2024-05-21 01:10 (화)
아웃소싱 보안관리 어떻게 하시나요...사례 공유
상태바
아웃소싱 보안관리 어떻게 하시나요...사례 공유
  • 길민권
  • 승인 2014.02.25 16:56
이 기사를 공유합니다

CONCERT ‘효과적 아웃소싱 정보통제 관리방안’ 주제 라운드업 개최
카드사 개인정보유출사고로 외주인력 보안관리에 대한 관심이 어느 때보다 뜨거운 가운데 아웃소싱 정보통제 관리방안을 모색하는 의미있는 자리가 마련됐다.
 
한국침해사고대응팀협의회(회장 류재철, 이하 CONCERT)가 CONCERT 정회원사를 대상으로 주최한 폐쇄형 세미나인 2014년 제1차 CONCERT Security Round Up이 “효과적인 아웃소싱 정보통제 관리방안”이라는 주제로 20일 열렸다.
 
이날 세미나에서는 신용카드사, 인터넷포털사이트, 온라인쇼핑몰의 보안 실무담당자를 패널로 구성, 각 기업의 아웃소싱 업체 및 인력에 대한 정보보안 정책, 지침, 실행내용을 공유하고, 이를 바탕으로 참가자들과의 Q&A 및 토론을 통해 자사 환경에 맞는 아웃소싱 정보통제 관리방안을 모색하는 시간을 가졌다.

패널로 나선 모 신용카드사 보안담당자는 “외주인력 뿐 아니라 내부직원도 동일한 범주에서 보안관리의 대상이 돼야 하며, 데이터의 특성과 흐름을 이해한 상태에서 권한 부여/회수와 보안정책을 수립하는 것이 가장 중요하다”며 “외부로 데이터가 유출 될 수 있는 관문을 최대한 줄이고, 해당 관문을 통과하는 정보는 보안부서를 통해 철저히 관리하는 것이 핵심이며, 다만 통제권한이 보안부서에 집중되어 있는 만큼 보안부서에서 통제권한이 적절하게 관리되고 있는지 감사하는 기능 또한 반드시 필요하다”고 강조했다.

또 모 인터넷포털 패널은 데이터가 나가는 포인트를 관리하는 것이 중요하다는 데 인식을 같이 하면서, 이에 대한 증적을 관리하기 위해 개인정보제공사에 대한 개인정보 보호수준 점검제도를 운영하고 있다고 전했다.
 
그는 또 “개인정보 제공사들도 정보보호의 중요성은 인지하고 있지만, 실제로 어떻게 해야 하는지 모르고 있는 경우가 많다. 이들 회사를 대상으로 감사나 통제차원에서 접근하기보다 우리 회사의 점검제도를 도입해 개인정보제공사 내부의 보안수준을 강화시킬 수 있는 기회를 제공하는 차원으로 접근하면 협조를 쉽게 이끌어 낼 수 있다”며 상호 신뢰를 바탕으로 한 적정수준 관리를 주문했다.

공공기관에서 배포한 '안전한 쇼핑 및 물품 배송을 위한 개인정보보호 가이드'와 '소상공인 개인정보보호 수칙' 등을 취합해 자체 개인정보보호 가이드를 개발, 이를 판매자에게 첫 거래시 온라인을 통한 강제 자동 배포 및 이를 통한 정보보안 준수가 될 수 있는 가이드라인 배포 시스템을 자동화하여 효과를 봤다고 밝힌 인터넷쇼핑몰 패널은 “이 외에도 협력사들이 자체적으로 정보보호수준을 체크할 수 있도록 개인정보유출 방지에 중점을 둔 체크리스트를 제공하고 협력사에서 회신한 자체점검결과와 현장실사를 통한 실제관리상태를 비교해 협력사의 정보보호 관리수준을 관리하고 있다”고 밝혔다.

한편 한 유통업 보안담당자는 프로젝트 추진 중에 보안에 대한 고민이 반영되지 않아 이미 완료된 프로젝트에 대해 보안 로직을 다시 도입하느라 일정과 비용에 대한 낭비가 발생하는 경우가 많다며, 프로젝트 추진단계에서 보안요건협의를 통하도록 해 보안 리스크를 예측하고 관리하는 방안을 제안했다.

이 밖에도 외주사에 대한 보안점검을 상세하게 하면 할수록 문제점이 많이 드러나기 마련인데, 문제점 보완 주체인 외주사에서 즉시 조치가 이루어지지 않은 상태에서 사고가 발생할 경우에 외주사의 문제점에 대해 알고도 조치하지 않은 것에 대한 책임소재 문제가 발생할 수 있어, 외주사에 대한 점검수준을 강화하는 것만이 능사가 아니라는 주장이 제기되어 해당 주장에 대한 찬반 및 적정수준에 대한 활발한 토론이 이루어졌다.

한편 정보유출사고 수사 경험이 있는 참가자들이 수사대응에 대한 자신들의 경험을 서로 나누며 수사시 대응방안, 제출자료 항목, 사고발생시 대처를 위한 중점 점검항목 들에 대해서도 서로 정보를 공유하는 시간도 가졌다.

CONCERT 심상현 사무국장은 “정보보호와 관련된 문제의 특성상 개별 기업이나 기관이 혼자 고민하는 경우가 많다. 동일 사안에 대해 각자 고민할 경우 얻을 수 있는 해법의 범위에도 제한이 있고, 사회적 낭비가 아닐 수 없다”고 밝히고 “Security Round up은 이런 고민을 폐쇄적 형태로 공유하고 토론을 통해 참석자들이 스스로 해법을 제시하고 찾아가는데 가장 큰 의미를 가지고 있다”고 밝혔다.
 
CONCERT는 향후에도 Security Round up을 통해 정보보호 사용자 그룹만이 표출할 수 있는 문제점과 해결방안을 제시해 나갈 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★