| [ISEC 2014] 위탁업무 환경에서 보안취약점 줄여야 | 2014.09.24 | |||
네이버 I&S 서현진 팀장, 개인정보 위탁보안관리 전략 제시
“잠재적 보안취약점, 시스템 통제와 운영방식 확인 중요” [보안뉴스 김경애] 최근 많은 이들이 손꼽아 고대하는 ‘아이폰6’ 제품이 출시되기까지에는 전 세계 부품회사가 제공하는 부품의 조립과정을 거쳐야 한다. 이는 그만큼 아웃소싱에 의존할 수밖에 없다는 걸 의미한다.
이처럼 어떤 서비스 제공을 위해서 기업은 위탁업체에게 업무를 위탁하게 된다. 그 과정에서 부득이하게 개인정보를 위탁하는 경우도 발생한다. 이는 보안관점에서 볼 때 엄청난 리스크이며, 위탁업무가 늘어날수록 위험 또한 증가될 수밖에 없다.
그렇다면 각 기업에서는 위탁업무에 있어 보안관리를 어떻게 해야 할까? ISEC 2014에서는 네이버 I&S 서현진 팀장이 ‘우리 회사가 위탁한 개인정보, 안전한가?’라는 주제로 위탁관리의 요구사항과 네이버의 개인정보보호 관리정책에 대해 소개해 이목을 집중시켰다. 우선 서 팀장은 위탁관리 요구사항으로 △위탁업무 목적 외 처리 금지 △위탁업무 교육 및 관리감독에 대한 사항 △위탁받은 개인정보 안전한지 여부 확인 △기술적·관리적 보호조치 등을 꼽았다. 그렇지만 유출사고는 끊임없이 발생하고 있다고 우려하면서 그 이유로 법률요구사항인 문서와 위탁관리 점검에 있어 안정성이 부족하다는점을 지적했다. 결국 시스템 관리보다 인적 보안관리가 중요하다는 얘기다. 이에 따라 네이버 I&S에서는 개인정보 위탁보안관리를 위해 ①운영 자회사 업무환경 및 보안정책을 반영한 위탁 보안점검 ②위탁업무 운영환경 측면에서 보안성 검토 ③보안 시스템을 잘 운영하고 있는지를 확인하기 위한 보안시스템 운영 검증 ④제3기관을 통한 위탁 보안관리 수준 인증 ⑤모르거나 실수 등의 이유로 보안사고를 일으키지 않도록 보안교육 및 캠페인 강화 등의 조치를 취하고 있다고 밝혔다.
특히 위탁업무 운영환경 측면에서의 보안성 검토 프로세스와 관련해서는 △아직 경험해보지 못한 운영업무 프로세스 △실데이터가 없어서 고려하지 않았는지 △기획 및 설계단계에서는 필요했는데 실제 운영해보니 필요 없는 절차 등이 있는 건 아닌지 개인정보 위탁 운영환경에서의 보안취약점이 반드시 분석해야 한다고 서 팀장은 설명했다. 위탁업체가 시스템을 구축했는지 여부보다 어떻게 운영하고 있는지가 중요하다고 언급한 서 팀장은 “위탁사의 보안점검, 운영환경 보안성 검토도 중요하지만, 보안 시스템을 통한 통제가 제대로 이루어지고 있는지에 대한 확인이 필수적”이라며 “어떻게 운영하는지가 더 중요하다”고 말했다. 이와 관련 서현진 팀장은 “네이버 I&S의 경우 2014년 상반기 위탁업체 수준평가를 시행한 결과를 보니 예년보다 많이 개선됐다”며 “의도적인 개인정보 유출사고를 예방하기 위해 위탁업무 환경에서의 잠재적인 보안취약점을 줄이는 작업이 선행되어야 한다”고 다시 한번 강조했다. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||
 |
