 결합해 보다 효율적인 사업구조인 ‘다이렉트 시스템’을 국내 최초로 구축한 에르고다음다이렉트자동차보험의 엄정일 IT팀 팀장은 보안의 소중함과 중요성을 ‘공기’에 비유했다.


개인정보보호, 최우선 순위

에르고다음다이렉트는 2008년 독일 ERGO 그룹에 흡수되면서 그룹의 권고에 따라 2009년 초 마이크로소프트의 AD 기반 환경으로 컴퓨팅 환경을 전환했다. 내부적으로 마이크로소프트 윈도우 기반 환경에 대한 역량을 지속적으로 강화하고 있으며 보안 관리 및 운영인력에 대해서 전문 교육 기회를 제공하고 있다.

 

특히 고객들의 개인정보보호는 에르고다음다이렉트의 최우선 순위다. 그는 “회사 업무 특성상 수많은 고객정보가 존재한다”며 “갈수록 해킹 등 정보 침해사고들의 유형 및 공격기법이 다양해지고 있기 때문에 매년 새로운 공격에 대한 대응 방안을 수립하고 있다”고 설명했다.

 

현재 에르고다음다이렉트는 크게 두 부분으로 보안 체계를 유지하고 있다. 자체적으로 보안 담당자가 각종 정책 및 지침을 수립하고 교육을 진행하고 있으며 각 부서별로 보안 Coordinator들이 있어 일부 기능을 위임 받아 필요한 물리적, 관리적 보안 정책을 이행하고 있다. 기술적인 부분은 주로 아웃소싱을 통해 백신, 방화벽 등 각종 보안장비를 운영하고 관제를 시행하고 있다.

 

그는 “대형 금융회사에 비해 예산이나 인력 부분에 있어서 부족한 게 현실”이라며 “타사와 차별화 하는 것 보다는 제한된 자원을 가지고 당사의 현실에 맞춰 최대한 보안 업무를 효율화하는 게 최선이라 생각한다”고 밝혔다.


사용자 환경에 대한 보안 강화할 것

시스템 환경이 TCP/IP 오픈 환경으로 전환될 때 사내 인트라넷과 네트워크 담당 업무를 우연히 맡게 된 것이 오늘까지 이어졌다는 엄 팀장은 “이때부터 시스템 정보보안 업무를 맡게 됐고 보안업무에 대해 이해하게 됐다”면서 “지금 생각해보면 현재 시스템의 전체적인 정책을 수립할 때 보안을 고려할 수 있게 돼 예전의 경험들이 좋은 기회였던 것 같다”고 말했다.

 

그러나 그는 “고려해야 할 사항들이 점차 늘어가고 있는 것 같아 다양한 보안 분야에 대해 정책을 수립하고 이를 시행해야 할 때 부족함을 많이 느낀다”며 “특히 내부 정보보호를 위해서 추가적인 정책을 시행할 경우 불가피하게 직원들의 불편을 야기하는 경우가 있기 때문에 임원이나 사회적인 요구사항을 전사적으로 이해시키고 직원들의 필요사항을 조율하기가 쉽지 않은 것 같다”고 덧붙였다.

 

특히 그는 보안을 ‘공기’에 비유했다. 우리가 당연하게 숨쉬고 있는 공기의 소중함을 잊고 살아가듯이 보안의 소중함과 중요성을 인지하지 못하는 현실을 안타까워했다. 또한 최적의 보안상태를 유지하기 위해 시스템을 도입하고 새로운 정책을 적용하지만 시간이 조금만 흘러도 빠르게 변화해 가는 해킹 기술 탓에 금세 뒤처져 버릴 수 있다는 점에 암담할 때가 많다고 했다.

 

엄 팀장은 “새로운 기술들이 속속 출현하고 있기 때문에 작은 실수로 인한 노출도 크나큰 취약성으로 발전할 수 있다”며 “이는 결과적으로 회사에 엄청난 손실을 입힐 수 있기 때문에 많은 주의와 관심이 필요하다”고 지적했다.

 

이에 따라 에르고다음다이렉트는 사용자 환경에 대한 보안 정책을 지속적으로 강화해 나가고 있다. 특히 정보 유출과 관련이 있는 외부 메일 사용, USB 사용, P2P, 메신저 등을 차단해 직원들이 고의 또는 실수로 내부 정보를 유출하는 것을 방지하고 있다. 아울러 혹시 발생할 수 있는 피해를 최소화하기 위해 DDoS 대응 시스템을 구축, 운영하고 있으며 홈페이지 취약점을 자체적으로 점검할 수 있도록 점검 도구를 도입해 시행하고 있다.

 

엄 팀장은 “지난해까지는 큰 정보보호 차원에서의 대응을 중심으로 정책이 진행됐으며 올해부터는 각 주제별, 테마별로 취약성에 대해 보안을 더욱 강화할 예정”이라고 밝혔다. 이에 따라 에르고다음다이렉트는 먼저 가까운 시일 내 문서 보안을 강화해 사내에서 제작 및 유통이 되는 문서들의 외부 유출에 대한 리스크를 줄이고 외부의 시각으로 보안 취약점을 세부적으로 검토하고 개선 사항을 도출 할 수 있도록 정보보호 컨설팅을 진행할 계획이다.

<글 : 호애진 기자(is@boannews.com)>


[월간 정보보호21c 통권 제118호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>