내실화 통한 보안 선진체계 구축에 중점

내부정보 유출방지위해 메일 백업 솔루션 도입

최근들어 고객의 개인정보를 많이 보유하고 있는 기업일수록 이를 보호하는데 상당한 부담감을 느끼는 분위기다. 지난해 모 금융기관에서는 직원 실수로 고객의 민감한 개인정보가 유출되면서 이것이 민사소송으로까지 확대됐고 법원이 피해자들의 손을 들어주면서 은행은 개인정보유출피해 당사자들에게 위자료를 지급하라는 판결까지 나왔다.  

특히 전자금융거래법의 강화로 금융권은 사고에 대해 철저한 사전·사후 대책 및 증거자료를 마련하지 않으면 피해에 대해 고스란히 배상을 해야 한다. 이런 상황에서 기업 정보유출의 80% 이상을 차지하고 있는 내부자에 의한 정보유출 피해를 막기 위해 내부통제와 감사 솔루션 도입이 활발히 이루어지고 있다.

대한생명, 2000만 건의 고객 DB를 사수하라!

고객 DB를 2000만 건 가량 보유하고 있는 대한생명(www.korealife.com)의 정보보호를 책임지고 있는 IT운영 2팀(정석열 팀장)이만재 정보보호 프로젝트(pit)리더를 만나 내부 관리적 보안프로그램을 어떻게 운영하고 있는지에 대해 들어봤다. 그는 “메일 백업 솔루션을 도입하면서 내부정보유출에 대한 사전예방이 잘 이루어지고 있다”고 말하고 있다. 그 자세한 이야기를 들어보도록 하자.

국내 대표적인 생명보험사인 대한생명은 지난해 한국기업평가에서 보험금지급능력 부문 신용등급 AAA를 획득할 만큼 고객신뢰도가 높은 기업이다. 특히 지난 2005년 12월에는 국내 최초로 ISO 27001을 획득하면서 관리적 보안체계 구축도 마무리한 상태다. 그리고 보안체계 구축과 더불어 2006년까지 거의 대부분 국내 출시된 보안솔루션들은 대부분 우선적으로 도입하는 기업으로 알려져 있다.

그만큼 보안에 있어 관리적·기술적 체계가 잘 갖춰진 기업이라고 볼 수 있다. 대한생명의 정보보호 pit를 맡고 있는 이만재 과장은 “2006년까지 관리적 측면과 기술적 측면에서 안정적인 구축이 이루어졌기 때문에 2007년에는 이를 내실화하는데 초점을 맞춰 보안프로젝트를 진행해 왔다”고 말했다.

지난 2005년 ISO 27001을 획득하면서 얻은 중요한 자산은 바로 위험분석체계다. IT자산에 대한 리스크 분석 시스템을 갖추면서 장비 도입에만 그치는 것이 아니라 외부 위협정도 파악, 취약성 분석, 보안 중요도 산출 등 정보자산별로 리스크의 수치를 계량화해 보안 투자의 운선순위를 정하고 이를 통해 더욱 내실화된 보안이 이루어질 수 있도록 프로세스를 만드는데 2007년을 투자한 것이다.

즉 대한생명내 보안의 관리적·기술적 부분에 대한 인프라 체계를 구축한 후 이를 더욱 내실화하고 고도화하는 프로세스를 정립하고 있는 중이라고 할 수 있다.

고객정보보호위해 2007년 전문 보안컨설팅 실시

특히 2007년에는 고객정보보호에 초점을 맞췄다. 이만재 과장은 “고객정보보호에만 특화된 컨설팅을 지난해 3월~9월 동안 집중적으로 받았다”며 “이 기간을 통해 고객정보의 라이프사이클에 대한 철저한 보안프로세스를 정립하고 고객정보의 입·출 절차 등 고객정보보호에 대한 관리체계를 구체적으로 확립하는 큰 계기가 됐다”고 말했다.

지난해 9월까지 고객정보보호 컨설팅을 이행했고 12월까지 관련 취약점 전 부분에 대한 수정작업을 진행해 철저히 보안 프로세스를 정립한 상태라고 한다. 이를 통해 고객정보보호 관리체계에 대한 방법론도 구축해 이를 잘 활용하고 있으며 매년 업데이트해 나갈 방침이라고 한다.

한편 내부 통제에 대한 관리적 프로세스 정립을 위해서도 상당한 노력을 기울이고 있다. 계정관리나 권한관리·인력관리 등의 프로세스를 말한다. 이를 통해 관리 체계를 세밀하게 설정했고 특히 메일 백업 솔루션을 통해 외부로 나가는 모든 정보를 사전 관리하도록 했다.

이외 직원 PC를 통해 나가는 모든 정보를 차단하기 위해 USB와 CD등 모든 외부 저장장치에 대한 사용을 금하고 있으며 프린트 시에도 문서에 워터마크를 찍도록 관리하고 있다. 특별히 외부에 정보를 가져나가야 할 경우에는 사전 승인을 받아야 하고 암호화를 통해 외부에서 유출이 됐다 하더라도 안전성을 확보하고 있다.

 

메일 백업 솔루션...사전·사후 정보유출 예방-탐지에 효과 커

특히 지난 2006년 메일 백업 솔루션을 도입하면서 그는 “이 솔루션의 도입은 민감한 사안이다. 직원들의 프라이버시 문제와 직결되기 때문에 이를 직원들 몰래 도입하는 경우도 있다”며 “하지만 직원들의 동의를 받고 회사 발전을 위해 정보보호 차원에서 도입해야한다고 설득해 공개 도입이 원활하게 이루어질 수 있었다”고 밝혔다.

메일 백업 솔루션 도입 이유는 내부 중요 정보가 온라인 등을 통해 외부로 나가는 모든 경로들에 대한 사후추적을 위해 도입한 것이다. 즉 이미 유출된 정보에 대한 모니터링 기능을 강화하기 위해 도입한 솔루션이지만 결국 이를 공개도입하면서 직원들 전체가 이를 알고 ‘정보유출을 시도하면 처벌을 받을 수 있다’는 분위기가 조성되면서 사전예방효과도 함께 증가하는 효과를 볼 수 있다고 한다.

메일 백업 솔루션은 기본적으로 직원들의 동의가 있어야 프라이버시 문제에서 자유로울 수 있다. 만약 이 문제가 원활하게 해결되지 않는다면 도입후에도 문제가 발생할 소지가 있기 때문이다.

이 솔루션은 설정에 따라 보안레벨이 달라지며 키워드 검색만으로도 큰 관리적 어려움 없이 모니터링이 가능하다. 중요 키워드로는 고객의 중요 정보를 포함하고 있는 데이터의 키워드를 주로 사용한다.

이 과장은 “처음 도입시 너무 과도한 키워드 검색어를 설정하다보면 검색양이 많아 제대로된 모니터링이 이루어지지 않는다”며 “불필요한 오탐이 나오지 않도록 하는 것도 관리 노하우”라고 설명했다. 즉 도입후 검색어 정제화를 통해 실질적인 모니터링이 이루어질 수 있다고 한다.

이 과장이 말하는 메일 백업 솔루션 관리 노하우의 가장 큰 비중을 차지하는 것은 ‘키워드 정제화’다. 만약 이 작업이 이루어지지 않는다면 관리인력 1명이 계속 모니터링 작업에만 매달려 있어야 한다는 것. 키워드 정제화 노하우만 쌓이면 특별히 손이 많이 가는 솔루션이 아니기 때문에 투자대비 내부정보유출방지에 큰 효과를 볼 수 있다고 말하고 있다.  

 

모니터링 솔루션, 직원 동의 이끌어내 공감대 형성이 중요

또 일부 기업에서 이 솔루션을 도입하면서 직원들의 동의없이 솔루션을 비공개로 도입하는 경우가 있다고 한다. 하지만 이 과장은 “도입이 결정되고 가장 먼저 한 작업이 정보유출방지를 위해 이 솔루션이 필요하다는 것을 직원들에게 설득하는 일이었다”며 “완전히 오픈하고 고객들의 정보를 보호해야 한다는 취지를 설명하면서 직원들의 공감대를 끌어냈다. 잘못하면 회사가 직원들을 감시하기 위해 모니터링 솔루션을 도입했다고 오해할 수 있기 때문에 모든 부분을 오픈하고 설득해 나간 것이 직원들의 동참을 이끌어내는데 가장 주요했다”고 덧붙였다.

만약 사고가 발생하면 어떤 조치들이 이루어질까. 우선 키워드 검색으로 유출징표가 나타났다면 팀장이 우선 확인한다. 오탐에 의한 검색이 나올 수도 있기 때문이다. 오탐이 아니라 실제 사고였다고 판단이 되면 이 사실을 임원진에게 보고해 사안의 경중에 따라 사내 처벌규정대로  처벌하게 된다. 하지만 이 솔루션 도입후 대한생명에서는 단 한건의 정보유출 사고도 없었다고 한다.

 

이 메일 백업 솔루션은 대한생명 임직원에서부터 말단 설계사 그리고 외부인력 등 누구든 사내망에 접근하면 적용되고 있다. 이를 통해 정보가 유출될 수 있는 모든 경로를 차단하는 것이다.  

2008, 보안 내실화작업을 통해 선진보안구축에 주력

한편 대한생명은 2008년 주력사업으로 보안 내실화 작업을 더욱 강화한다는 방침을 세우고 있다. 내실화를 통한 선진보안체계를 구축하겠다는 전략이다. 특히 보안 사고의 80%가 내부직원에 의해 발생하고 있는 만큼 내부인력에 대한 보안체계를 구축하는데 더욱 주력하겠다는 것이다.

즉 내부 시스템에 대한 관리자 계정에 대한 철저한 관리와 시스템에 대한 접근 모니터링, 로그관리 체계, 사전·사후 모니터링 강화에 주력하겠다는 것이다.

이 과장은 “대한생명은 파이어월·안티바이러스·웹방화벽·ESM 등 기존 대부분 보안솔루션을 도입·운영하고 있다. 웹방화벽만 해도 시장 초기에 도입해 실시간 모니터링 체계를 구축했다”며 “개발시에도 소스를 검토해 보안검증 심의를 통과하지 못하면 오픈할 수 없도록 하고 있다”고 말했다.

2008년에 구축 예정에 있는 부분은 ‘가상 웹하드’를 구축하는 일이라고 한다. 각각의 애플리케이션을 가상 웹하드에 올려놓고 그 속에서만 다운로드할 수 있도록 하는 것이다. 리얼 PC에는 다운로드 할 수 없도록해 정보유출을 원천적으로 차단하는 방식이다. 물론 가상공간 안에서도 로그기록이 남으며 이를 프린터로 출력할 때도 모든 기록이 남도록 하는 것이다.

또한 보안교육 강화에도 힘쓰고 있다. 이 과장은 “보안에서 가장 중요한 부분은 역시 교육이다. 기본적인 보안 마인드가 흐트러지면 아무리 솔루션으로 막으려고 해도 보안이 이루어질 수 없다”며 “대한생명은 임직원과 설계사까지 모두 포함해 3만명 정도규모다. 이들이 철저한 보안의식을 유지할 수 있도록 임직원은 1년에 15시간 보안교육을 의무적으로 받아야 한고 설계사들은 컨텐츠를 만들어 위성방송을 통해 아침 조회시간을 이용해 6회에 걸쳐 방송교육을 실시한다”고 강조했다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>