홍기환 농수산홈쇼핑 IT운용팀 차장

 www.besttime.me

 

농수산홈쇼핑은 지난 2001년 TV홈쇼핑 사업을 시작하면서 식품을 중심으로 좋은 상품을 합리적인 가격으로 판매하고 있는 국내 대표적 유통기업으로 성장하고 있다. 현재 400여명의 임직원들이 근무하고 있는 농수산홈쇼핑은 최근 수십만 고객의 개인정보보호를 위해 DB암호화 등 DB보안 시스템을 구축했다. 홍기환 농수산홈쇼핑 시스템 운영팀 차장은 “사내 중요 DB보호와 감사·통제체계 구축과 내·외부 보안 위협에 대응하기 위해 DB보안을 강화하고 정보유출 방지, 그리고 효과적인 DB관리와 운영이 이루어졌다”고 강조했다.

 

농수산홈쇼핑은 지난 2001년 사업을 시작하고 2004년부터 각 팀별 보안담당자인 CIO를 구성해 운영해왔다. 그리고 2006년부터 인프라, 영업시스템, 콜센터 시스템을 통합 운용 관리를 진행하면서 하반기에는 콜센터를 제외한 나머지 운영과 기초 인프라 시스템은 IBM에 아웃소싱을 통해 운영되고 있다.

 

유통업계 선도적인 홈쇼핑 업체로서 농수산홈쇼핑은 다른 업체들과 마찬가지로 여러 가지 보안위협에 직면해 있었다. 특히 올해 초 DB보안 구축 전인 지난 2008년에는 하드웨어 솔루션인 침입방지 시스템과 이메일, 메신저 등에 대한 보안시스템을 구축·운영했으며 24시간 위탁 보안관제 서비스를 지난 2003년부터 진행하고 있었다. 그러나 지난해 외부의 보안 위협 증가와 접근 흔적이 감지되었다. 물론 이로 인해 직접적인 영향은 받지 않았으나 기본적인 보안 시스템 운영만으로는 보안의 한계가 있었고 주기적인 보안체계의 변환도 한계에 달했기 때문에 추가적인 소프트웨어 보안시스템의 필요성을 인식하게 됐다.

 

농수산홈쇼핑이 올해 초 DB보안과 DB암호화를 구축하게 된 계기와 목적은 무엇보다 소중한 고객 개인정보 보호와 정보유출 방지를 위한 조치였다. 홍기환 농수산홈쇼핑 시스템 운영팀 차장은 “DB보안 솔루션 도입을 위해 지난 2008년 11월부터 12월까지 자체적인 보안시스템과 환경 등을 조사하고 적합한 솔루션 검토에 나섰다”며 “특히 고객정보 DB의 암호화가 대두되어 이에 대한 솔루션 도입을 검토하게 됐고 올해 초에 외부 및 내부정보 유출방지를 위해 DB의 암호화 및 접근제어 솔루션을 도입해 개발자 및 기타 사용자의 정보 열람 등을 관리하고 있다”고 설명했다. 농수산홈쇼핑의 DB암호화 솔루션은 이글벌시스템의 큐브원을 도입했고 DB접근제어 시스템은 웨어밸리의 샤크라를 함께 도입·구축했다. 

 

농수산홈쇼핑이 DB보안 구축시 가장 고려했거나 어려웠던 점은 무엇보다 구축당시 사내 시스템 환경의 차이점과 이메일 보안에 대한 각 업무 담당자에 대한 설득이 가장 어려웠다는 점이다. 하지만 농수산홈쇼핑 임직원들은 점차적으로 보안의 중요성을 인식하고 상호협조하며 업무의 편의성을 최대한 고려해 보안을 강화했다고 홍 차장은 덧붙였다.

 

특히 이글로벌시스템의 DB암호화 솔루션을 선택·도입하게 된 이유에 대해 홍 차장은 “우선 타 시스템과 비교와 검토를 많이 했다. 디아모라는 솔루션과 비교를 많이 했지만 이글로벌시스템의 성실성과 타사와 차별되는 참신한 솔루션 자체에 높이 평가해 이를 도입했다”고 말했다. 그는 또 무엇보다 중요한 점은 DB에 부하를 주지 않고 암호화 키 생성의 분리와 별도 관리가 장점이라고 꼽았다. “이를 위해 테스트 DB를 구축한 후 여러 가지 기능을 테스트한 결과 고객정보 조회 등의 처리 속도측면에서도 평균적으로 빨라지는 등의 만족스러운 테스트 결과가 나왔다”고 밝혔다.

 

무엇보다 농수산홈쇼핑에서 DB보안 시스템 구축 후에 나타난 가장 큰 효과는 개인정보 보호와 정보유출 방지를 강화했다는 점이다. 홍기환 차장은 “국내 5대 홈쇼핑 서비스 업체로 민감한 고객정보를 암호화함으로써 정보통신망법의 준수와 업계 선도적인 개인정보보호조치를 시행하고 고객개인정보 유출사고의 위험으로부터 벗어나 안정적인 사업을 전개하기 위해서 지난 해 말부터 DB암호화 접근제어 시스템을 구축해 시너지 효과를 확대시켰다”고 말했다.

 

그는 특히 사내 중요 DB보호와 감사, 통제 체계 구축과 내·외부 보안 위협에 대응하기 위해 DB보안을 강화했으며 구축 후에는 실시간 감시 모니터링, 고객 주민번호와 신용카드 번호를 암호화해 비인가자와 DB 유저에 의한 접근과 조회, 그리고 정보유출을 방지하고 효과적인 DB관리와 운영이 이루어졌다고 강조했다.

 

또한 홍 차장은 “현업 부서와 의견 차이가 커서 이메일이나 메신저 보안에 대한 보안 강화에 대한 반발이 컸으나 꾸준한 보안 교육과 보안 업무의 생활화로 점차 사내 정보보안에 대한 의식이 달라졌다. 이로 인해 그동안 미흡했던 사내 보안 교육을 정기적으로 실행하는 계획을 추진하고 있다”고 언급했다.

 

홍기환 차장은 국내 기업의 보안 환경에  “국내 기업 대부분이 우리보다 먼저 DB보안을 비롯해 여러 가지 보안 솔루션을 도입해 운영하고 있는 것으로 안다”며 “대부분이 이를 지속적으로 수정·보완하고 있으나 아직까지는 DB정보에 대한 자산평가 가치의 비중이 저평가 되고 있고 이에 대한 기업의 투자 의식이 낮다”고 지적했다.

 

특히 그는 기업들마다 나름대로 보안을 위해서 비용투자를 하고 시스템을 도입하고 있지만 투자에 대한 비율이 낮고 보안에 대한 인식이 낮다는 점을 강조했다. 또한 기업에서 보안은 아직도 비즈니스 측면에서 하위권으로 밀려나 있어 기업의 CIO 또는 보안 담당자가 많이 노력해야만 CEO도 보안에 대한 관심이 높아질 것이라고 말했다.

 

이에 농수산홈쇼핑 경영진도 지난해부터 보안에 대한 인식이 높아져 보안을 강화해 나가고 있으며 지속적인 비용 투자를 통해 보안을 강화하고 있다. 특히 콜센터에서는 특정 폴더 외에 쓰기 권한이 없고 일반 현업담당자와 DB 담당자들에게도 화면캡처와 프린트 기능을 없애고 필요시에는 해당 사업 본부장의 승인 후에만 가능하도록 보안을 강화했다.

 

홍기환 차장은 DB보안을 도입하려 한다면 먼저 사내 DB환경을 정확히 파악해야 한다고 말했다. 그리고 구축완료 후에 적용시에는 주기적으로 보안정책 변경과 관리가 이루어져야 한다고 강조했다. 또한 모니터링을 통해 보안 취약점에 대한 부분은 추가적으로 대응책을 마련하는 등 보안취약점 관리를 강화해야한다고 덧붙였다.

 

즉 DB보안 도입시 구축방향과 범위 등 명확한 요건을 갖추고 시스템 영향도 평가와 안정성, 그리고 신속한 복원성을 충분히 비교·검토한 후에 도입해야 한다는 것. 그리고 도입 후에는 시스템에 대한 영향도를 평가해야 한다. 시스템 영향도 평가는 기업 보안 담당자와 시스템엔지니어, 그리고 공급업체 담당자 등 주요 관계자들이 모두 함께 평가해야 한다고 설명했다.

 

홍기환 차장이 생각하는 기업 정보보호와 관련한 정부 정책의 문제점과 개선점은 무엇보다 일관성과 실효성이다. 즉 정책 지침의 하달이 늦어 문제가 발생한다는 것. 특히 그는 정책 마련에 대한 공지가 늦어져 이보다 미리 준비하거나 대응책을 마련한 기업과 맞지 않다는 점을 꼽았다. 또 너무 포괄적인 부분은 기업 입장에서 이를 따라가기가 어렵다는 것도 문제라고 지적했다.

 

아울러 그는 “관련된 배포 교육자료도 너무 미흡하다. 제대로 만들어진 교육자료를 제작·배포해 현실에 맞게 활용이 되었으면 좋겠다”고 말했다. 특히 대부분의 정책들이 현실과 괴리되어 있어 좀 더 현실적으로 활용될 수 있는 정책 마련을 기대한다고 덧붙였다.

 

이와 더불어 기업에서의 보안 정책에 대해 그는 최근 기업내 CSO(정보보안 책임자)의 필요성은 높아지고 있는데 모든 기업들에 있어서 CSO는 반드시 필요하다는 입장을 밝혔다. CSO를 통해 기업내 정보관리가 전문 인력들을 통해 조직적이고 체계적으로 이루어져야 한다는 것. 특히 그는 “고객의 정보가 기업의 비즈니스에 있어서 중요한 자산이다. 이로 인해 기업의 부가 축적되는 기본이 되고 이를 통해 매출이나 이익이 증대된다”고 설명했다.

 

아울러 그는 이를 위해서는 기업 내에서 정보보안의 중요함을 인식하고 지속적인 교육을 통해 직원들의 보안의식을 향상시키는 노력이 필요하다고 강조했다. 

 

농수산홈쇼핑은 향후 지속적인 성장과 발전의 밑거름이 되는 고객들의 개인정보를 보호하고 향후 고객들의 계좌번호에 대한 암호화도 추가적으로 추진해 보안을 강화해 나갈 계획이며 각 현업 담당자들의 보안의식 고취를 위해 엔드포인트 보안 시스템 구축을 계획하고 있다. 특히 DRM이나 통합PC 보안 시스템을 통해 지속적인 보안을 강화해 나갈 방침이다.

 

[월간 정보보호21c 통권 제111호(info@boannews.com)]