[사이버 보안]직원 USBㆍ스마트폰 카메라 봉인 등 '내부단속'

기업들 정보유출 방지 비상…이메일ㆍ메신저 내부 전산망서만 열람

“개인정보가 한번 유출되면 고객을 잃고 브랜드 가치가 떨어지는 등 유무형의 피해가 막심한 만큼 철저한 예방이 필요하다.”(김상균 삼성 준법경영실장, 지난해 4월 개인정보보호법 시행 후 첫 사장단회의에서)

해킹 기술이 날로 진화함에 따라 기업들은 보안에 비상이 걸렸다. 개인정보를 보유하고 있는 곳이라면 어디든지 공격의 대상이 될 수 있기 때문에 긴장의 끈을 놓을 수 없는 상황이다. 최근에는 글로벌 정보기술(IT) 기업들의 보안 시스템마저 뚫리면서 불안감이 확산되고 있다.

기업들의 보안정책은 크게 두 가지로 볼 수 있다. 웹 서버를 보호하는 솔루션 적용과 업무 보안 프로세스 강화다.

▲SK텔레콤은 2007년말부터 CIES(고객정보전자보안시스템)를오픈해 고객이 작성한 신청서는 이미지로 변형해 데이터베이스에 보관하고 원본은 고객에게 돌려주고 있다. 사진은 스캔 이미지로 고객정보를 보관하는 ‘U.Scan 시스템.’

◇IT 기업들 ‘보안 또 보안’= 삼성전자는 암호화된 프로그램으로 개인정보를 관리하고 있다. 고객이나 임직원 정보 수집시 반드시 동의를 받고 정보 이용 후에는 곧바로 파기한다.

임직원들은 출근할 때부터 USB 등 이동식 저장장치와 스마트폰의 카메라는 봉인한다. 내방객들은 반드시 등록을 해야 하고 이동식 저장장치 반출입시에는 관련 부서의 결재를 받아야 한다. 직원들의 보안의식 수준을 높이기 위해 지속적인 온·오프라인 교육도 진행하고 있다.

LG전자는 전국 사업장에서 보안 통합관제 시스템을 강화하고 있다. 보안 통합관제 시스템은 LG전자 임직원이 사용하는 이메일, 메신저, 프린터, 출입통제 등 시스템 접속 및 로그 현황을 분석해 기술유출 가능성을 포착한다. 특히 퇴직을 앞둔 임직원, 개인정보 취급자 등 기술유출 위험 가능성이 있는 특정인에 대한 집중분석 및 관리가 가능하다.

업무용 PC에는 보안용 소프트웨어를 설치해 생성·저장되는 전자파일의 무단 복사나 전송을 제한하고 있다. 주요 사내 정보시스템에는 문서보안 솔루션을 적용해 접근 권한이 없는 임직원이 무단 열람, 저장할 수 없게 했다.

◇보안에는 대·중소기업 경계 없다 = 외부 공격으로부터 자산을 안전하게 지키려는 노력은 대·중소기업 구분이 없다.

SK는 내부 정보 유출을 방지하기 위해 문서 입출력 보안시스템을 운영하고 있다. 팩스(FAX), 복사기 등에서 문서 입출력 시에는 이용자의 사번이 같이 찍혀 나온다. 이메일, 메신저를 통한 파일 전송 시에는 내부 전산망을 통해서만 열어 볼 수 있다. 만약 외부에서 열람할 경우 어떤 목적인지 명확한 근거를 남겨야 한다.

GS는 업무용 PC에 저장된 정보는 통합서버에 일괄 저장해 관리한다. 실무자가 외부에 문서를 송출할 때는 부서장의 전자결재 후 발송하는 시스템을 갖추고 있다.

중견기업인 청호나이스는 개인정보가 포함된 데이터베이스 서버를 암호화하고, 비(非) 인가자에 대한 접근 통제 및 감사 기록을 남기는 제어 시스템을 구축하고 있다. 보안서버인증서(SSL)를 통해 데이터 유출을 방지하고, 직원들의 정기적인 컴퓨터 백신 프로그램 점검을 권장하고 있다. 직급에 따라 내부 전산망에 구축한 데이터 접근 권한을 부여해 체계적으로 관리하고 있다.

◇이통·항공사들 ‘생명줄’ 지키기 나서 = 대량의 고객정보를 관리하는 이동통신·항공회사들에게 고객 개인정보는 기업의 ‘생명줄’과 다름없다. 외부 유출시에는 치명상을 입을 수 있는 만큼 이들 기업은 보안에 각별히 신경을 쓰고 있다.

SK텔레콤은 2003년부터 고객의 개인정보 보호 관리와 대응업무를 수행하는 전담 부서를 운영해 왔다. 2008년 하반기부터는 CSO(보안책임자), CPO(고객정보보호 책임자) 조직을 두고 보안업무를 강화했다.

체계적인 고객 개인정보 보호를 위해 개인정보영향평가(PIA)를 시행하고 있으며, 5단계의 라이프 사이클 별로 위험 요소를 분석하고, 보호 체계를 전산화해 일선 영업점에서 발생하는 비정상적인 영업행위를 모니터링하고 있다.

또한 회사 내부의 다양한 접근을 통한 고객정보의 파괴, 변조, 유출 등을 원천적으로 차단할 수 있는 고객정보 보호센터(SOC)를 구축·운영하고 있다.

KT는 고객정보 보호 인프라를 확충하고 서비스 출시 전 보안성 검토 절차를 필수적으로 거치게 하는 등 사전 예방활동을 벌이고 있다.

대리점, 협력사에 대한 개인정보 보호 점검 등 관리 활동을 정기적으로 실시하고 있으며, 대리점의 보안 취약점을 보완하기 위해 일반 PC환경이 아닌 VDI(클라우드 가상화) 솔루션을 적용한 시스템 환경 개선작업을 진행 중이다. 고객센터, 수납센터 등 고객접점 부서에 대해서도 고객정보 안전인증 제도를 통해 보안을 강화하고 있다.

KT는 올해 글로벌 패키지를 기반으로 한 해킹 방지 체계를 갖춘 차세대 영업전산 시스템을 구축할 예정이다.

대한항공은 임직원에게 가이드를 제공해 일상에서 보안 수칙을 준수하게 한다. 24시간 보안관제를 통해 외부의 침입에 대비하고 있으며, 정기적으로 외부 보안전문 업체로부터 취약점 진단을 통해 개선 활동을 펼치고 있다. 또 출입통제 시스템으로 비인가자의 출입을 엄격히 통제하고 있으며, 주요 보안구역은 3중 보안시스템으로 보호하고 있다.