한국정보보호진흥원 주최 기업 정보보호 우수 사례 워크숍 내용

2008.04.24

 

한국정보보호진흥원은 지난 4월 3일, 기업정보보호 우수사례 공유를 위한 '기업정보보호 우수사례 벤치마킹 워크샵'을 개최했습니다. 이 워크숍은 다양한 분야 기업들의 정보보호 시스템 구축 및 관리 그리고 내부 조직 관리 등에 대한 사례발표로 이루어졌습니다. 참여 기업은 정보보호 대상에서 수상한 4개 기업과 정보보호관리체계인증(ISMS)을 취득한 중소기업 2군데에서 발표했는데, 지금부터 우수 기업들은 어떻게 정보보호를 관리하고 있는지 알아보도록 하겠습니다.

나스닥 상장 오픈 마켓인 G마켓은 오픈 마켓이 처해있는 서비스에 대한 보안 위협을 크게 DDoS 공격으로 인한 사이트 접속 중단, 해킹으로 인한 고객 개인정보 유출, 해킹으로 인한 사이트 변조 및 악성 코드 유포, 내부 정보 유출 등 크게 4가지로 나누었습니다.  G마켓의 발표자는 회사 내부의 보안 관련 업무를 수행하기 위해서 보안팀의 독립성이 중요한 요소라고 강조하였습니다. 

G마켓은 UDP Flooding과 TCP Flooding 계열로 나누어 시스템을 구축하였습니다.  몇 가지 사건, 사고 사례를 들기도 했는데 Web 2.0 시대의 가장 큰 이슈인 UCC에 악성코드가 포함된 예를 보여주었습니다.  현재 G마켓은 하루에 등록 혹은 수정되는 상품이 평균 15만개 정도인데 전수 검사를 한다고 합니다. 어플리케이션 담당자들은 KISA나 NCSC의 플랫폼 정보를 받아서 디텍팅을 하고 있다고 했습니다. 또한 access control, monitoring 그리고 encryption을 통한 DB 보안 방법을 제시했는데요,발표자는  한번의 보안 사고로도 회사가 무너질 수 있다는 생각으로 보안 업무에 임한다며 발표를 마무리했다.

데이터 센터 운영업체인 현대정보기술은 세계적인 보안 동향 소개로 발표를 했습니다. 또한 정보보안의 중요성과 더불어 물리적 보안의 중요성도 강조했습니다. 이 회사의 경우 세가지 프레임워크(관리적 분야, 물리적 분야, 기술적인 분야)로 나누어 보안 업무를 진행하고 있다고 합니다.  G마켓과 마찬가지로 보안팀의 독립성의 중요성과 더불어 또한 원활한 보안업무 진행을 위해서는 조직간의 커뮤니케이션 또한 중요 요소라고 강조했습니다.

세 번째는 KT의 고객 개인정보보호 활동이라는 주제로 진행되었습니다.  KT는 9가지 메인 이슈로 설명했는데 고객관리 프로세스개선, 주민번호 도용확인 서비스, 상시 모니터링, PC-DRM, 정보보호교육, 고객정보 안전인증제, 고객동의 텔레마케팅, 보안성 검토 그리고 정보보호 자문단으로 나누어 관리하고 있다고 합니다.

마지막 사례로는 대한항공사가 기업 조직 관리를 위한 보안관제서비스라는 제목으로 발표했습니다. 대한항공은 신속한 사고 대응, 증거 확보, 사고 예방 그리고 가용성 확보로 보안 관제의 필요성을 설명했습니다. 또한 보안 관제의 한계와 더불어 이러한 한계를 넘기 위한 방법에 대해 flow charts를 통해서 보여주었습니다. 이 회사의 경우 보안 관제를 서버단과 PC단으로 나누어서 진행한다고 전했습니다. 

KISA는 중소기업 보안성 강화를 위한 정보보호 지원이라는 주제로 발표했습니다. 정보보호 현황에서는 유형별 정보보호 피해사례를 크게 공유폴더를 통한 영업비밀 유출, 해킹 그리고 개인정보유출 사례, 내부자 관리부재 및 산업스파이로 인한 사건 사고 실태를 보여주었습니다. 또한 정보보호관리체계의 의미와 더불어 수립 방법 및 정보보호관리체계인증을 소개했습니다.