옥션
옥션(http://www.auction.co.kr)은 국내 최대 전자상거래업체로 회원 거래정보 관리가 사이트 신뢰도 향상에 핵심적인 역할을 한다. 따라서 직원들의 정보보호의식을 높이는 데 역점을 두고 있다. 직원대상으로 주요 정보보호 자산의 보호 및 기밀 유출방지를 위한 정기적인 교육을 실시하고 있으며 정보시스템에 대한 접근권한 절차규정도 갖추고 있다.
옥션의 보안시스템은 크게 침입차단·침입탐지·원격관리 등의 3단계로 구분된다. 침입차단시스템은 장애대비 이중화시스템으로 구성돼 있고, 침입탐지시스템은 상·하단으로 그 역할을 구분해 탐지하고 있으며 외부로부터의 접근통제를 위해 가상사설망 시스템에 의한 원격관리가 이루어지고 있다.
또 옥션 내부뿐 아니라 위탁업체를 통한 실시간 탐지 및 모니터링체계를 갖추고 있어 장애대응 및 보고절차가 신속하게 이뤄진다. 주요서비스를 제공하는 시스템의 경우 스케줄에 의거한 정기적인 백업관리가 실시되며 시스템의 주기적인 진단과 검사를 한다. 주요 보안지역 및 정보보호시스템에 대한 접근통제도 시행된다. 이와 같은 일련의 노력을 통해 외부로부터 다수의 해킹·공격·침입시도가 있었지만 옥션은 단 한번도 피해를 입지 않았다고 한다. 지난 11월 29일에는 한국정보통신산업협회로부터 개인정보보호마크도 획득했다.
옥션은 사내 정보보호는 물론 인터넷업계 전반의 공조를 위해서도 힘쓰고 있다. 지난 7월 말에는 코리아닷컴·하나로드림·롯데닷컴 등 주요 인터넷업체의 정보보호업무 책임자들이 모여 ‘개인정보관리책임자협의회(http://www.trustmark.or.kr)’를 결성했으며 고객지원팀장이자 개인정보보호 책임자인 탁수신 부장이 초대회장으로 선출됐다.
수상 소감-이재현 사장
옥션을 방문하는 네티즌은 하루 55만명에 이른다. 이는 오프라인 단일시장으로 국내 최대 규모인 남대문시장의 유동인구를 능가하는 것이다. 또 지난 2분기에 인터넷 쇼핑몰을 포함한 전자상거래업체로는 처음으로 분기기준 1000억원 거래시대를 열고 업계 최초로 회원수 500만명을 돌파하기도 했다.
따라서 옥션은 개인정보보호에 대한 책임의식을 매우 중요하게 여긴다. 옥션은 전자상거래의 안전성과 신뢰도를 높이기 위해 보안시스템을 침입차단·침입탐지·원격관리라는 3단계로 구분해 만에 하나 있을지 모르는 외부의 침입에 대비한다. 또 전직원을 대상으로 정보보호에 대한 정기적인 교육을 실시하고 있다. 이러한 노력은 더욱 많은 사람들이 신유통 혁명으로 떠오르고 있는 전자상거래를 보다 애용하는 데 밑거름이 될 것이다.
LG홈쇼핑
LG홈쇼핑(http://www.lghs.co.kr)의 정보보호 업무는 크게 기술적·관리적·물리적 부문으로 구분된다. 우선 기술적 부문에선 시스템의 취약점 분석을 통한 종합적 대처를 마련했으며 방화벽을 이중화·계층화 구성으로 만들었다. 또 수시로 모의 해킹훈련을 해 서버 및 네트워크 취약성을 점검하며 컴퓨터 바이러스에 의한 피해방지를 위해 전 시스템에 백신 프로그램을 설치했다. 이에 따라 인터넷 안전 사이트와 개인정보보호 우수 사이트 등으로 선정됐다.
관리 측면은 BS7799(ISO17799)에 기초한 컨설팅 방법론을 적용해 전사적인 보안현황 및 보안위험을 파악하고 최적의 대응책과 방향성 제시를 통해 선진 보안수준을 달성할 수 있는 정보보호 마스터플랜을 수립했다. 전사 정보보호 마스터플랜 추진으로 전사 정보보호 정책이 마련됐다. 이에 따라 정보보호 정책의 체계적인 관리가 이루어지고 있으며 보안위원회·보안협의회·보안담당팀 등 관리를 위한 보안조직을 강화했다.
LG홈쇼핑이 운영하는 LG이숍의 경우 SSL이 적용된 상황에서 본인만 알 수 있는 주민등록번호 및 암호를 넣어야만 결제가 되도록 함으로써 고객이 안전하게 쇼핑할 수 있게 만들었다. 특히 입사시 전직원의 보안서약서를 통해 사람에 의한 정보유출을 사전에 방지하고 개인정보보호 정책에 대한 이행사항 및 직원의 준수여부 감사를 위한 내부절차를 마련했다.
마지막으로 물리적 측면은 도청을 방지하기 위해 무선마이크를 사용하지 않으며 사내 곳곳에 폐쇄회로TV를 설치해 만에 하나 있을지 모르는 사고를 미연에 방지하도록 했다.
수상 소감-최영재 사장
성장세를 보이고 있는 인터넷 쇼핑 문화가 뿌리를 내리기 위해서는 ‘소비자의 신뢰’가 필수적이다. 물건을 직접 만져 보고 살 수 없다는 취약점은 중요한 순간마다 성장의 발목을 잡을 수밖에 없다. 이런 점에서 정보보호를 위한 투자는 비용의 개념이 아니다. 인터넷 쇼핑 산업의 항구적 발전을 위한 필수요건이라 할 수 있다. LG이숍은 고객에게 상품과 서비스의 믿음을 주기 위해 노력하고 있으나 고객정보를 보호하는 데도 뒤지지 않도록 노력하고 있다.
보완시스템 이중화·계층화를 이뤘으며 수시로 모의 해킹시험까지 실시하고 있다. 전사적인 보안현황 및 보안위험을 파악하고 최적의 대응책과 방향성 제시를 통해 정보보호 마스터플랜을 수립했다. 또 안전하게 결제할 수 있도록 본인만 알 수 있는 주민등록번호 및 암호를 입력하도록 하고 있다.
한국전자석유거래소
한국전자석유거래소(http://www.oilpex.com)는 업계 선도적으로 전자인증·서명 시스템을 갖추고 모든 거래시 발생할 수 있는 문제를 시전에 방지할 수 있도록 시스템을 갖췄다. 설비는 IDC업체를 활용함으로써 무정지 운용체계를 확보, 거래자의 안전을 보장하고 있다.
또 한국정보통신산업협회에서 주관하고 있는 인터넷 안전마크 및 개인정보보호 마크를 획득해 대외 공신력을 확보했으며 개인정보보호관리책인자협의회의 회원으로 활동하면서 운영 및 관리상의 미비점을 제도적으로 보완했다.
한국전자석유거래소는 CEO·CIO들이 정보보호에 대한 중요성을 인식해 가능한 한 정보보호 관련 인력과 예산은 적절하게 책정해 운영하고 있다. 모든 보안관련 업무처리는 정보보호 관리 및 처리지침에 의거해 운영하고 있으며 문제발생시 신속하게 처리하고 보고하는 체게적인 처리시스템을 갖추고 있다.
정보보호는 기업의 수익적 측면에서 보면 투자만 있을 뿐 수익이 발생하지 않으므로 대부분의 기업들이 소홀히 하는 경우가 많다. 따라서 예산 및 인력 확보 측면에서 어려움을 겪는다. 물론 한국전자석유거래소도 비용 측면에서는 모든 회사와 마찬가지로 보안관련 예산마련이 쉽지 않다. 하지만 이 회사는 금전적인 투자뿐 아니라 운영상의 제도적 장치에 초점을 맞추고 있다. 추가적인 투자 및 인력 확보에는 예산이 동반되므로 한정된 재원으로 완벽한 보안을 해결하는 것이 어려움으로 나타나고 있다. 이 회사는 이를 유관기관과의 협조로 보안의식 강화 등 내부관리 측면에서 보완하고 있다. 그 결과 그동안 수상한 각종 인증 및 상장으로 대내외 이미지와 신뢰도가 크게 향상됐다고 자평한다.
수상 소감-박상철 사장
한국전자석유거래소는 석유제품 e마켓플레이스로서 수요자 중심의 석유시장을 형성하고자 설립, 증권거래소와 코스닥시장에서 증권 및 채권이 거래되는 것처럼 석유제품이 공개 거래되는 시장이다. 따라서 공급자(판매자)와 수요자(구매자) 주체간의 거래여서 개인정보는 물론 기업의 정보가 노출되면 심각한 문제를 야기할 수 있기 때문에 시스템 설계 및 구축시부터 과감하게 정보보호에 대한 설비·예산을 투입, 완벽한 거래보호시스템을 구축했다.
2001년 서비스 실시와 더불어 전자서명·인증 등 기술적인 보안에 중점을 두고 시스템을 운용하고 있으며 2002년부터는 정보보호에 대한 중요성을 감안, 관리 운용상의 체계를 갖추고 진행해왔다.
프리즘커뮤니케이션
프리즘커뮤니케이션(http://www.prism.co.kr)의 보안노력을 기술적·물리적·관리적 면에서 구체적으로 살펴보면 첫 번째 기술적인 면에서 네트워크 최상단에 국내 IDC 최초로 기가비트 방화벽을 설치해 고객의 개별 서버단에 위치한 방화벽 서비스보다 한 단계 높은 보안수준을 마련했다. 또 일반 서비스망과 고객시스템 관리망을 분리해 관리망을 통한 해킹의 95% 이상을 원천봉쇄하고 성능저하를 최소화했다.
물리적인 면에서는 IDC 내부 곳곳에 CCTV를 설치해 보안의 사각지대가 없도록 했으며 이러한 CCTV를 종합운영상황실에 해당하는 프리즘의 IDC인 인텔리센터의 ICC에서 24시간 통합적으로 감시 및 관리하고 있다.
또 카드인식·정맥인식 등 사중 보안시스템을 두어 공인된 자만의 출입을 가능토록 만들어 철저하게 외부인의 침입에 대응했다. 고객의 서버와 시스템을 보관하는 상면 공간에는 별도의 케이지(cage)를 설치하고 이에 대한 시건장치를 둬 각 고객의 시스템 및 정보유출에 대한 보호를 더욱 철저히 만들었다.
관리적인 면에선 고객의 정보뿐만 아니라 고객의 정보와 밀접히 관련되는 자사의 정보를 더욱 완벽히 보호하고 관리하기 위해 세계적인 보안관리체계 인증인 BS7799를 획득했다. BS7799는 인증을 받은 후에도 약 6개월에 한번씩 재심사를 시행한다. 이를 위해 대표이사 직속의 재해복구조직과 정보보호조직을 두고 있다.
수상 소감-김동일 사장
고객의 IT자산뿐만 아니라 그 안의 데이터와 정보를 각종 보안위협으로부터 보호·관리하는 것이 IDC사업자로서 고객에 대한 최우선의 의무라고 생각해왔다. 특히 금융권 등과 같이 안정적인 서비스와 더불어 사업의 기반이 되는 고객의 데이터까지 외부의 공격으로부터 철저하게 보호하기 위해 사업 초기부터 IDC 구축과 서비스 준비에서 차별화된 프리미엄 서비스 제공을 표방했다.
앞으로도 이러한 고객과 자사의 정보보호에 대한 노력을 계속할 것이다. 이를 위해 2003년도 전직원을 대상으로 정보보호에 대한 교육을 계획하고 있으며 또한 시스템 보호를 위한 장비의 성능향상과 보안관리 절차를 더욱 강화할 예정이다.
LG화재
LG화재(http://www.lginsure.com)는 IT추진팀 내에 보안파트를 별도로 두고 있다. 예산도 400억원이 넘는 전체 정보화 예산 가운데 3∼4%를 보안예산으로 별도 책정하고 있다.
이 회사의 물리적 정보보호를 살펴보면 부평 소재의 전산센터는 전산센터로서의 기본 방재설비(하론·UPS·항온항습기 등) 이외에 엄격한 출입통제를 위해 생체인식시스템을 가동하고 있다. 서울 논현동에 위치한 재난복구센터는 핵심 시스템 및 데이터의 보호, 신속한 가동을 위해 만들어진 것으로 연 2회에 걸쳐 가상 재난상황을 고려한 복구훈련을 실시하고 있으며 4시간 이내 시스템 복구가 가능하다.
다음으로 기술적 정보보호는 2000년 말부터 급변하는 IT보안환경에 대응하고 올바른 보안시스템 체계를 구축하기 위해 외부 전문업체의 보안컨설팅을 받고 있다. 2001년 2월 보안컨설팅을 수행하고 그 결과에 따라 당사의 핵심시스템에 침입차단 및 탐지 시스템, 각종 취약성 점검 툴을 구축·운영하고 있다.
관리적 정보보호는 각종 정보자산을 분류, 일반 사용자 및 개발자가 준수해야 하는 중요 7대 지침을 수립해 시행중이며 조직 및 직책, 직위에 따라 명확한 권한설정을 통해 접근제어를 시행하고 있다. 또 전임직원 및 대리점, 설계사 등 외야조직은 입사시에 반드시 비밀유지 서약서를 작성토록 하고 있다.
현재 인터넷을 통한 각종 조회·보험청약 등의 서비스를 제공하고 있는 LG화재는 인터넷 거래시 발생할 수 있는 보안상의 문제점을 해결하기 위해 공인인증시스템과 전송 데이터 보호를 위한 암호화 제품을 사용하고 있다.
수상 소감-구자준 사장
LG화재는 방대한 고객의 핵심적인 금융 데이터를 취급하는 회사로서 정보보호의 중요성을 매우 중요하게 고려하는 대표적인 회사임을 자부한다. 우리 회사가 생각하는 정보보호의 의미는 단순히 외부의 해킹이나 바이러스에 대한 대응이 아니라 21세기 e비즈니스의 핵심적인 성공요소로서 정보보호체계를 구축하고 이에 대한 지속적인 관리와 투자가 이루어져야 함을 말한다.
LG화재는 이러한 관점에서 2001년 4월 업계 최초로 재난복구센터(DRC)를 구축해 4시간 이내에 시스템 및 데이터 복구가 가능하도록 만들었다. LG화재는 이번 수상에 만족하지 않고 향후 정보보호 활동을 보다 강화시켜 현재 정보화예산 대비 약 3% 수준의 예산규모를 지속적으로 증액 4%까지 끌어올릴 방침이다.
<장동준기자 djjang@etnews.co.kr>