침해사고/위협동향

“아웃소싱 보안위해 개발보안 프로세스 운영해야”

이민형

[디지털데일리 이민형기자] 최근 발생한 카드사 개인정보유출 사건은 DB접근권한을 가진 협력사(아웃소싱) 직원에 의한 인재(人災)였다.

사기방지시스템(FDS)을 구축하면서 보안과 관련된 프로세스를 전혀 고려하지 않았고, 누가 개인정보를 열람하는지도 파악하지 못했기 때문이다.

김재수 LG전자 정보보안팀 부장<사진>은 18일 서울 한국과학기술회관에서 여린 ‘기업정보보호 이슈전망’에서 “내부자에 의한 개인정보유출을 최소화하기 위해서는 개발보안 프로세스를 운영해야 한다”며 “특히 개인정보 사전 영향평가 등을 통해 협력사 직원에 대한 리스크 관리를 강화해야한다”고 강조했다.

개발보안 프로세스는 시스템을 구축하는 과정에서 발생할 수 있는 모든 취약점을 사전에 제거하고 정보보호 부합성을 점검하기 위해 만들어진 절차다.

기획부서, 개발운영부서, 취약점 점검부서, 정보보안부서가 각자의 보안 영역을 담당하게 된다. 가령 기획부서는 시스템의 정보보호 부합성을 점검하고, 개발운영부서는 개발보안가이드에 의해 개발하고 시큐어코딩과 같은 보안 시험도 수행한다.

취약점 점검부서에서는 개발자들을 대상으로 한 윤리교육을 비롯해 모의해킹 등으로 취약점을 관리·점검하며, 정보보안부서에서는 취약점 점검이나 정보보호 부합성에 대한 기준을 마련하게 된다.

김 부장은 “대기업의 경우 개발보안 프로세스를 자체적으로 운영할 수 있으나, 그것이 불가능할 경우에는 예산을 반드시 책정해 운영해야 한다”며 “이러한 과정이 없어서 발생할 수 있는 리스크를 임원들에게 인식시키는 것도 중요하다”고 설명했다.

LG전자는 협력사 직원에 대한 리스크 관리를 강화하기 위해 개인정보 사전 영향평가 시스템을 운영하고 있다.

이는 협력사 직원에 의한 개인정보 추출·보관의 가능성이 점차 높아지고 개인정보보호에 대한 조직별 의식 수준이 상이함에 따라 이에 대한 관리를 위해 마련됐다. 개인정보를 취급하는 임직원, 협력사 직원을 개인정보영향평가 대상으로 잡고 접근권한 조정, 취약점 분석 등을 하게 된다

김 부장은 “이를 통해 개인정보침해사고의 사전예방과 전사 개인정보 현황의 체계적 관리가 가능해진다”며 “시스템 구성도에서 협력사는 빠질 수가 없다. 효율과 보안을 모두 잡기 위해서는 체계적 관리가 필요하다”고 강조했다.

끝으로 김 부장은 개인정보 열람, 추출에 의한 실시간 모니터링 시스템이 필요하다고 설명했다.

LG전자는 DB, 서버접근통제, 웹애플리케이션서버(WAS), 출력물 등과 같이 개인정보가 담긴 인프라에 개인정보 모니터링 시스템을 설치하고 실시간으로 위험지수를 파악, 관리하고 있다.

또 내부직원, 협력사 직원이 개인정보를 열람할 때 마다 ‘누가, 언제, 어떤 정보를, 어떻게, 누구의 권한으로, 왜’ 와 같은 사유를 받고, 수집목적 달성시 즉시 파기하도록 지도하고 있다.

김 부장은 “개인정보 모니터링을 통해 개인정보보호법과 같은 컴플라이언스 이슈를 해소할 수 있으며 협력사에 의한 개인정보유출 리스크 관리가 가능하다”며 “특히 인사정보에 대한 열람, 추출은 사유 확인과 추적 등이 필요하기 때문에 반드시 구축해야 한다”고 말했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널