• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[K-ICT 정보보호 대상] SK에너지 우수상 수상 2015.12.10

[인터뷰] SK에너지 장우석 CISO·상무
“정보보호 인식제고 위한 지속적인 교육과 경영진의 전사적 관심이 중요”

[보안뉴스 김태형] ‘제14회 K-ICT 정보보호 대상’ 시상식이 9일 서울 여의도 전경련 회관에서 열렸다. 이날 SK에너지는 우수상인 KISA 원장상을 수상했다. SK에너지는 정유업계 최초로 개인정보보호센터(SOC: Security Operation Center)를 구축·운영하고 있으며, 침해사고 모의훈련, 지속적인 정보보호 교육 등 정보보호 활동을 모범적으로 수행하고 있는 기업으로 평가됐다. 이에 SK에너지 장우석 CISO(상무)를 만나 이번 수상 소감과 모범적인 정보보호 활동을 통한 보안 강화 방안에 대해 들어봤다.

Q. 우선 이번 K-ICT 정보보호 대상을 수상하는 걸 축하드립니다.
SK에너지보다 체계적으로 정보보호 활동을 하는 기업이 많았을 것으로 예상됩니다. 그럼에도 우리 회사가 우수상을 수상하게 되어 기쁘게 생각합니다. 앞으로도 정보보호 수준 향상을 위해 지속적으로 노력하겠습니다.

Q. SK에너지에 대한 간단한 소개와 귀사에서 보안이 필요한 주요 정보자산은 무엇인가요?
SK에너지는 SK이노베이션의 정유사업을 담당하는 자회사로 대한민국 최초의 정유회사이며 대한민국 1위의 정유업체로 주유소(대리점)를 이용하는 고객을 대상으로 주유실적에 따른 포인트 적립 서비스(EBC;EnClean Bonus Card)를 제공하기 위해 개인정보를 수집·활용하고 있습니다. 포인트 적립·이용 서비스 제공을 위해 엔크린닷컴 홈페이지 등 다양한 관련 IT 시스템을 보유∙관리하고 있는 셈이죠. 이에 고객들의 개인정보보호가 가장 큰 이슈라고 할 수 있습니다.

Q. 이와 같은 고객개인정보를 보호하기 위해 귀사에서는 내외부적으로 어떤 노력들을 하고 있나요?
각종 보안 솔루션을 활용해 고객의 개인정보가 누출되거나 손상되지 않도록 방지하고, 암호화 통신 등을 통해 네트워크상에서 개인정보를 안전하게 전송할 수 있도록 조치하고 있습니다. 또한, 침입차단 시스템을 이용해 외부로부터의 무단 접근을 통제하고 있기도 합니다. 아울러 정유업계 최초 개인정보보호센터(SOC: Security Operation Center) 구축 및 운영을 통해 기술적·물리적·관리적 정보보안 활동을 강화하고 있습니다.

개인정보 취급은 요건을 갖춘 최소한의 직원으로 한정시키고 있으며 내부 임직원 뿐만 아니라 외부 수탁사 임직원을 대상으로 온·오프라인 교육을 실시해 개인정보보호와 정보보호 인식 제고를 위해 노력하고 있습니다. 또한, 소중한 고객 개인정보의 유출을 방지하기 위해 지난해 5월 개인정보보호 관리체계(PIMS) 인증을 획득함으로써 엔크린 서비스 이용 고객들이 안심하고 서비스를 이용할 수 있도록 하는 데 최선을 다하고 있습니다.

Q. 귀사의 정보보호 조직 구성 및 인원, 그리고 주요 업무는 무엇인가요?
SK에너지는 엔크린 멤버쉽 서비스 개인정보를 보호하기 위해 전사 조직인 경영기획실에 CPO/CISO 담당 임원을 지정하고 업무 분야별로 관리자를 지정했으며, 별도의 협의회 활동을 통해 개인정보보호와 정보보호 활동을 수행하고 있습니다.

Q. 향후 정보보호 강화를 위해 어떤 계획을 갖고 있나요?
개인정보취급자에 의한 개인정보 오·남용을 방지하기 위해서 온라인 동영상을 통한 정기교육을 실시하는 방법 외에도 법제도, 해킹 등 분야별 외부전문가를 초빙해 다양한 교육을 진행하고 있는데, 이를 더욱 확대할 계획입니다. 또한, 시나리오별 개인정보침해사고 모의훈련을 통해 실제 사고발생 시 신속하게 대응할 수 있도록 체계화하며, 외부 수탁사 현장 점검시 정부 인증(ISMS, 정보보호 준비도 평가 등) 컨설팅 지원을 연 1회 이상 정기적으로 수행해 대내외 개인정보보호 수준을 지속적으로 강화할 겁니다.

Q. 기업의 정보보호 최고책임자로서 기업에서 정보보호 강화를 위해 가장 중요한 것은 무엇이라고 생각하시나요?
기업의 정보보호가 효율적으로 수행되기 위해서는개인정보취급자에 대한 지속적인 정보보호 인식제고 교육을 수행해야 하는 것과 동시에 법·제도와 정책에 대한 명확한 커뮤니케이션, 그리고 IT 인프라 및 보안 솔루션에 대한 예산 투자 확대 등이 복합적으로 이루어져야 한다고 봅니다. 기업의 정보보호는 어떤 한 부분만 부족해도 다양한 경로의 리스크(Risk)가 발생될 수 있으므로 기업 경영진은 전사적인 관점에서 관심을 가져야 합니다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>