취업사이트 중 유일한 ‘i-safe’마크 보유

각종 데이터 암호화...중요한 DB는 별도 보안코드로 보호

인크루트(대표 이광석 www.incruit.com)는 현재 개인회원 330만 명에 기업회원이 90만에 달한다. 이 기업의 400만 명 이용자들의 정보는 어떻게 보호되고 있으며, 내부 직원들의 정보유출은 어떻게 방지되고 있을까. 다음은 박창순 인크루트 정보시스템팀 과장과 인터뷰 내용이다.

Interview

박창순 인크루트 정보시스템팀 과장 

-취업사이트는 민감한 개인정보가 가득한 회원 이력서 DB를 다량 보유하고 있다.  보안문제에 대해 어떻게 생각하고 있나?

인터넷서비스를 제공하는 기업이라면 마땅히 회원들의 개인정보를 철저하게 관리해야한다고 생각한다. 특히 취업사이트들은 회원들의 상세한 개인정보가 적힌 이력서DB가 있기 때문에 이를 관리하는 책임이 막중하다. 인크루트는 개인정보보호를 매우 중요시하며 특히 개인회원들이 믿고 맡겨준 이력서를 소중하게 관리해야한다는 책임감을 가지고 있다.

개인의 신상정보가 담긴 이력서와 기업정보 등 보안이 필요한 개별 정보들을 다루는 만큼 개인정보보호와 고객이 믿을 수 있는 서비스를 위해 고객만족인증제, 불량기업신고센터, 이력서보안서비스, 일대일 상담서비스 등 다양한 안전장치를 설치, 운영해왔다.  

또한 이용자의 개인정보 보호를 위해 필요한 기술적 조치들을 설정하고 ‘정보통신망이용촉진및정보보호에관한법률’ 상의 개인정보보호규정 및 정보통신부가 제정한 ‘개인정보보호지침’을 충실히 이행하고 있다. 

이러한 노력을 인정받아 2005년부터 2007년까지 한국소비자가 선정한 ‘신뢰기업대상’을 3년 연속 수상해 취업ㆍ인사부문에서 업계 최고의 신뢰기업임을 입증받았다. 또 2001년 경실련이 선정한 ┖시민이 뽑은 개인정보 우수사이트┖로 뽑혔고, 2004년~2007년 4년 연속 한국정보통신산업협회의 ┖개인정보보호 우수사이트┖(e-privacy)로 선정된 바 있다.

2006년에는 업계에서 처음으로 인터넷사이트 안전마크인 ‘i-safe’를 획득하였고 현재까지 안정성을 인정받고 있다. 작년에 이어 올해(2007년)에도 안전마크 인증을 받아 현재 취업사이트 업계에서는 유일한 ‘i-safe’마크를 보유하고 있다.

-내부 직원의 고객 이력서 DB 접근은 어떻게 통제하고 있나?

입사 시 직원의 보안서약서를 통해 사람에 의한 정보유출을 사전에 방지한다. 인크루트는 원칙적으로 내부직원의 개인정보 접근을 막고 있다. 또한 이력서 개발 담당자만이 서비스 개선을 위한 목적으로 필요한 경우라도 보안담당자의 철저한 통제하에 제한된 범위에 제한된 권한으로만 접근할 수 있으며 접근 기록도 보존하고 분석하고 있다.

개인정보를 취급하는 직원을 대상으로 새로운 보안 기술 습득 및 개인정보 보호 의무 등에 관해 정기적인 사내 교육 및 외부 위탁교육을 실시하고 있다. 개인정보 관련 취급자의 업무 인수인계는 보안이 유지된 상태에서 철저하게 이뤄지고 있으며 입사 및 퇴사 후 개인정보 사고에 대한 책임은 명확히 하고 있다. 또한 자체적인 감사절차에 의해 정기적인 감사를 시행하고 있다. 

또 인크루트 서비스가 가지고 있는 가장 큰 장점은 신뢰성 있는 정보 제공이다. 인크루트는 서비스를 이용하고 있는 회원들의 의견과 이전의 채용공고 등을 참조해 믿을 수 있는 정보만을 제공하고 있다. 또한 불량기업리스트를 선정, 회원모집을 목적으로 하는 채용공고, 다단계 판매 등 불량채용공고를 올리는 기업에 대해서는 가입 자체를 금지하고 있다.

또한 신뢰성 있는 정보를 바탕으로 기업정보검색서비스를 제공하고 있다. 검색창에서 기업명을 입력하면 해당 기업에 관련된 사업내용, 자본금, 직원수, 인사정책, 복리 후생 등에 대한 정보를 받아 볼 수 있다. 이와 함께 한국 신용평가원에서 제공하는 기업평가에 관한 정보도 받아 볼 수 있다.

내부 직원들에 대한 권한관리뿐만 아니라 고객 및 기업들에 대한 권한관리도 철저히 하고 있다. 특히 유료 기업회원이라 하더라도 자사가 올린 채용영역에 대해서만 지원자에 대한 정보를 열람할 수 있도록 하고 있다. 즉, 마케팅 인력을 구한다고 채용공고를 낸 기업만이 마케팅에 응모한 지원자들의 이력사항을 열람할 수 있게 한 것이다.

물론 개인들이 취업을 위해 이력서를 사이트에 올릴 때에도 전체공개, 전체비공개, 부분공개 중에서 본인 희망에 따라 자유롭게 선택할 수 있도록 하고 있다.

개인들의 정보보호를 위해 ‘블랙리스트’를 작성, 이 명단에 오른 기업에 대해서는 이용을 제한하고 있다. 구인광고를 허위로 올림으로써 구직자들의 개인정보를 악용한다든가, 구직자들을 영업의 대상으로 삼는다든지 하는 기업체들은 블랙리스트에 올려 고객들의 피해를 예방하고 있다. 

-해킹에 대해서는 어떤 대비를 하고 있나?

인크루트에 보유한 파일 및 각종 데이터는 암호화되어 전송되며 중요한 데이터는 별도의 보안 코드를 통해 보호되고 있다. 회원의 개인정보가 유출되는 것을 막기 위해 현재 방화벽, 웹방화벽, 침입탐지시스템, 백신 소프트웨어 등 보안솔루션을 24시간 운영 및 감시하고 있으며 프로그램은 예외스크립 처리, 로봇 차단 스크립 등 보안규정에 맞는 코드로 개발하여 외부로부터의 불법적인 접근 차단과 해킹을 차단하고 있다.

웹서버스의 취약점으로 인한 패치는 항상 최신으로 유지하여 취약점을 최소화하여 운영하고 입다. 또 회원 개인정보의 훼손에 대비해서 시스템과 데이터를 백업하여 만약의 사태에 대비하고 있다. 

한편 인크루트의 모든 서버는 IDC에서 운영하여 시스템 운영 환경을 최적화하여 운영중이며 서버실 접근은 제한된 관리자만이 출입할 수 있도록  권한관리시스템을 도입하고 보안 실무자가 감시와 통제를 하고 있다. 또한 숙련된 시스템운영자 및 보안 전문가를 양성 및 관리하여 현재까지 고객정보 유출 사고나 피해를 입지 않고 있다.

-최근 이력서 DB 관련 주요 보안정책이 있다면?

최근 보안업체와 협력해서 웹을 통한 개인정보누출을 차단하기 위해 웹보안서비스를 점검하고 보완했다. DB보안과 관련해서는, DBA (DB관리전문가)외 담당 개발자만 제한된 권한으로 접근 가능하도록 설정되어 있으며 확장프로시저 등 불필요한 권한은 최소화하여 운영하고 있다. DB 접근 로그인인증은 혼합인증(DB Authentification+Windows Authentification)을 설정 운영중이며 서비스포트는 별도의 포트를 지정하여 DBA외 제한된 접근자만이 공유하고 주기적으로 변경하여 보안을 강화하고 있다.

아울러 한국정보통신산업협회 산하 개인정보관리책임자(CPO)협의회에 가입하여 개인정보보호에 관련된 정보를 교환하고 개인정보보호인식확대를 위해 노력하고 있다. 

-포털 등에서는 보안 업체와 협력해 이용자들에게 보안솔루션 지원을 하고 있는데 이러한 서비스는 이루어지고 있나?

인크루트는 정부 및 공인인증기관 인증사인 안랩코코넛사와 협력하여 방화벽, 웹방화벽, 침입탐지시스템 등 보안솔루션을 운영하고 24시간 관제 및 감시를 하고 있다. 주기적으로 보안컨설팅을 받아 네트워크 및 서버의 취약점 점검과 분석을 진행하고 있다. 이를 통해 서비스, 서버, 네트워크 및 DB의 보안을 유지해나가고 있다.

-보안팀은 별도로 구축돼 있나?

인크루트는 별도 보안책임자와 담당자를 지정하여 운영하고 있다. 개인정보 관리 및 책임자와 개인정보 관리 담당자를 별도로 두고 있다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>