“글로벌 기업의 일관된 보안정책 방향은 ‘자동화’에 있습니다.”
미국계 솔루션 기업인 한국CA(대표 지일상 http://www.ca.com/korea)에서 보안 정책과 운영을 총괄하고 있는 이중원 기술지원부 이사(44)는 세계 각국에 위치한 지사들과 매일 수많은 정보가 오고가는 글로벌 기업들이 보안을 유지하기 위해서는 통일된 정책과 이를 전파할 전담조직, 온라인으로 반영하는 자동화 인프라가 필수적이라고 강조한다.
미국 뉴욕에 본사를 두고 전세계 50개국에 지사를 운영하며 총직원 1만6000명에 달하는 글로벌 솔루션기업인 컴퓨터어소시에이츠(이하 CA)는 본사에서 전세계 지사를 대상으로한 보안정책을 수립하고 동시에 정책 운영을 전담하는 ‘글로벌정보서비스(GIS)’를 두고 있다. 또 주요 지역별로 GIS를 설치, 본사에서 결정된 보안정책을 일관성있게 전파하고 실무에 반영시키고 있다.
“하루에도 수천만통의 메일이 각국의 지사간에 오고갑니다. 따라서 이에 대한 정보보호를 위해서는 통일된 정책이 필요하다”며 “CA의 경우 전세계가 동일한 네트워크, 즉 인트라넷으로 연결돼 있어 종합적인 관리를 본사에서 처리해 정보보호의 효율성을 높이고 있다”고 말했다.
이를 통한 효과가 지난 1·25 인터넷대란 당시 빠른 대응이라는 결과로 나타났다. 대란이 발생하자마자 본사에서 관련 정보를 입수, 1시간내에 전세계 지사에 지침이 내려갔다. 당시 CA는 전세계 지사에 설치된 서버 가운데 감염의 원인이 되는 SQL서버 중에서 패치가 안된 서버를 온라인상에서 파악, 관련 지사에 곧바로 패치 솔루션을 설치토록 했다. 이러한 발빠른 대응으로 CA는 별다른 피해가 없었다.
내부 정보유출 등을 방지하기 위한 관리적 보안도 까다롭다. CA는 직원으로 입사할 경우 개인별로 ‘개인마스터키’를 부여한다. 이를 기반으로 ID, e메일 등을 모두 동일하게 사용하며 이를 기반으로 데이터에 대한 접근권한 등급도 나눠진다. 패스워드는 개인별로 한달에 1차례씩 변경을 해야하며 불이행시에는 업무상 불이익을 준다.
CA는 보안솔루션 사업에 주력하고 있는 솔루션업체인 만큼 ‘기술적인 보안’도 철두철미하다. 크게 서버보안, 네트워크보안, 바이러스 보안으로 나눠 각종 솔루션을 설치하고 이에 따른 임직원들에 대해 각각의 정보 접근 권한을 부여해 운영하고 있다.
‘물리적보안’도 예외는 아니다. 전세계 각국에서 통용되는 IC카드는 출장시 필수품이다. 이 이사는 “전세계 어디에서도 IC카드에 대한 권한이 유지된다. 이는 전세계 직원들이 동일한 데이터베이스에서 관리가 된다는 뜻이며 그만큼 보안정책이 일관성을 갖고 있다는 증거”라며 “1·25대란 이후에는 본사에서 ‘자동화’를 더욱 강조하고 있다”고 말했다.
이 이사가 강조하는 ‘글로벌 기업의 보안’은 주기적인 정책의 업데이트와 이를 전직원들이 공유할 수 있도록 확산하고 운영하는 별도의 전담조직 신설이다. 특히 정보 독점이 가능한 시스템 운영조직을 견제할 수 있도록 강력한 권한을 부여받은 일종의 CSO와 같은 보안대표가 반드시 필요하다고 밝혔다.
<서동규기자 dkseo@etnews.co.kr>