CJ오쇼핑, 통합모니터링 시스템 구축으로 보안 강화

[보안뉴스 김태형] “기업보안을 강화하기 위해서는 우리 회사가 보호해야 할 정보자산이 무엇인지 명확하게 알고 있어야 합니다. 그리고 이를 위해서 꼭 필요한 보안 솔루션을 도입하고 구축해야 합니다. 그러나 대부분의 기업 보안담당자들은 다른 회사가 사용하고 있거나 다른 사람 또는 보안솔루션 영업담당자가 추천한 제품을 일방적으로 사용하고 있다는 것이 문제입니다.”

CJ오쇼핑 최병훈 과장은 해킹방지워크샵에서 진행된 ‘ID도용 탐지 및 온라인 쇼핑몰 보안이슈’라는 주제의 강연에서 기업의 보안 솔루션 도입 및 구축에 관한 문제점을 지적했다.

최병훈 과장은 “기업의 정보자산은 고객정보와 내부정보로 나누어지는데 대부분의 기업이 외부 침입에 대한 정보보호에 더 중점을 두고 있다. 하지만 한쪽으로만 치우치는 보안은 문제가 있다”고 지적했다.

즉, 기업 내부에서도 정보 유출이 일어날 수 있고, 이에 대한 대응이 필요하다는 것. 회사에는 다양하게 변화하는 비즈니스 IT 환경에 따라 생겨나는 내부 보안의 홀을 모두 찾아 방어하기는 매우 어렵다.

이에 최 과장은 “기업은 가지고 있는 보안 로그 및 개인정보 시스템의 사용로그를 잘 사용하고 있는지, 외부로부터의 침입만 강조된 보안은 아닌지 점검하고, 여러 보안 장비 및 개인정보 처리 시스템을 보다 효율적으로 사용함은 물론 시나리오 기반의 예측으로 정보유출을 사전에 탐지하고 관리할 필요가 있다”고 강조했다.

한 리서치 조사결과, 기업 내부정보 유출사고의 주체는 △퇴직직원의 데이터 유출 사고 61% △현직직원의 데이터 유출 사고 25%로 나타났다. 이는 내부에서 빠져나가는 정보가 많다는 것을 의미한다는 게 최 과장의 설명이다.

또한, 유출방법을 보면 USB나 외장하드 등의 이동저장장치를 이용한 유출이 57%인데, 대부분의 기업은 이러한 이동저장장치를 통제하고 있지만 대다수가 이동저장장치를 이용한 정보유출을 시도하고 있음을 알 수 있다. 이는 이동저장장치 사용 권한을 갖고 있는 기업의 임직원이 유출했다는 것을 반증하기도 한다고 덧붙였다.

또 다른 조사결과에서는 기업에서 도입을 계획하거나 필요한 보안 솔루션으로 DLP가 가장 많았고, 그 다음 DB보안, 웹보안 등의 순서로 나타났다.

하지만 최 과장은 이러한 솔루션 대부분은 침입이나 공격에 대해 알람으로 알려주는 솔루션으로, 이러한 솔루션을 효과적으로 운영하기 위해서는 기업 보안담당자들이 다수 필요하지만, 대부분의 기업들은 보안인력 부족으로 문제를 겪고 있다고 설명했다.

이에 CJ오쇼핑은 내부의 임직원과 시스템의 운영 미비를 통해 정보가 유출되는 경우가 많다고 판단해 작년 말부터 내부정보, 고객정보, 개인정보, 물리적 보안체계 등을 정보보안 담당자가 한눈에 볼 수 있도록 했고, 적은 인원이 효율적으로 보안을 관리하도록 설계했다.

최 과장은 “우리는 이러한 고민들을 해결하고 좀 더 효율적인 보안을 위해 통합 모니터링 시스템을 구축했으며 내부정보 통합로그 모니터링으로 유출의 오남용을 감소시켰다”면서 “고객정보 취급자로 하여금 고객개인정보 유통에 대한 이력 관리는 물론 퇴사 예정자 및 개인정보 업무처리자 등의 집중관리 대상을 선정해서 정보유출 소명 요청 기능을 갖도록 하는 등의 권한을 부여했다”고 설명했다.

또한, 각 이벤트별 행위 패턴을 한눈에 볼 수 있도록 리포팅, 알람, 실시간 모니터링을 통해 발생된 이벤트에 대해서는 해당 임직원에게 자동으로 이메일을 발송, 이벤트 발생 사유를 소명하도록 했다.

최 과장은 “결론적으로 기업의 정보보호를 위해서는 보안담당자는 무엇을 어떻게 보호해야 할지 명확히 알아야 하고 내부보안과 외부보안은 동일한 위험으로 분석해야 한다”면서 “정보유출 및 시도 자체를 직관적으로 판단할 수 있도록 하고 모든 임직원이 수시로 보안 상황을 판단할 수 있게 해야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>