현대백화점그룹이 8개 전 계열사와 750여개 일반 협력업체, 외부 출력 협력업체의 모든 PC에 디지털저작권관리(DRM) 시스템을 구축하는 작업을 진행하고 있다. 외부 출력업체에까지 DRM이 적용된 것은 국내에서 이번이 첫 사례다. 이 프로젝트는 총 2단계로 나눠 진행되고 있다. 계열사와 협력업체를 대상으로 한 1단계 프로젝트는 지난 4월부터 6월까지 진행됐다. 이어 외부 출력업체를 대상으로 한 2단계 프로젝트가 진행 중이다.
◇편의성 보다 ‘철통보안’ 선택=현대백화점그룹은 지난 4월부터 1단계 프로젝트를 통해 전 계열사를 대상으로 PC DRM시스템을, 협력업체를 대상으로 외부 DRM시스템을 구축했다. 이를 통해 사내에서 생성되는 모든 문서와 협력업체에 전송되는 문서를 대상으로 암호화를 적용했다.
특히 외부 DRM은 e메일, 메신저, P2P 등을 통해 전송되는 모든 문서에 적용된다. 이를 통해 협력업체로 문서를 보낼 때도 보낸 사람이 설정한 열람가능횟수, 출력가능 여부, 열람가능일자 등 보안 수준에 따라 자동으로 암호화가 이뤄지거나 해제된다. 문서 암호화 해지는 그룹웨어를 통해 임원 및 팀장의 결재를 거쳐야 가능하다. 사내에서 노트북 반출 시에도 승인된 기간 만큼만 문서를 활용할 수 있다.
이어 현대백화점그룹은 외부 출력업체를 대상으로 2차 프로젝트를 시작했다. 2차 프로젝트는 사실상 DRM 프로젝트를 시작하게 된 핵심 배경이기도 하다. DRM프로젝트를 내부가 아닌 외부 출력업체에도 적용해 고객정보를 보호해야 한다는 강력한 필요성이 제기됐기 때문이다. 강 과장은 “당시 대부분의 DRM이 PC DRM에 머물러 있었으나 이례적인 시도를 한 것”이라며 “3개 솔루션 업체를 대상으로 외부 출력업체에 대한 DRM을 구현해줄 수 있는지 여부를 조사한 후 최종적으로 파수닷컴과 협력하게 됐다”고 말했다.
2차 프로젝트가 완료되면, 현대백화점그룹의 12개 출력 협력업체의 편집프로그램과 출력프로그램에 DRM시스템을 설치해 고객 정보가 암호화된 상태로 고객 주소 출력에서부터 DM용 자료 동봉까지 마칠 수 있게 된다. 이미 8개 이상 업체에 관련 시스템 구축을 마쳤다. 현대H&S 김태성씨는 “암호화된 고객 정보는 필요한 모듈에서만 잠시 암호를 해제한 뒤 다시 암호화가 되는 과정을 거듭하면서 끝까지 암호화 상태로 유지된다”며 “이는 다 사용된 고객정보가 만약 유출되더라도 제 3자가 판독할 수 없도록 하기 위한 것”이라고 설명했다.
◇반발에 대한 변화관리 쉽지 않아=사실 지난해 현대H&S IT사업부는 보안 강화를 목표로 전 업무 프로세스에 대한 실태조사를 진행했다. 보안이 가장 취약한 프로세스를 탐색한 것이다. 방대한 양의 현대백화점 카드 고객정보와 현대홈쇼핑 카탈로그 발송 고객정보 등 약 3백∼4백만건의 데이터가 한번에 청구서 및 DM 출력업체로 전송돼 2∼3일만에 편집·출력 및 동봉까지 완료되는 대량의 데이터 이동 작업에서 고객정보를 안전하게 지킬 수 있는 방안을 확보하는 것이 관건이었다.
그러나 프로젝트 진행은 쉽지 않았다. 현대백화점그룹은 DRM 프로젝트를 진행하면서 난관에 부딪치기도 했다. 그동안 존재하지 않던 복잡한 프로세스가 생겨남에 따라 사용자들의 반발이 거세진 것이다. 특히 정해진 협력업체가 아닌 경우 DRM 시스템이 존재하지 않아 일일이 암호화를 해제하는 복잡한 절차를 거쳐야 하기때문에 불평이 컸다. 빈번하게 제안서나 견적서를 보내야 하는 영업부서도 마찬가지였다. 이를 해결하기 위해 빼어든 칼은 변화관리였다. 현대백화점그룹은 시스템 구축과 병행해 각 계열사별로 직원들을 대상으로 DRM 시스템 사용에 대한 교육을 실시한 것이다.
직원들이 익숙해지기까지 계열사별로 조직된 ‘보안위원회’의 역할이 컸다. 보안위원회는 이해상충을 해결하고 변화관리를 이끄는 중요한 역할을 담당했다. 강 과장은 “PC 및 외부 DRM을 오픈하기 10일 전부터 동영상 등을 통해 전 직원 교육을 진행하고 개선 의견도 수렴해 이를 솔루션에 반영했다”고 말했다.
지난 6월초 시범 오픈 테스트를 거쳐 가동에 들어간 PC 및 외부 DRM 시스템은 현재 안정화가 됐다는 평가를 받고 있다. 많은 직원들이 익숙치 않았던 프로세스도 어느 정도 습관에 베기 시작했다. 현대백화점그룹은 모든 PC에 존재하던 기존 문서도 모두 일괄 암호화했다. 강 과장은 “사실 서버에서는 누가 했는지 안 했는지 알 수 없어 프로그램을 일괄 배포한 후 정보시스템실에서 직접 실태조사를 진행했다”고 설명했다.
◇보안 정책은 단순할수록 좋아=DRM 프로젝트를 담당하고 있는 강 과장은 “그룹 차원에서 철저한 보안정책을 구현하려면 개인별 업무 변화에 따른 불편함은 감내할 수 밖에 없다”며 “계열사간 통일된 정책을 가져가야 보안의 효과를 극대화할 수 있어 개인적 유연성 보다 전체에 일괄 적용하는 방안을 선택했다”고 말했다. 편의성을 포기한 대신 보안을 강화하는 방안을 선택한 것이다.
일부 기업의 경우 부서별, 관계사별, 업무별로 애초부터 보안을 해제하거나 암호화 레벨을 별도로 부여하기도 한다. 그러나 이 경우 편의성은 높아질 수 있으나 그룹사간 정보교류에도 차질이 생기고 구멍이 생길 수 있다. 따라서 현대백화점그룹은 일부 직원이 업무상 프로세스가 지연되더라도 모든 문서에 1차적으로 강제 암호화를 실시한 이후 필요에 따라 승인 후 해제하는 정책을 고수하기로 했다.
강 과장은 “여타 IT프로젝트와 달리 현업과의 끊임없는 상호작용이 필요했다”면서 “직원 모두의 업무, 심지어 일상 생활과도 결부돼있기 때문에 전사의 정책적 지원도 필요했으며 직원들 의견 수렴 등의 교류절차가 더욱 중요했다”고 강조했다. 또 “이 과정에서 정보보안에 대한 투철한 의식이 열쇠로 작용했다”고 덧붙였다.
현대백화점그룹은 10일 이상의 충분한 벤치마크테스트(BMT)를 실시하는 등 출력물 위탁 협력업체들과의 최종 점검에 곧 나설 계획이다.
유효정기자 hjyou@etnews.co.kr