• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“타사 보안사고, ‘他山之石’으로 삼아야” 2014.03.18

‘개발보안·모니터링 통한 개인정보보호’ 협력사·내부직원 모두 필요


[보안뉴스 김태형] “개발보안 및 모니터링을 통한 개인정보보호는 각 기업의 협력사 및 내부직원 모두에게 해당됩니다. 특히 기업들은 개인정보 유출사고의 각 유형별 원인을 찾아 분석하고 이를 막는 노력이 무엇보다 중요합니다.”


LG전자 정보보안팀 김재수 팀장은 18일 한국침해사고대응팀협의회가 서울 강남구 한국과학기술회관에서 개최한 ‘기업 정보보호 이슈 전망 CONCERT FORECAST 2014’에서 기업의 개인정보보호 강화를 위해서는 다른 기업의 보안사고를 ‘他山之石(타산지석)’으로 삼아야 한다고 강조했다.


이날 두 번째 이슈인 ‘아웃소싱과 정보보호 관리체계’에서 김 팀장은 ‘외부 파트너사 개발보안 및 모니터링을 통한 개인정보보호 방안’이라는 주제로 강연을 했다. 이날 강연에서 그는 “최근 사고 협력사 직원을 통한 개인정보 유출사고가 연이어 발생하고 있는데 이러한 사고는 금전적 이익이나 불법 마케팅에 이용하기 위해 발생하고 있는 사고다. 타사 정보유출 사고의 원인을 분석하고 이를 신속하게 자사에 적용해 보안사고 예방에 만전을 기해야 한다”고 말했다.


LG전자는 현재 정보유출 방지 및 개인정보보호 강화를 위해서 해킹 방지(좀비PC 대응) 솔루션을 구축해 악성코드 감염 PC에 대한 정기적 조치를 하고 있으며 침입탐지·방지 시스템(DB모니터링 시스템)을 통해 DB접근 이력 및 침입탐지·방지 시스템을 구축·운영하고 있다.


또한 공개용 알집 사용을 통해 이를 전사적 표준 툴로 사용하고 있으며, 개인정보 접근권한 PC에 FTP 서비스를 금지하기 위해 서버접근 통제 시스템을 구축하고 비인가자 서버 접속 차단 및 작업 이력을 저장하고 있다.


이외에도 LG전자는 개인정보 접근자에 대한 추가인증을 적용하고 있으며 1등급 개인정보 보유 시스템을 대상으로 DB 암호화 적용을 완료했다. 그리고 법적 필요 외 주민번호 파기 및 대체인증 수단을 제공하고 있으며 개인정보 출력이력 기록 및 관리책임자 사전 승인, 고유식별정보 암호화, 개인정보 취급자 망분리를 통한 인터넷망 차단 시스템 등을 갖췄다.


김재수 팀장은 “기업의 정보보호 강화를 위해 첫 번째로 필요한 것은 협력사에 대한 개발보안 프로세스 반영을 통해 보안 취약점을 사전 제거하고 정보보호 부합성에 대해 점검하는 일이다. 자체적 개발 보안 프로세스 운영이 불가한 경우에는 시스템 검수 비용을 필수 반영하는 것도 중요하다”라고 강조했다.


LG전자의 경우 대기업이다 보니 기획부서, 개발운영부서, 취약점 점검부서, 정보보안 부서 등 관련 조직이 잘 구성되어 있어 자체 개발보안 프로세스를 갖출 수 있지만 중소기업의 경우 이 같은 조직 구성과 자체 프로세스를 운영하기 어렵기 때문에 검수 비용을 필수 반영하고 법적 준거성을 마련해야 한다는 것.


김 팀장은 “경영진들에게 이러한 부분이 갖춰지지 않았을 때의 리스크와 피해 등을 잘 인식시켜야 가능하기 때문에 경영진들을 잘 이해시키고 설득하는 것도 중요하다. 특히 개발보안은 가장 기본적으로 준수해야 할 사항이라는 것을 명심해야 한다”고 말했다.


또한 두 번째로 중요한 것은 사전 영향평가 시스템 운영이다. 즉 개인정보 사전 영향평가를 통해 협력사 직원에 의한 리스크 관리를 강화해야 한다는 것.


그리고 세 번째는 개인정보 모니터링 시스템 운영이다. 대부분 기업들은 DB, 서버, PC, 웹사이트 등을 통해 개인정보를 수집하고 있는데, 개인정보 모니터링을 통해 관련 법률을 충족시켜야 하고 협력사에 의한 리스크 관리도 필요하다.


김 팀장은 “이를 위해서 △DB 데이터 감사 통한 개인정보 유출 통제 △PC 데이터 감사를 통한 PC 보유 개인정보 최소화  △DB암호화 △SSL을 통해 개인정보 이동 네트워크 전송구간의 암호화로 해킹 방지 등이 필요하다”고 설명했다.

     


특히 인사정보의 다량 검색 및 다운로드 사유 확인·추적 등이 필요하다. 대부분 시스템 관리자 또는 협력사 직원 등에 의해 인사정보 검색 및 다운로드가 발생하는데 이에 모니터링과 추적관리는 필수적이라는 것.


이를 위해서 개인정보 검색 사유 및 다운로드 여부와 폐기 처리에 대한 추적관리를 지속적으로 실행해야 하며 현장 판매점이나 협력사에 의한 고객정보 활용사례에 대한 모니터링 강화도 필요하다는 것이 김 팀장의 설명이다. 그리고 법률에 의거하지 않은 개인정보는 수집목적 달성 시 즉시 파기 처리해야 한다는 것도 덧붙였다.


마지막 네 번째로는 서버 우회 접근 차단 및 접근 통제를 통해 DB에이전트 미등록 계정에 대한 접근통제가 필요하다는 의견도 제시했다. 끝으로 김재수 팀장은 “정보보호 강화를 위해서는 기업 내외·부 개인정보보호 활동과 함께 잔여 리스크 이슈에도 꾸준한 관심이 필요하다”고 덧붙였다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>