대한주택보증은 인적보안과 물리적 보안에 초점을 맞춰 데이터 보안 제도와 프로세스를 만들고 개선해 나갔다. 보다 포괄적 개념인 정보보안을 주제로 정보보안 운영 규정을 만들고 규정에 따른 시행 규칙을 제정해 IT운영에 정보보안 개념을 이식하는 체질 개선을 시작한 것이다.
유창환 대한주택보증 DB보안담당 과장은 “IT운영 작업에 보안이라는 프로세스가 추가됐고 프로세스는 이후 2009년부터 접근제어, 서버보안 등 보안시스템을 구축, 자동화해 관리하기 시작했다”면서 “프로젝트로 신규 시스템에 각종 보안 조치가 포함됐고 국정원 보안심의도 받았다”고 말했다.
2010년 개인정보보호를 강화하고 관련 법규 준수를 위해 전사 데이터베이스에 개인정보 항목(주민번호·계좌번호·신용카드번호·로그인 비밀번호)을 국정원 기준에 맞춰 암호화 했다. 전사 데이터베이스 암호화 작업을 진행하면서 해결해 나갔다.
암호화 작업 프로세스는 이후 전사리스크관리시스템, 전사데이터웨어하우스(EDW) 등을 구축하면서 적용했다. 회사 시스템 구축 프로세스에 정착 됐다. 정보화지원부는 IT 관련 모든 서비스 요청을 IT서비스관리시스템으로 관리하고 있다. 데이터 오너십은 현업에 있기 때문에 데이터의 수정·삭제·추가해 작업 권한은 정보화지원부 구성원이 가지고 있지 않다.
현업으로부터 데이터 IT서비스 요청이 발생하면 데이터의 작업권한이 포함돼 결재 프로세스를 거치게 된다. 데이터 작업 담당자는 해당 IT서비스 결재가 승인돼야 권한을 부여받아 데이터의 수정·삭제·변경 등 작업을 진행할 수 있다.
2012년 회사 사업영역 다각화로 기존 기업고객 중심의 상품에서 개인고객 중심의 상품을 추가로 출시해 개인정보 보호의 중요성이 더욱 대두됐다. 지난 수년간 데이터 보안 관련 작업에 대해 회사 데이터 보안 수준을 측정, 점검했다. 공신력 있는 기관으로 데이터 보안 수준을 대·내외적으로 인증 받을 수 있는 기회를 찾게 된 것이다.
한국데이터베이스진흥원의 데이터보안 인증 과정은 데이터 보안 수준을 측정하고 평가하는 과정이다. 이를 통해 평가받는 회사의 데이터 보안 수준을 제고할 수 있다.
한국데이터베이스진흥원의 프레임 워크인 접근제어·암호화·작업결재·취약점 분석에 초점을 맞춰 회사 데이터 보안 점검을 계획했다. 데이터 보안 분야에 역량 있는 구성원으로 컨설팅팀을 구성해 두 달간 회사 데이터 보안을 점검했다. 점검 시작 초기 시스템 보안에 자신감을 가지고 있었다.
하지만 점검 과정에서 간과하고 있던 부분이 있었다. 접근제어·암호화 등 시스템으로 고유의 직접적인 기능에는 문제가 없었지만 보다 체계적인 관리정책과 예외적인 상황에 대한 대응책, 상시적인 운영 프로세스가 부실했다는 점이 부각됐다. 유 과장은 “이후 데이터 보안 프로세스의 개선작업을 수행했다”면서 “각종 예외상황의 프로세스와 역할을 정의해 회사 보안 규정에 적용했고 우회접근 차단, 경보설정, 마스킹 등의 작업을 추가했다”고 설명했다.
신혜권기자 hkshin@etnews.com