개인정보 수집~폐기까지 사이클별로 보안프로세스 정립

SKT, KTF와 함께 국내 최대 통신사인 LG텔레콤은 지난 2001년 국가기반시설로 지정돼 기반시설보호법에 준한 보안상황을 유지해야 하는 기업에 속한다.

이를 기점으로 LG텔레콤은 그해 11월 사내 정보보안팀을 설립했다. 처음 3명으로 시작한 정보보안팀은 IT 시설보안부터 시작하면서 초창기에는 방화벽이나 웜ㆍ바이러스 차단하는 업무부터 시작했다고 한다.

문영식 LG텔레콤 정보기술실 정보보안팀 차장은 “LG텔레콤의 초기 보안은 장비보안과 솔루션운영에서부터 시작됐다”며 “하지만 1.25 대란을 기점으로 기술이나 솔루션만 가지고는 보안이 힘들다는 것을 느꼈다”고 말했다.

2003년 이후부터 LG텔레콤은 초기 장비보안에서 벗어나 정보의 효율적인 관리와 운영에 중점을 두고 전체적인 보안 프레임워크를 구성해 나가기 시작했다.

문영식 차장은 “사내 모든 위험들이 비즈니스에 미치는 영향에 대해 분석하기 시작했다”며 “모든 사안들을 카테고리별로 대응책을 세우고 프로세스를 정립해 나갔다”고 설명했다.

2005년에는 사내 보안관제센터를 설립하기에 이른다. 전체적인 통합모니터링과 대응을 가능하게 하기위한 조치였다. 초기에는 소단위 관제를 시작으로 점차적으로 전사적인 보안관제를 실시해오고 있다.

LG텔레콤 정보보안팀 관계자는 “이제는 시큐리티거버넌스 영역을 가지고 가야 한다”며 “개인정보, 고객정보를 어떻게 보호할 것인가, 회사내 주요 정보를 어떻게 보호할 것인가에 초점이 맞춰져 있다”고 말했다.

한편 정통망법과 기반시설보호법 등에 규정한 법규에 따라 정통부와 긴밀한 협조관계를 유지하고 있으며 메이저 6개 통신사와 네트워크 시큐리티 포럼을 가지고 있다.

정보보호 업체와 협력해 정기적인 모의해킹과 정보보호 안전진단도 주기적으로 실시하고 있다고 한다. 이 기간에는 취약점분석평가와 정보보호수준진단을 실시해 철저한 관리를 해오고 있다고 한다.

특히 정보보안팀은 120여개 항목의 보안 기준을 정해 이를 토대로 정보보호 수준진단평가를 실시하고 있다. 이 진단은 형식적인 것이 아니라 전사를 대상으로 실시하며 실질적인 보안성 평가를 통해 보안의 관리적ㆍ기술적ㆍ물리적 전체 프로세스를 진단하고 있다.

요즘 이슈가 되고 있는 개인정보보호는 어떻게 되고 있을까. 문영식 차장은 “LG텔레콤 회원만 740만 명 가량이다. 기술적인 보안은 정보보안팀에서 관리하고 있고 대외적 민원처리와 영업점 관리는 고객보호팀에서 관리하고 있다”고 말했다.

개인정보보호는 개인정보의 수집, 활용, 폐기까지 전체 사이클에 대한 보안을 생각해야 한다고 한다. 각 사이클별로 보안프로세스를 구축하고 있으며, 사내 모든 프로젝트에 정보보안부합성 검토를 통해 사전에 보안성을 검토하고 있다고 한다.

정보보안팀의 주요 업무는 각종 보안 법률규정에 맞는 정보보안 정책을 마련하고 사내 보안지침과 프로세스를 마련하는 것이다. 특히 이 기업 정보보안팀은 1년에 1회 정보보안 정책을 개정하고 있다고 한다. 죽은 정책이 아닌 그때그때 회사에 필요한 적합한 규정을 마련하겠다는 의지로 보여진다.

물론 보안업무에는 항상 어려움이 따른다. 바로 상하간 커뮤니케이션 문제다. 정보보안팀 관계자는 “얼마전까지만해도 보안은 ‘보험’이라는 개념이 자리잡고 있어서 이를 설득하고 인식을 전환시키는데 어려움이 있었다”며 “특히 경영진 설득에 어려움이 있었지만 이제는 기업 보안이 기업의 생존과 직결된다는 인식이 자리를 잡아가면서 예전에 비해 적극적인 지원이 이루어지고 있다”고 말했다.

문영식 차장은 “지금은 통합과 융합의 시대다. 기존에는 하나의 단위별로 보안을 생각했지만 이제는 전체를 봐야 한다. 그래서 고려해야할 사항도 점점 늘어나고 있다"며 ”LG텔레콤은 디지털 통합과 융합시대에 맞는 보안대책을 현재 준비하고 마련중에 있다“고 밝혔다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>