향후 통합 로그관리로 보안 모니터링 강화

사람·문서·물리적 부분까지 ISMS 인증 범위 확대해야

[보안뉴스 김태형] 지난해 금융권은 카드사 정보유출 사고를 비롯해 연이어 발생한 개인정보 유출사고로 인해 정보보호 강화에 적극 나섰다. 그리고 개인정보보호 종합대책, 개인정보 대청소 캠페인 등 관련 법·제도는 물론 금융당국의 규제 또한 한층 강화됐다.

▲ HMC투자증권은 국내 관련 법 개정과 규제 상황에 맞춘 ISMS 인증을 통해 보안을    강화하고 법·규정도 지킬 수 있게 됐으며 고객들에게 안정성과 신뢰성을 높였다.

이로 인해 증권사의 정보보호관리체계(이하 ISMS: Information Security Management System) 인증 취득 사례도 크게 늘었다. 이 가운데 HMC투자증권이 트레이딩시스템(HTS, MTS) 부문에서 지난해 ISMS 인증을 획득했다. 이와 관련 HMC투자증권 총무팀 보안담당 최승혁 부장을 만나 증권사의 보안과 ISMS 인증 준비과정에 대해 이야기를 나눴다.

HMC투자증권은 현대자동차그룹 계열사로 지난 2008년 신흥증권을 인수해 현재는 지점 15개, 브랜치 3개로 직원수 700여명에 이르고 있다. HMC투자증권은 이번 ISMS 인증 획득 3년 전인 지난 2012년 업계 처음으로 전사범위의 국제표준 정보보호관리체계인 ISO27001 인증을 획득했다. 그리고 지난해 트레이딩시스템 부문에 대한 ISMS 인증을 획득함으로써 고객정보보호 관리 및 안정성·신뢰성을 더욱 공고히 했다.

이에 대해 HMC투자증권 최승혁 부장은 “지난 2013년 2월 개정된 ‘정보통신망법’ 제47조 정보보호관리체계의 인증 및 시행령과 제49조 정보보호 관리체계인증 대상자 범위 규정에 의거해 2013년 10월 ISMS 인증 의무대상자로 선정됐다. 이에 대상 금융회사는 은행 13개사, 증권사 19개사, 보험사 4개사가 의무 대상자로 지정됐다”면서 “ISMS는 한국인터넷진흥원(KISA)에서 주관하는 정보보호관리체계(Information Security Management System) 인증제도로, 홈트레이딩시스템(HTS, MTS) 부문에 대해 ISMS 인증을 취득했다”고 설명했다.

지난해 금융회사 중에서도 증권사의 ISMS 인증 취득이 눈에 띄게 많았다. 지난해 인증을 취득한 금융사는 총 19곳으로, 그 가운데 증권사가 15곳, 은행 1곳, 보험사 1곳, 기타 2곳이었다. 인증을 획득하기 위해서는 정보보호 정책수립은 물론 관리적 보안, 기술적 보안, 물리적 보안의 정보보안 관련 104개 항목에 대한 까다로운 심사를 통과해야만 한다.

지난해 금융회사의 가장 큰 보안이슈는 개인정보보호였다. 이에 대해 최승혁 부장은 “우리 회사의 가장 큰 이슈도 개인정보보호였다. 금융위에서는 ‘개인정보 대청소 캠페인’을 대대적으로 벌였고 이에 따라 우리 회사는 금융위 가이드 외에 추가적으로 전 임직원 PC에 대한 전수조사를 통해 필요 없는 개인정보를 삭제조치했고 10만건 이상의 개인정보 보유 직원에 대해서는 ‘보안사유서’를 받아 철저한 보안 관리를 시행했다”고 말했다.

HMC투자증권은 이미 3년 전에 전 지점 전산시스템과 홈트레이딩 시스템에 대해 ISO27001 인증을 받았다. 이를 통해 현대자동차 그룹의 전체 정보보안수준 레벨을 높이는데 일조했다. 그리고 국내 관련 법 개정과 규제 상황에 맞춘 ISMS 인증을 통해 보안을 강화하고 법·규정도 지킬 수 있게 됐다.

최 부장은 “이번 ISMS 국내 표준에 대한 인증 심사 준비는 외부 컨설팅 없이 자체 인력으로 진행했다. 기존 ISO27001 인증을 받았기 때문에 준비하는 데 한층 수월했다”면서 “국제표준에 따른 정보보호 체계가 마련되어 있었기 때문에 이를 잘 준수함으로써 국내표준인 ISMS 인증에 필요한 것들을 준비할 수 있었다. 그 결과 이번 ISMS 인증 평가 및 심사에서 증권사 ‘최소 결함수’라는 의미 있는 평가를 받았다”고 밝혔다.

HMC투자증권은 이번 인증 획득을 위해 ‘ISMS인증 획득 TFT’를 지난 9월에 구성했다. 구성원으로는 정보보안 파트 최승혁 부장 외에 2명과 IT인력 2명이 합류했다. 이외에 네트워크관리자, DBA, 인프라시스템 관리자가 실무를 도왔다. 이를 통해 대고객 이미지 제고 및 신뢰도를 향상시킬 수 있었고 직원들은 성취감을 얻었다는 게 최 부장의 설명이다. 

HMC투자증권이 이번 ISMS 인증을 준비하면서 가장 중점을 둔 사항은 여러 가지 통제 항목들을 하나 하나 점검하기 위해서 가장 중요한 IT부서와 타 업무부서와의 협력이었다. 또 어떻게 심사가 진행되는지 어떻게 준비해야 하는지 몰랐기 때문에 먼저 ISMS 인증을 획득한 증권사에게 조언도 받았다.

그는 “무엇보다 적은 인력으로 준비하다 보니 어려움이 많았는데 IT부서와 타 업무부서와의 협조가 잘 될 수 있었던 것은 자체적인 ‘보안정책협의회’를 구성해 매월 회의를 통해 해결과제와 문제점을 보고하고 현안 해결방안에 대한 논의를 진행했기 때문”이라면서 “이 협의회에는 CSO, CPO, CSO·CISO, 실무 책임자 등이 참여한다. 또 경영진에서도 관심이 많아서 적극적인 지원을 받은 것도 많은 도움이 됐다”고 말했다.

또한 그는 “우리가 ISMS 인증을 취득으로써 관리적·기술적·물리적 보안체계의 융합이 잘 되어 있음을 평가받았다. 정보보호체계를 수립하기 위해서는 무엇을 지켜야할지 판단하는 것이 중요하다. 현재는 IT 자산에 대한 정보보호에 포커스가 맞춰져 진행되고 있다. 하지만 앞으로는 금융회사의 사람, 문서, 물리적 보안 부분까지 다 포함해 확대시켜 ISMS 인증 평가가 진행되어야 한다고 생각한다”고 덧붙였다.

▲ HMC투자증권 총무팀 보안담당 최승혁 부장

HMC투자증권은 이미 6년 전부터 문서보안 해제가 되지 않도록 보안을 강화했다. 또한, USB 저장장치는 사용을 금지하고 있으며 상용메일도 전혀 사용하지 못한다. 이와 함께 출력은 사원증이 있어야만 출력이 가능하고 출력시에는 로그 기록 및 이미지로 저장된다. 아울러 이메일 발송이나 개인정보 파일이 포함된 메일은 승인을 거쳐 모두 모니터링 하고 있다.

최승혁 부장은 “올해 안에 모니터링 역량 강화를 통해 통합 로그관리를 통한 보안관리를 할 것이다. 이를 통해 보안시스템이나 개인정보처리 시스템의 로그기록 뿐만 아니라 출입증, 복합기, DLP 등 모든 로그 파일을 모아 이를 패턴화하고 이벤트로 만들어 통합 관리를 해나갈 방침”이라면서 “또 개인정보가 어떻게 흘러다니는지 한눈에 파악할 수 있도록 시스템을 구축할 계획”이라고 말했다.

이어 그는 “그리고 ‘보안 포탈’이라는 플랫폼을 만들어서 경영진 및 모든 직원들이 모든 보안요구사항을 이 보안 포탈 플랫폼에서 스스로 해결할 수 있도록 해 보안의식을 제고해 나갈 것이며, 외부 공격에 대해서는 관련기관과의 협의를 통해 보안관제 수준을 높여나갈 것”이라고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>