• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

튀는 NHN, 고객정보보호 선봉에 서다 2006.12.27

한게임, 세계 최초 개인정보보호 ISO 인증 획득

사내 개인정보보호 위원회 발족...정보보호 강화


네이버 회원수 2,300만 명, 한게임 회원수 2,400만 명의 거대한 회원들을 관리하고 이들을 위해 서비스를 제공하고 있는 NHN(대표 최휘영)은 현재 국내 포털 1위를 고수하고 있으며 명실상부한 국내 대표 IT 기업이다.


또, NHN은 정통부가 수여하는 ‘2006 정보보호대상’에서 인터넷 부문 대상을 수여한 바 있다. 정통부 관계자는 “5회째를 맞는 정보보호대상은 기업의 자발적인 정보보호 실천을 유도함으로써 국내의 정보보호 인식을 제고하기 위한 시상”이라고 밝히고 “주로 자발적으로 사내 정보보호와 대고객 정보보호에 앞장서 실천하는 기업들을 대상으로 수여하고 있다”고 말했다.


한편, NHN은 2005년 12월 27일부터 한국마이크로소프트와 업무제휴를 맺고 게임포털 ‘한게임’을 통해 이용자들이 보안관련 패치 파일을 손쉽게 설치할 수 있도록 ‘한게임 보안패치 서비스’를 실시해오고 있다. 이를 통해 이용자들은 로그인과 동시에 자동적으로 마이크로소프트 보안패치 프로그램을 자동 다운로드하고 업데이트 항목을 검사할 수 있게 됐다.


이와 함께 2006년 12월 11일, NHN 한게임은 세계 최초로 개인정보보호 부문에 대한 영국표준협회(BSI)에서 인증하는 ‘ISO27001’ 정보보안 국제 표준 인증을 획득하기에 이른다. 이를 통해 NHN은 최근 사회적 이슈로 부각되고 있는 개인정보보호에 대한 대외적 신뢰를 구축하고, 선두업체로서 고객들의 정보보호 관련 제반 시스템과 프로세스에 대한 업계 표준을 마련ㆍ제시하고 있다. 


NHN  고객정보보호팀 이상훈 팀장은 “내ㆍ외부적으로 강력한 개인정보보호 프로세스를 마련하고 특히 직원들의 개인정보보호 인식 강화교육에 중점을 두었다. 개인정보를 전담 관리하는 팀에는 강화된 맞춤형 교육을 실시했고, 심지어 회사 통근버스 내에서도 방송을 통해 지속적으로 고객개인정보보호에 대해 교육을 실시하고 있을 정도”라고 말했다.   


이 팀장은 “2006년에는 한게임만을 대상으로 개인정보보호 국제 인증을 획득했지만 2007년 4월 경에는 네이버까지 확대해 전사적인 개인정보보호 ISO 인증 획득에 도전할 계획”이라고 덧붙였다.


또한, 그는 “힘들게 국제 인증을 획득하는 이유는 대 고객 신뢰를 구축하는 작업이다. 고객의 정보를 소중히 다루는 것은 IT기업이 갖춰야할 가장 기본적이면서 중요한 덕목이라고 생각한다”며, “개인정보보호법이 앞으로 제정될 전망이지만, 그 전에 이러한 준비들을 솔선수범해서 하는 것이 NHN 다운 발상”이라고 말했다. 

 

더 나아가, 이 기업은 지난 12월 20일 업계 최초로 ‘개인정보보호 위원회’를 발족했다. 자사 회원들에게 보다 신뢰할 수 있는 서비스를 제공하고 효율적인 개인정보정책을 수립하기 위해 각계 전문가들로 구성됐다.


위원회와 관련, 이상훈 팀장은 “NHN 내부의 보안 전문가 4명과 학계 및 사회 단체의 개인정보 전문가 4명으로 구성된 ‘개인정보보호 위원회’는 NHN 개인정보보호 활동의 향후 방향과 사회적 역할을 제시하고 관련 정책 수립 및 운영에 대한 검토는 물론, 중요한 개인정보 관련 분쟁 발생 시 조정안을 제시하는 등 개인정보보호 활동에 대한 자문역할을 하게 될 것”이라고 말했다.         


다음은 한게임 개인정보보호 ISO 국제인증 획득과 개인정보보호 윈원회 발족을 주도적으로 담당한 NHN 고객정보보호팀 이상훈 팀장과의 인터뷰 내용이다.     


Interview

NHN 고객정보보호팀 이상훈 팀장

 


ISO 인증획득, 개인정보보호를 위한 노력의 결실

“보안문화 정착이야말로 가장 강력한 보안솔루션”


1. NHN 게임포털 한게임이 세계 최초로 개인정보보호 부문 국제인증을 받았다. 이러한 인증을 받게 된 게기와 의의는 무엇인가?


최근 개인정보유출, 도용 등이 심각한 사회문제로 부각되고 있다. 특히나 개인정보 유출의 경우 K은행, L그룹, H통신 등 국내의 대기업에서도 발생하였다. 대기업이기 때문에 그간 큰 걱정없이 믿고 맡겨왔던 고객들의 입장에선 큰 배신감을 갖게 되었을 것이다. 또한, 대형사건의 경우 내부직원이 연루된 경우가 대부분이다. 이는 분명 내부통제 절차가 적절치 못해서 내부로부터 사고가 발생했다고 볼 수 있으며, 2,400만 회원(한게임 기준/ 네이버 2,300만)을 보유한 국내 선도 인터넷 업체로서 이런 사고를 미연에 방지하고 개인정보보호를 위해 충분한 노력을 기울이고 있다는 자신감에 ISO27001 인증을 추진하게 되었다.

 

특히, 이번에 인증의 경우 개인정보보호 부문에 대한 인증이다. 현재까지 개인정보보호 부문으로 인증을 취득한 사례는 NHN이 세계 최초이다. 기존 대부분의 조직들이 시스템 운영이나 콜센터 등으로 인증을 받았었던 것에 비하여 훨씬 광범위하고 포괄적인 인증이라고 할 수 있다.


2. 한게임이 받은 국제 인증은 어떤 종류인가?


‘ISO27001’이란 정보보호관리체계에 대한 국제표준이다. ISO27001은 영국의 British Standard가 개발한 BS7799를 모태로 하고 있으며, 1995년 BS7799개발로부터 시작되었다 할 수 있다. ISO27001이 다른 여타의 보안관리 표준이나 지침과 구분되는 점은 다른 보안관리 표준지침들이 보안기술의 상세부분까지 규정하고 있고 보안의 대상을 IT만을 대상으로 하고 있는데 비해, ISO27001은 관리시스템에 대한 보편ㆍ포괄적인 가이드(기준)를 규정하고 있으며, 전자매체로 한정하지 않고 보안의 대상을 종이매체 등 여러 가지 정보자산으로 하고 있다.

 

또한, 각 조직에 대해서 획일적인 요구사항을 부과하는 것이 아니라, 각각의 조직이 위험 분석을 수행하고 보안관리를 실시하도록 요구하고 있다는 점이다. 지속적인 관리와 성과측정을 하도록 규정하고 있어, 보안성과 측정에도 일부분 도움이 될 것으로 기대하고 있다.


3. 한게임은 개인정보보호를 위해 어떠한 노력들을 기울여 왔고, 현재 실시하고 있는 개인정보보호 정책들이 있다면?


기존에 NHN의 경우, 개인정보보호업무를 법무부서나 보안부서에서 일부 나누어 취급해 왔었다. 하지만 2006년부터 개인정보보호만을 전담하는 ‘고객정보보호팀’을 신설했다. 고객정보보호팀은 NHN이 서비스하고 있는 한게임, 네이버와 관련하여 신규 오픈하는 서비스의 법적 준거성 검토, 자회사 및 파트너업체에 대한 개인정보보호활동 지원, 기타 내부 지원 등을 수행하고 있다.

 

개인정보보호팀이 신설된 이후 모든 개인정보 보안관련업무와 활동을 재정비하였다. 그간 각 부서별로 관리돼 오던 개인정보 보안정책들을 모두 모아서 재정비하고 표준을 정립하였으며, 개인정보 취급과 관련된 모든 업무 프로세스에 대해 검토 및 보완작업을 수행해서 새로운 업무 절차를 수립하였다. 그밖에 지난 12월 19일자로 개인정보보호 위원회를 발족하기도 했다. 


4. NHN에서 이번에 개인정보보호 위원회를 발족하게 된 이유가 있다면?


위원회를 통해 전문가 의견을 수렴하고, 향후 NHN의 개인정보보호정책을 수립하고 NHN에서 수행되는 개인정보보호활동에 대해 검증을 받고, 위원회에서 권고되는 개선사항을 이행할 예정이다. 위원회는 좀 더 자유로운 목소리를 내는 것이 가능하다. 위원회는 고객의 요구사항을 대변하는 기능도 갖고 있다.

 

NHN 스스로도 개인정보보호를 위해 충분한 노력을 기울이고 있지만, 우리의 노력이 과연 충분한가에 대하여 학계나 시민단체 전문가 분들로부터 점검을 받고 싶었다. 또 혹시 우리가 간과하고 있던 다른 부문이 있지 않을까 하는 불안한 마음도 있었다.

 

마지막으로 발전하는 보안의 틀을 마련하고 싶어서다. 해킹과 보안은 창과 방패에 비유되곤 한다. 한쪽은 항상 뚫을 생각만을 하고 한쪽은 항상 막을 것만을 생각한다. 좀 더 견고한 방패를 갖기 위해서 위원회와 적극 협력할 계획이다.


5. 위원회 구성은 어떻게 되나?


위원회는 총 8명의 위원과 간사 1인으로 구성되어 있으며, 위원은 외부위촉위원 4인과 내부임원 4인으로 구성되어 있다. 외부 위원은 고려대학교 정보보호대학원 원장님이신 임종인 교수님을 비롯하여, 성균관대학교 정보통신학부 정태명 교수님, 영산대학교 법률학부 성선제 교수님, 삼성의료원 이제호 교수님으로 구성되어 있다.

 

관련 기사가 개제된 후 몇몇 언론에서 이제호 교수님에 대한 질문을 받았다. 왜 의사가 위원으로 포함되어 있느냐는 질문이었는데, 이제호 교수님은 국내에 HIPAA를 처음으로 도입하신 분이며, 삼성의료원의 HIPAA인증에 깊이 관여했던 분이다. HIPAA에서 환자의 의료정보에 대한 통제항목이 있는데, NHN이 의료기관은 아니나 고객의 정보를 의료기관 이상으로 주의 깊게 관리하고자 하는 바램이 있어서 함께 하게 됐다.

 

‘논어’의 ‘술이편’을 보면 ‘삼인행필유아사(三人行必有我師)’ 라는 말이 나오는데 말 그대로 모든 것이 스승이라는 의미이다. NHN의 서비스를 이용하는 고객의 개인정보를 지킬 수 있다면 ISO27001이나 HIPAA뿐 아니라 다른 업종 다른 표준이나 지침에서라도 방법이나 아이디어를 갖고 와서 구현할 계획이다.


6. 위원회는 앞으로 어떤 역할을 하게 되고 2007년 계획이 있다면?


현재 NHN은 ‘개인정보보호지침’이라는 업무규정이 있고 이와 연관된 수십여 개의 업무 프로세스를 표준화했다. 이를 재개정시 위원회의 심의절차를 거쳐서 진행하도록 규정되어 있다. 이는 내부의 요구를 외부의 전문가 계층에 의해 검증받고 수행하자는 회사의 의지 표명이라 할 수 있다. 단순히 눈앞의 이익에 연연하지 않고 범사회적 책임을 갖고 개인정보를 관리하겠다는 회사의 의지다.

 

2007년 상반기에 위원회로부터 회사 내부에 대한 방문점검을 받을 예정에 있다. 최근 ISO27001인증 등을 통해서 기본기는 갖췄다고 보지만, ‘주마가편(走馬加鞭)’이라는 말이 있듯이 더 잘하기 위해서 위원회로부터 또 한번의 점검을 받을 예정에 있다. 그 외에는 5월에 2차 위원회 일정이 있다. 2차 때에는 2007년 상반기에 수행된 개인정보보호 활동에 대해 보고를 하고 하반기 수행과제에 대해 논의할 예정이다.


7. NHN은 고객 개인정보와 관련 어떤 시스템들이 구축돼 있나?

 

일반적으로 운영하는 기술적 시스템인 방화벽, IPS, IDS 등은 모두 운영되고 있다.

NHN만이 보유한 시스템이라고 한다면, ‘공동체의식’이라는 감성적 시스템이라고 할 수 있다. 전 사원이 개인정보보호의 최전방에서 전사로서 활동하고 있다는 생각을 갖고 있다. 아무리 훌륭한 기술적 시스템을 구축해 놓아도 이를 실제로 운영하는 것은 사람이다.

 

기술적 시스템과는 별도로 전 임직원이 개인정보보호를 왜 해야 하는지 공감대를 형성하기 위하여 많은 노력을 해왔다. 고객정보가 유출되는 사고가 발생하면 이는 단순 정보유출 사례가 아니라 당사자, 회사, 사회적으로 큰 문제가 됨을 지속적으로 인지시켰고, 이에 대한 공감대를 이끌어내기 위해 노력하였다. 전 사원에게 개인정보 유출사례와 잠재적 위험에 대해 수시로 교육을 하고 있으며, 보안이 어떤 통제나 절차가 아닌 문화로 자리 잡도록 노력하고 있다. 이러한 보안문화의 뿌리 깊은 정착이야말로 가장 강력한 보안솔루션이라고 생각한다.

 

최근 온라인 보안교육을 수행했는데 강제성이 없었음에도 불구하고 1주일 만에 93%라는 경이적인 교육 이수율을 기록했다. 이는 이미 조직원이 보안에 대한 인식이 통제가 아닌 문화로 자리 잡았기 때문으로 평가하고 있다. 이 밖에도 다양한 보안캠페인을 수행하고 있다. 보안표어ㆍ포스터 공모전이라던가, 지속적인 이벤트를 통해서 ‘지겹다, 고루하다, 간섭받는다’라는 느낌이 아닌  ‘재미있고, 즐거운’ 느낌이 들 수 있도록 시스템을 만들어 가고 있다.


8. 2007년 고객 개인정보보호와 관련해 추가적으로 소개할 만한 정책이 있다면?


현재의 개인정보유출 사건의 경우, 사후에 발견되고 대응이 늦을 경우 도용 등 2차 파급효과가 따르게 된다. 이를 사전에 차단하고 대응할 수 있는 시스템을 구축ㆍ준비 중에 있다. 현재 내부적으로는 NPIEWS(NHN Privacy Incident Early Warning System)이라고 명명했는데 고객정보의 접근에 대해 집중 관리할 수 있는 시스템이다.


9. 개인정보보호와 관련 NHN 고객들에게 당부하고 싶은 말이 있다면?


자신의 개인정보가 가장 많이 유출되는 경로는 사용자 자신의 PC를 통해서다. 그 무엇보다 PC 보안을 위해 각각의 사용자가 노력을 기울여야 할 때이다. 윈도우의 패치, 의심스러운 파일(실행파일 및 ActiveX 등)의 실행금지 등 기본적인 것부터 충실히 이행해야 한다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>