[산업계 보안 A to Z] 다양한 개인정보 취급자에 대한 보안 관리 필수

통신사업자용 보안 구성도
통신사업자용 보안 구성도
관련 통계자료 다운로드 통신분야 보안 구성도

 통신사업자는 타 산업분야에 비해 보안 투자를 아끼지 않는 편이다. 보안사고로 사용자가 이탈할 경우 경쟁사에 고객을 빼앗기는 계기가 되기 때문에 고객 정보 보호 등 보안에 상대적으로 많은 투자를 쏟아 붓는다.

 하지만 협력업체, 외주업체, 이벤트 업체 등 워낙 개인정보를 다루는 취급자가 많아 개인정보가 유출될 가능성이 높다는 점이 문제다.

 허경석 인포섹 컨설팅사업본부 수석은 “SK텔레콤의 경우 지난 2006년부터 자사는 물론이고 협력업체 등에 DB암호화, 문서보안 등을 구축하고 개인정보보호 교육 등을 시행하고 있다”며 “하지만 아무리 철저히 점검을 해도 개인정보를 다루는 주체가 많기 때문에 취약성을 완전히 제거하기는 현실적으로 어렵다”고 지적했다. 따라서 통신사업자들은 개인정보 유출 가능성을 최소화하기 위해 지속적인 투자와 교육 등으로 관리적인 취약성을 극복하기 위해 애쓰는 편이다.

 그러나 전국에 흩어져 있는 케이블 사업자 및 통신 재판매 업체 등 군소 사업자는 보안시스템 투자에 취약할 수밖에 없다. 또 이들로부터 유출될 수 있는 개인정보 사고 가능성 또한 배제될 수 없기 때문에 통신사업자 역시 보안의 안전지대는 아니다.

 내부자에 의한 기밀, 개인정보 유출도 경계해야 할 부분이다. 따라서 이를 방지할 수 있는 권한 관리를 강화하고 주요 정보의 흐름을 한 눈에 알아볼 수 있도록 로그 기록 강화, 문서 출력 보안 시스템 등 단계적인 보안 솔루션을 갖춰야 한다.

 또 통신사업자의 시스템은 어느 산업 분야보다 거대, 복잡하기 때문에 다층적인 보안 시스템이 구축돼야하는 것이 특징이다. 안티바이러스, 방화벽, 침입탐지 및 침입 방지, 안티 스팸, 피싱282, 데이터손실방지(DLP), 문서보안, 계정·권한관리 등 다계층 통합보안 시스템을 구축해 기업 내 기밀정보 및 고객 정보가 유출되지 않도록 주의를 기울여야한다.

 최근 일본의 지진·쓰나미 등으로 국내 역시 자연 재해로부터 안전할 수 없다는 점도 입증됐기 때문에 재해복구도 간과할 수 없는 부분이다. 자연재해, 해킹이나 내부적인 실수 등 보안사고가 발생하더라도 전체 네트워크로 피해가 확산되는 것을 막기 위해 시스템마다 다른 비밀번호를 사용하는 한편 정기적인 백업을 수행하고 일정 거리 이상 떨어진 다른 지역에 재해복구 시스템을 갖추는 것이 좋다.

 보안 사고에 대비해 비상 대응 절차 및 가이드라인을 갖추고 정기적으로 사내 보안 감사를 실시해 적절한 보안 환경이 갖춰졌는지 상시 확인하며 만일의 사고에 대비해야한다.

 

 ◇ 통신 사업자 보안 체크리스트

 

 1. 안티바이러스, 방화벽, 침입탐지 및 침입 방지 시스템, 안티 스팸 및 피싱 솔루션을 포함하는 다층적인(다계층) 통합 보안 시스템을 구축했는가.

 2. (기업내 기밀정보 및 고객) 정보가 유출되지 않도록 허용한 트래픽만 네트워크를 빠져나갈 수 있는 이그레스 필터링(Egress filtering)을 적절히 실행하고 DLP(데이터손실방지) 솔루션을 도입했는가.

 3. 하나 이상의 네트워크 서비스가 악성 코드나 위협에 공격받을 경우, 패치가 적용될 때까지 해당 서비스를 비활성화 시키거나 접근을 막았는가.

 4. 항상 최신 패치를 적용 및 유지하고, 특히 HTTP, FTP, 메일, DNS 서비스 등 방화벽을 통해 접근 가능한 공용 서비스를 실행 중인 컴퓨터의 관리에 유의했는가.

 5. 만약 보안 사고가 발생하더라도 전체 네트워크로 공격이 확산되는 것을 방지하기 위해 시스템마다 다른 비밀번호를 사용하도록 강력한 비밀번호 정책을 수립·시행했는가.

 6. 이메일 서버에서 바이러스 배포에 이용되는 첨부파일 유형(.VBS, ..BAT386, .EXE, .PI614F, .SCR188) 을 차단 또는 제거했는가.

 7. 임직원들을 대상으로 정기적인 보안 교육을 시행했는가.

 8. 보안 사고에 대비해 비상 대응 절차 및 가이드라인을 갖췄는가.

 9. 중요한 데이터는 정기적으로 백업하고, 데이터 손실시 신속한 복구를 위해 재해복구 시스템을 구축했는가.

 10. 정기적으로 사내 보안 감사를 실시해 적절한 보안 환경이 갖춰졌는지 확인했는가.

장윤정기자 linda@etnews.co.kr