티몬 정보보안실 장석은 실장은 “올해 중점을 둔 관리적·기술적 보호조치 강화와 함께 개인정보보호를 보다 강화하기 위해 내년에는 PIMS, PIPL, BS10012(데이터-개인정보경영정보 시스템에 대한 표준, 영국표준협회) 인증을 준비하고 있다”면서 “ISO27001은 기업에서 중요하게 취급하는 정보자산을 보호하기 위한 정보보호관리체계이지만 BS10012는 정보자산 중에서도 최근 가장 이슈가 되고 있는 개인정보를 보호하기 위한 국제 정보보호관리체계”라고 설명했다.

티몬은 인증 획득 자체 보다는 각각의 인증에서 요구하고 있는 사항들을 엄격히 준수하고 통제를 강화하는데 초점을 맞추고 있다.

티몬이 정보보안 인증 획득 과정에서 가장 중점을 두었던 부분은 정보통신망법 기준의 통제항목을 업무 프로세스에 최대한 많이 녹여내는 것이었다. 특히 이번 인증을 통해 사내 보안프로세스 현황과 고객서비스를 위한 IDC 전체를 대상으로 관리적·기술적 보호조치와 개인정보보호 조치 등 보안관련 모든 범위를 대상으로 진행했다.

이에 대해 장 실장은 “인증 통제항목을 최대한으로 내부에 프로세스화하는 것에 중점을 두었다. ISMS나 ISO27001에서 요구하는 각각의 통제항목들을 티몬 전사 조직에 적용하고 이를 감사함으로써 보안의 표준, 정책, 프로세스가 효과적으로 정착시키는 것이 목적이었다”고 말했다.

이러한 효과를 최대한 높이기 위해서 티몬은 별도의 외부 컨설팅 없이 자체적으로 인증 취득 준비를 했다. 이를 통해 내부 정보보안 현황 파악은 물론 미흡한 부분에 대한 개선과 변화관리를 지속적으로 실시했다. 장 실장은 바로 이러한 부분이 매우 힘들었지만 이러한 작업을 통해 내실을 다질 수 있었던 것이 가장 큰 보람이었다고 덧붙였다.

무엇보다 티몬은 지난해 ISMS 인증을 1년 가량 준비한 것이 이번 ISO27001 인증 획득 과정에서 비용·시간을 절감하는데 큰 도움이 된 것으로 알려졌다. ISMS 인증 통제항목과 ISO27001 인증 통제항목이 유사해 이번 ISO27001 인증은 6개월 정도 소요됐으며 자체적으로 인증평가를 준비했기 때문에 비용도 절감할 수 있었다는 얘기다.  

그는 “인증을 준비하기 위해서는 무엇보다 현황파악이 중요하다. 기업의 정보보호 현황을 명확하게 파악하고 부족한 부분과 개선이 필요한 부분을 체크리스트화해서 관리하는 것도 중요하다”고 전했다.

또한 대부분의 보안조직들이 기술 또는 정책 부서 중 하나에 속해 있기 때문에 해당 부서 이외 현황 파악이 매우 어려운 게 사실이라며, 전사 조직 대상으로 적극적으로 커뮤니케이션을 진행하고 협업하는 것도 매우 중요한 요소라고 강조했다. 

티몬은 사내 보안 강화를 위해 단편적인 정보보호 대책이나 기술 구현보다는 조직적이고 종합적인 정보보호 대책을 구현함으로써 사내외 정보보호관리 수준을 향상시켜 회사가 안전하게 비즈니스를 하고 고객의 신뢰도를 높이는 것을 목표로 하고 있다.

특히 가장 민감하게 보호해야 할 고객정보를 포함해 회사 내부의 기밀정보 유출에 대응하고, 다양한 내외부 보안위협에 대해 선제적인 보안정책을 만들어 가는 것을 핵심 명제로 삼고 있다.

이에 대해 장 실장은 “전사적 보안전략인 정보보안 마스터플랜을 올해 새롭게 수립했고 내년 정보보호 정착 및 성장을 위한 단계로 △정보보호 관리체계 안정화 및 정보보호조직 역량 강화 △내부정보 유출 방지를 위한 오피스 환경 및 IT 인프라 보안 강화 △개인정보 취급 보안강화 및 변화관리 정착을 위한 추진 과제 이행 등 3가지 핵심과제를 정해 선제적이고 강화된 보안체계를 구축하겠다”고 밝혔다.

이러한 티몬의 정보보안조직은 정보보안 컨트롤타워 역할을 하는 정보보안실이 COO(최고운영책임자) 직속으로 편제되어 있으며 보안기술팀과 개인정보보호팀으로 세분화되어 있다. 이와 별도로 IT감사 조직과 CERT, 플랫폼의 보안개발 워킹그룹 조직이 유기적으로 운영되고 있다.

티몬의 개인정보 관리 및 보호 정책의 핵심은 ‘개인정보 라이프사이클의 프로세스화’이다. 즉 불필요한 주민번호, 계좌번호, 카드번호는 보유하지 않고 혹시나 보유하고 있는 정보는 찾아내어 삭제하는 것이 원칙이다. 이를 위해 사내 모든 개인정보처리시스템별 접속기록을 로깅하고 관제하며 이상행위를 탐지할 수 있는 시스템을 마련하고 있다.

장석은 실장은 “개인정보의 흐름을 정확히 이해하고 이를 통제하는 부분에 중점을 두고 이를 위한 개인정보 상시 관제 시스템을 마련 중이며 내년 1월 중에는 완료될 것이다. 무엇보다 강화된 개인정보 관리체계 수립을 위해 업무 프로세스상에 개인정보보호를 내포할 수 있도록 개선하고 있다”면서 “이와 함께 개인정보의 기술적 보호조치로 암호화와 접근제어, DLP, 문서암호화, 개인정보 탐지 시스템 등을 도입해 운영하고 있다”고 설명했다.

티몬은 고객정보보호와 보안체계 강화를 위한 경영진들의 의지가 강력해 적극적인 투자를 받고 있으며 조직내 유관부서와의 협력관계도 잘 유지하고 있다는 게 장 실장의 설명이다. 전사적 보안 강화를 위해서 다양한 보안 솔루션을 도입하고 있지만, 보안 프로세스를 확립하고 임직원들의 보안수준 제고를 위한 교육도 중요하게 생각하고 있다는 것.  

장 실장은 “최근 사물인터넷, 클라우드, APT 공격 등 다양한 보안위협에 대해 선제적이고 유기적 대응을 위해서는 교육을 통한 보안수준 제고가 더 중요하다. 2015년 사내 보안강화를 위해 임직원 교육과 단위 프로젝트를 지속적으로 진행하고 있다”고 말했다.

완벽한 보안은 사실상 불가능하다. 하지만 기본적으로 보안이 얼마나 중요하고 어려운 부분인지 잘 알고 있는 티몬은 IT 환경 변화에 특히 민감한 온라인 커머스 비즈니스에 유연하게 대응하기 위해 최선을 다하고 있다는 것. 이를 위해 정보보호 관리수준을 향상시켜 회사가 안전하게 비즈니스하고 고객의 신뢰도를 높이는 것을 최우선 목표로 하고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>