• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“보안, 끝이 보이지 않는 마라톤” 2010.12.16

대한통운 경영관리본부 물류연구팀

총화ㆍ성실ㆍ창의의 사훈을 바탕으로 물류를 통해 80년 동안 국가경제 발전에 기여해온 국민의 기업인 대한통운의 최정우 경영관리본부 물류연구팀 과장을 만나 대한통운만의 보안 노하우를 들어 봤다.


대한통운의 정보보호 총괄부서는 물류연구팀으로 보안 관련 중요 이슈는 물류연구팀을 통해서 수행하도록 돼있고 현업 담당부서와 지속적으로 정보 공유 및 협의를 진행하고 있다. 아울러 물리보안 및 생활 보안은 경영지원팀, 개인정보보호담당부서는 택배사업팀으로 구성돼 있다.

 

대한통운 정보시스템은 사내 정보보호 규정을 준수하도록 다양한 업무에 대한 권한별 접근통제 및 로그감사체계가 구현돼 있으며 개인정보보호 등 관련 법률의 기술적 기준을 준수하도록 통제하고 있고 외부에 공개된 웹서버는 해킹 등의 위협을 방지하는 서비스를 운영하고 있다. 아울러 네트워크는 사내 중요 구간별/대외협력사별 접근통제가 운영되며 DDoS 공격 등을 방지하기 위한 시스템을 갖추고 있다.

 

사내 PC에 대해서는 불법 웹사이트 접속에 의한 바이러스 방지 및 불필요한 트래픽을 차단해 네트워크 부하를 탐지하는 시스템을 운영하고 있다. 특히 법/제도 및 사내 규정을 준수하고 정보보호 대상의 정보흐름을 파악해 보안사고를 사전에 예방하고 신속히 대응하는 시스템을 구축 및 운영 중이다.

 

최정우 과장은 최근 국회 행정안정위원회에서 통과된 개인정보보호법안과 관련 “정보통신망법 기준으로 꾸준히 준비를 해왔지만 아직까지 물류 현장이나 기술적인 부문에서 법적으로 애매한 내용이 많이 있다”며 “한국인터넷진흥원과 방송통신위원회의 세미나 및 교육 자료를 지속적으로 참고하면서 물류 회사에 적합한 개인정보보호 정책을 만들어갈 예정”이라고 말했다.

 

대한통운은 지금까지 본사 중심의 정보보호 활동이었다면 앞으로는 지사 사업장을 포함, 전사적으로 정보보호 활동을 추진할 예정이다. 특히 정보보호 교육과 점검 활동에 주목할 계획이다.

 

그는 “사내 정보보호 교육은 기본적으로 자체 콘텐츠로 개발한 온라인 과정과 오프라인 집합교육을 실시하고 있으며 인력개발원 집합교육을 보다 활성화 시킬 것”이라며 “기술적인 부문으로는 사내 유무선 네트워크 보안 강화를 위해 현재 시스템 및 장비를 재점검, 업그레이드 및 필요한 솔루션 도입을 검토하고 있다”고 밝혔다.


현실과 기본에 충실한 보안정책 수립해야

최 과장은 2008년 말 대한통운의 IT 기획 업무를 맡기 시작하면서 정보보호 관련 총괄 업무도 맡기 시작했다. 그가 물류연구팀에서 일하기 시작했을 당시 정보보호 업무가 어떤 것이 있으며 어떻게 수행해야 하는지에 대한 체계가 없었다. 이에 그는 2009년 초부터 회사 정보보호 업무의 체계를 잡기 위해 ISO27001 인증을 준비, 이를 획득하는 성과를 거둔 바 있다.

 

최 과장은 보안을 “끝이 보이지 않는 마라톤”이라고 정의 내리며 “끝이 보이지 않기에 열정과 끈기가 없으면 포기하기 매우 쉽고, 페이스 또는 속도 조절을 잘 하지 못하면 결국 따라가기 어려운 상황으로 빠지기 쉬운, 철저한 자기 자신과의 싸움과 유사하다. 왜냐하면 최종 목적지나 정확한 답을 어느 누구도 알려줄 수 없기 때문”이라고 설명했다.

 

따라서 완주할 수 있으면서 비교적 안정적인 여정을 만들기 위한 최적의 방법은 현실과 기본에 충실하면서 보안 정책을 수립해 지속적으로 이행하고 개선 활동을 해야 한다는 것이 그의 의견이다. 특히 문제가 없다고 해서 방심해서도 안되고 최신 보안 기술을 구축해 선도한다고 해서 문제가 발생하지 않는다고 어느 누구도 보장할 수 없다는 것. 아무리 기술이 발전한다고 해도 결국 정보는 사람에 의해서 만들어지고 사람에 의하여 전파되기 때문에 정책 및 프로세스가 아무리 잘 갖춰져 있다고 해도 이행을 하지 않으면 무용지물이기 때문이다.

 

최 과장은 “지속적인 교육 및 점검 활동으로 개선점을 찾고 조치하는 사이클을 주기적으로 실시하고 결과를 즉시 피드백하는 것이 제일 중요하다고 생각한다”고 말했다.

그러나 보안의 목적이 정보유출 및 외부침입 방지, 자산 보호/관리 등 다양하게 있음에도 불구하고 대부분의 사람들은 회사의 중요 정보 또는 비밀 정보 보호에만 국한돼 있다고 알고 있어 때론 어려움이 많다고 했다.

 

그는 “회사에서 많은 인건비를 지급하면서 만든 무형의 정보 자산도 유형 자산처럼 관리하고 보호해야 되는 측면이 많은데 일반적으로 그러한 인식을 가지고 있는 사람들이 많지 않다”고 우려했다.

최 과장은 “이제는 보안 의식이 영역이 넓어지고 이에 따라 경계가 없어지고 있다”며 “예를 들어 내가 사용하는 하나의 PC가 보안 취약으로 공격받으면 회사의 정보시스템 더 나아가 국가 정보시스템을 마비시킬 수 있다는 경각심과 함께 기본적인 보안 의식을 갖고 정보보호가 생활에 일부분으로 흡수될 수 있도록 모두 노력해야 한다”고 강조했다.

<글/사진 : 호애진 기자(is@boannews.com)>


[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>