• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

교보증권, 단 1초의 장애도 용납 못해! 2007.01.02

 온라인 장 열리는 시간은 긴장의 연속

고객 정보보호는 기업의 경쟁력... 인식 확립 

 

<교보증권 IT 센터 김원걸 센터장(右)과 센터직원이

지난 12월 수상한 정통부 정보보호대상 특별상 상패를 들고 있다.> ⓒ보안뉴스  


지난 2006년 12월 20일, 정보통신부는 제5회 정보보호대상 기업을 선정해 수상한바 있다. 이 상은 자발적으로 정보보호 실천을 유도해 국내 정보보호 인식을 제고하는데 크게 기여한 기업, 특히 지난해 개인정보 관리실태, 법규준수 여부 등을 심사기준을 포함시켜 개인정보보호를 대폭 강화한 것이 특징이다.


제5회 정보보호대상 시상식에서 교보증권은 특별상을 시상했다. 정보통신부 관계자는 “특별상의 취지는 관련 인력이나 예산 투자가 부족하지만 정보보호의 중요성을 인식하고 꾸준히 노력하는 기업을 선정해 수여했다”고 밝혔다.


교보증권 IT 센터 김원걸 센터장은 “IT 센터의 장으로 임명된지 이제 3개월이 됐다. 교보증권 IT 분야에 근무한지도 14년이 지났다. 이 분야에 근무하면서 가장 신경을 쓰는 부분은 단연 ‘보안’분야다. 특히, 증권업의 특성상 IT 보안이 제대로 이루어지지 않으면 회사나 고객에게 실질적인 피해가 발생하기 때문에 한순간도 긴장을 늦출 수가 없다. 1초라도 방심할 수 없는 상황”이라고 말했다. 


김 센터장은 “센터장으로 취임하면서 가장 먼저 추진한 것이 바로 고객정보 관리 부분이다. 고객정보에 대한 철저한 관리가 있어야 고객과 기업의 신뢰도 형성되고 그것이 곧 기업의 경쟁력이라고 생각한다”고 덧붙였다.


불과 몇 년 전까지만 해도, 고객의 정보는 회사에서 마음대로 유용할 수 있는 일반 정보에 불과했다. 하지만 이제 시대는 바뀌었다. IT 산업에 있어 고객의 정보는 기업의 가장 핵심정보임과 동시에 자산이라고 할 수 있다. 이러한 정보를 소홀이 관리한다는 것은 차후 기업에 큰 데미지를 끼칠 수 있는 요인으로 기업들은 인식하기 시작했다.


인터넷 뱅킹만 활성화 된 것이 아니라, 증권거래도 이제는 온라인 시대다. 따라서 증권사에서 가장 신경을 쓰는 부분도 온라인 거래장애나 불법거래 사고가 발생하지 않도록 집중 투자하고 있다. 은행은 몇 시간 정도 전산장애가 발생하더라도 고객들이 기다리면 된다. 하지만 증권업무는 단 몇 초라도 장애가 발생하면 고객에게 큰 손실을 발생시킬 수 있다. 물론, 증권사도 그에 대한 손해배상 소송에 휘말리게 되고 이미지 실추는 당연히 감수해야 한다. 그렇게 되면 결국 고객은 다른 증권사를 찾아가게 될 것이다.  


교보증권 IT 시스템 관리와 IT 보안, 고객 정보보호 등을 담당하고 있는 교보증권 IT 센터. 한순간도 긴장을 풀 수 없는 이곳의 총 책임자인 김원걸 센터장을 만나봤다.


Interview

교보증권 IT 센터 김원걸 센터장

 


정보보호 관련 직원 교육 강화

내부 보안 프로세스 정립으로 고객 정보보호 철저히


정통부 2006 정보보호대상 우수상 시상에 대한 소감은?


실질적으로 정보보호를 위해 열심히 했다. 회사내부에서만 인정받는 것이 아닌, 제3의 기관으로부터 정보보호 노력에 대한 객관적인 평가를 받고 수상했다는 것이 가장 큰 의미라고 생각한다. 또 이번을 계기로 고객 정보보호에 더욱 정진할 것이다. 


이번에 특별상을 수상하게 된 이유가 있다면?


정보보호 관련 3가지 측면(기술적/물리적/관리적측면)에서 이미 대형사에 뒤지지 않는 수준으로 시스템을 구축했다. 사실, 이러한 전산적인 측면보다 더 중요한 것은 정보보호 담당직원이 정보보호 업무를 수행할 수 있도록 필요한 관련교육을 전폭적으로 지원하고 있다는 것과 당사 경영진의 정보보호 관련 투자의지가 높다는 점에 수상배경이 있다고 생각한다.


교보증권에서는 어떤 정보보호 관련 정책들을 실행하고 있나?


우선, 정보보호 관련 IT 관리지침(정보보안관리지침, 변경관리지침 등)을 제정ㆍ운영하고 있으며, 또 당사가 ‘주요정보통신기반시설’로 지정되어 있는 것과 관련해 매년 제3의 기관으로부터 취약점 분석평가를 위한 컨설팅을 받고 있다.

한편, 정보보호 관련 전산시스템의 주기적인 점검을 들 수 있다. 점검사항은 주로 사용자계정 재확인, 웹서버 최신 패치확인, 침입차단 시스템 관리자 비밀번호 변경 로그 백업 등이다. 

이 외에도 직원에 대한 업무별 권한관리를 통해 고객계좌정보 조회 및 유출을 통제하고 있고, 고객정보가 담긴 오프라인 문서 유출금지, 외주직원에 대해 보안서약서를 받고, 계약서 작성시 정보유출 등 보안관련 책임조항을 포함해 정보보호를 생활화 하고 있다.    


정보보호를 위해 구축한 시스템은 어떤 것들이 있나?


외부로부터 비정상적인 접근을 차단하기 위한 방화벽과 IPS(침입차단 시스템), IDS(침입탐지 시스템), P2P 및 부적절한 사이트의 접근을 차단하는 L7 스위치(QoS 기능 제공), 비인가 단말기의 접근을 차단하는 IP 관리툴을 구축해 사용하고 있다. 또, 스팸ㆍ바이러스 메일 및 피싱 공격으로부터 사용자를 보호하기 위해 메일 필터링 시스템을 구축했으며, 유해 트래픽 차단과 웜을 확산을 방지하기 위해 사내 모든 PC에 백신을 설치했다. 한편, 불법 SW 사용을 금지하고 윈도우 OS 자동 패치 관리 시스템도 도입해 사용하고 있다. 


사내 정보보호를 위한 예산은 어느 정도 잡고 있나?


중요 자산 및 데이터를 분류하고 보안정책에 따라 ALE(연간손실 예상액)을 넘지 않는 한도에서 보안시스템 구축과 보안인식 교육에 투자하고 있다.

 

<김원걸 센터장이 센터 직원에게 보안업무를 지시하고 있다.> ⓒ보안뉴스


최근 기업에서 내부정보 유출현상이 급증하고 있는데, 이에 대한 대비책은 무엇인가?


중요정보의 보호를 위해 입사시 경영진(CIO)이 보증하는 비밀유지 동의서와 AUP(Acceptable Use Policy)를 작성 및 확인해 보관하고 있다. 또한, 물리적, 논리적, 관리적 보안을 통해 정보유출 가능성을 낮추고 있으며, 정기적인 보안인식 교육을 통해 직원들의 보안의식을 향상시키고 있다. 퇴사시에는 계정처리 정책에 따라 ID를 즉시 삭제하고 개인 전산장비를 즉시 회수하고 있다. 또, 이메일을 통한 유출에 대비하여 이메일 송수신 내역도 기록ㆍ관리되고 있다.

앞으로 내부정보 유출방지을 위해 SSO(Single Sign On), EAM(Extranet Access Management), IAM(Identity Access Management)등의 구축을 고려하고 있다.


사내 직원들에게 정보보호 관련 교육은 어떤 방법으로 실시하고 있나?


정보보호 전담인력의 경우, 사외교육기관을 통해 관련 교육을 수강하도록 하며, 관련 자격증 취득에 대한 권유를 통해 관련 지식을 습득하도록 하는 등 교육기회를 제공하고 있다.

신규 직원 입사시에도 ‘신입직원 교육 프로그램’에 보안인식 교육을 포함하여 오프라인 교육도 실시하고 있고, 보안의 중요성에 대해 인지시키고 있다. 입사 후에는 정기적으로 사이버 강의를 통해 보안인식 교육을 실시하고 그 성과를 측정하고 있다.


사내 직원들이 사용하는 PC는 어떻게 관리되고 있나?


모든 사내 PC에 대해 사용자의 이력을 관리하고 있으며, 모든 PC에는 불법 트래픽을 차단하기 위한 개인 방화벽, 웜ㆍ바이러스를 예방 및 치료하는 상용 백신이 깔려있다. 또, PMS를 사용해 자동으로 윈도우 패치관리가 이루어지고 있고, 불법 사용자를 차단하는 IP 관리 툴과 불법 사이트 접근을 차단하는 L7 스위치가 사용자 PC보안을 지켜주고 있다. 장비 회수에는 7회 정도의 포맷으로 하드디스크 초기화 작업과, 폐기시에도 정보 유출을 차단하기 위해 철저한 PC 폐기관리를 하고 있다.


사내에 정보보호 관련 인력은 몇 명인가?


침해사고대응팀(CERT)은 4명으로 구성돼 있다. 하지만 직원들의 적극적인 동참이 없으면, 완벽한 정보보호는 불가능하다. 그래서 모든 사내 직원들이 정보보호 인력이라고 생각한다. 또 그렇게 되어야 한다.


2007년 정보보호 분야에서 새롭게 소개할 만한 내용이 있다면?


통합위험 관리(UTM: Unified Threat Management) 시스템과 웹 방화벽의 필요성이 증가할 것으로 생각한다. CC 인증제 도입으로 더욱 다양한 보안 솔루션이 도입될 수 있으며, 이를 효과적으로 관리하기 위하여 통합 위험관리 시스템은 필수요소가 될 것이다. 또한, 웹 서버의 보안 취약점을 완전히 제거하기 위해서는 웹 서버의 재구축이 필요하지만 현실적으로 불가능하기 때문에 웹 방화벽의 도입 또한 증가할 것으로 예상한다.

 

올해 IT 센터 내에서 계획이 있다면?


올해 1월 1일부터 전자금융거래법이 시행되면서 금융사가 부담해야하는 부분들이 크게 강화됐다. 즉 문제가 발생하면 금융사에서 책임을 져야하기 때문에 IT 센터의 역할이 예전보다 더욱 중요한 상황이다. 따라서 고객 정보보호와 각종 불법침해사고가 발생하지 못하도록 보안에 더욱 신경을 쓸 계획이다. 또 현재 IT 센터 인력이 60여명이다. 이중 정보보호 전담인력은 4명으로 부족하다. 이에 전문인력을 더욱 보강할 계획이다. 

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>