2012  Security Forecast 기업이슈 전망 세미나에서 송상곤 동양그룹 과장은 ‘보안부서의 내부통제 강화 방안’이라는 주제로 발표했다.
 
송 과장은 “동양그룹에서도 내부자에 의한 정보유출방지 문제는 시급한 과제”라며 “30개가 넘는 계열사에 체크리스트를 만들어 현업부서에서 어떤 문제들이 있는지 전수조사를 실시했다. 우리가 보호해야 할 정보가 무엇인지에 대한 조사부터 시작했으며 사람에 대한 보안을 어떻게 해야 하는지 체계를 마련했다”고 밝혔다.
 
내부정보 유출은 내부 직원 즉 사람에 의해 사고다. 송 과장은 “현 근무자 보다는 퇴직자에 의해 정보유출 사고가 빈번하게 발생하기 때문에 근무자 보다는 퇴직자 관리에 집중한다”며 “근무자는 여러 방법으로 모니터링이 가능하지만 퇴직자는 그렇지 않다. 그래서 퇴직 프로세스를 개선했다. 1차 면담, 2차 각종 자기 정보자산 반납, 3차 실제 퇴직이 이루어진다. 사고는 주로 2차 정보자산 반납단계에서 주로 발생한다”고 말했다.
 
송 과장은 “퇴직자 면담후 퇴직이 결정되고 실제 퇴직까지 1달 정도의 시간이 소요된다. 이때 여러 정보유출 사고들이 발생한다. 이때 그룹웨어에서 퇴직 확정자가 외부로 메일을 발송할 때 모니터링 체계를 강화해 퇴직자들이 정보유출 부담감을 가지게 해 효과를 봤다”고 전했다.
 
또 동양그룹은 IT직원들에 대한 관리에도 신경을 쓰고 있다. 송 과장은 “동양그룹 계열사 중 증권과 생명사에 IT 외주인력들이 상주 할 때 체계화 되어있지 않았다. 공간적 네트워크적 문제가 있었다”며 “최근에는 외주와 내부 직원의 공간을 분리하고 서로 침해하지 못하도록 네트워크를 분리했다. 외주직원은 서버나 데이터에 직접 접근하지 못하도록 막았으며 외주 직원들은 특별한 사유없이 공용PC에 접근하지 못하도록 했다. 내부직원들은 웹하드나 P2P 등에 접근하는 것을 차단했다”고 설명했다.
 
보안조직에 대해서도 거론됐다. 동양그룹은 그룹보안조직에서 컨트롤타워 역할을 하고 있으며 이를 중심으로 그룹 보안협의체와 계열사 보안조직 체계를 갖추고 있다. 그룹 보안협의체에는 보안위원회와 보안실무위원회, 보안실무협의회가 존재하고 보안실무협의회는 매달 활동 내용을 공유하면서 계열사에 그 내용들을 전달해 적용될 수 있도록 노력하고 있다.
 
특히 내부정보유출 방지를 위해 정보유출, 위험요소에 적합한 보호대책을 수립해 적용하고 있다고 전했다.
 
우선 내부정보에 대한 보호대상을 정하고 생성, 저장, 사용, 전송, 폐기 등의 정보 사이클에서 유출 시나리오를 가상한다.  해커와 내부자에 의한 온라인 유출경로, 내부자에 의한 오프라인 유출 시나리오를 설정하는 것이다. 해킹, 악성코드, 메일, 메신저, 원격지원 서비스, 웹하드, P2P, 감염된 유해사이트, USB, CD, 이동식 HDD, 문서출력물 대외반출, 복사기, 팩스전송, 노트북, 스마트폰 등에서 발생할 수 있는 모든 정보유출 시나리오를 만든다. 
 
이후 유출 시나리오에 맞는 차단, 통제, 사후추적 등의 보호대책을 마련한다. 여기에는 승인, 차단, 문서보안, 외장매체통제, 반출입통제, 모니터링, 프린터마킹 등을 통해 내부정보 외부 유출 통제 시스템을 갖추는 것이다.
 
특히 최근 이슈가 되는 모바일 보안과 무선랜 보안도 언급했다. 송 과장은 “무선랜 보안을 위해 내부 유선망과 분리해 운영하고 무선랜을 통한 내부망 접근은 엄격히 제한하고 있다. 또 인가된 직원만 무선랜을 사용하고 무선AP 보안설정, 모바일 단말기와 단말기 연결 모드 설정 금지, 단말기 보안설정 등을 적용하고 있다”고 강조했다.
 
또 모바일 보안과 관련해서는 “컨텐츠, App, 플랫폼, 단말기, 무선통신, 인프라 등의 모바일 보안영역별 상세 보안위협과 예상 피해를 분석하고 공통적인 9개 보안 통제기준을 도출했다”며 “통제기준은 인증, 악성코드, 개발/아키텍처보호, 접근통제/권한관리, 데이터변조/유출, 분실/도난, 디바이스 통제, 무선통제, 배포/패치/로깅/모니터링 등이다”라고 밝혔다.
 
단말기 관리 강화를 위해서도 동양그룹은 백신미설치, 공유폴더 사용, 취약한 패스워드, 화면보호기 미설정 등의 PC보안 설정 미비로 인한 사내 악성코드 전파를 차단하기 위해 백신 에이전트를 설치한 PC만 인터넷을 허용하고 백신에 대한 보안정책을 중앙에서 관리한다. 중앙에서 기타 PC보안을 설정하고 화면보호기, 공유폴더 차단 등을 유도한다. 또 사내 PC의 재활용, 매각, 폐기 시 발생할 수 있는 정보유출 문제도 관리를 하고 있다.
 
직원들의 인식개선도 중요한 문제다. 동양그룹은 e-Clean Day를 정해 3개월 이상 메일은 영구삭제하고 불필요한 문서를 삭제한다. 불필요한 문서파일을 정리하고 삭제한다. 중요자료는 백업을 하고 백신 최신엔진 설치여부 및 실시간감시 기능 On 여부, 불법소프트웨어 점검/삭제, 책상 위 출력문서, USB, 서랍 정리 등 사무실 보안점검 활동을 강화하는 날로 정하고 있다.
[데일리시큐=길민권 기자]