CJ오쇼핑(대표 이해선)은 1995년 국내 최초로 TV쇼핑 방송을 시작하면서 2012년 매출액 기준 국내 홈쇼핑 시장 1위를 달리고 있다. CJ오쇼핑은 국내뿐 아니라 중국, 일본, 베트남, 인도, 태국, 터키 등 6개국 8개 사이트에 진출해 지난해 해외매출 비중이 34%를 차지하는 등 해외시장 진출에도 적극적으로 나서고 있는 글로벌 기업이다. 시가총액은 2조 원 규모로 5월 초 기준 코스닥 3위를 기록하고 있다.
 
CJ오쇼핑의 사업영역은 TV홈쇼핑과 카탈로그 이외에도 인터넷쇼핑몰 CJmall(www.cjmall.com), 소셜커머스 오클락(www.Oclock.co.kr)을 중심으로 한 모바일커머스 등 종합 온라인 유통기업으로서 서비스를 다각화하고 있다.
 
CJ오쇼핑의 사업영역은 TV쇼핑, 인터넷쇼핑몰 CJmall(www.cjmall.com), 카탈로그 등으로 종합 온라인 유통기업으로서 서비스를 다각화하고 있다.
 
◇CJ오쇼핑의 개인정보보호, 자체개발한 Ozone 시스템으로=온라인 유통 사업영역이 크다보니 CJ오쇼핑의 올해 최대 보안이슈는 역시 개인정보보호다. TV쇼핑과 CJmall 등을 합해 많은양의 회원정보를 관리하고 있는 기업인 만큼 개인정보보호에 대한 이슈가 가장 크다. 전화고객, 인터넷 고객, 카탈로그 고객 등 세분류의 정보를 안전하게 관리하고 사용할 수 있도록 하느냐가 CJ오쇼핑 보안의 최대 관건이라 해도 과언이 아니다. 

 
이 기업 정보전략팀 최병훈 과장은 “사내 보안정책을 확립하고 보안시스템을 구축하는 일 외에 2천만명이 넘는 개인정보를 관리하는 일이 우리의 주된 업무다. 내부직원 뿐만 아니라 협력사와 판매자 등의 모든 개인정보 관련 행위를 점검하고 관리하는 문제는 쉬운 일이 아니다”며 “소규모 보안인력으로 어떻게 하면 체계적이면서도 효율적으로 고객 개인정보를 관리할 수 있을까 고민한 끝에 지난해 10월부터 3개월간 준비한 끝에 오쇼핑만의 자체 모니터링 시스템을 개발해 올해부터 적용중에 있다”고 밝혔다.
 
작은 보안인력으로 2천만명이 넘는 고객정보를 관리하기 위해 만든 시스템이 바로 ‘Ozone’이다. ‘오쇼핑의 안전지대’란 의미로 PC버전과 모바일 버전으로 개발됐다. 
 
◇오존 시스템, 내부정보와 개인정보 흐름 한 눈에 관리=오존 시스템은 내부와 개인정보처리시스템 등이 시간대별로 그래프 형식으로 나타난다. 이를 통해 토탈, 부서, 직원별로 내부정보와 개인정보 관련 접근 내용들을 한 눈에 볼 수 있으며 협력사들의 개인정보 사용현황 등을 관리하여 내부정보 유출 방지 및 개인정보 처리시스템 등에 대한 상세한 모니터링 결과를 제공해 주고 있어 관리가 용이하다는 것이 가장 큰 특징이다. 

 
또 개인별, 부서별 임계치를 차등 적용하는 식으로 다양한 형식의 패턴을 적용하고 각 시스템간의 상관관계를 분석하여 관리할 수 있어 용이하다. 
 
최 과장은 “내부 직원들과 협력사 직원들의 내부정보 접근내용과 개인정보 처리 등에 대해 년, 월, 일별 그리고 시간대별로 다양한 정보들을 선택해 모니터링 할 수 있다”며 “만약 동시간대 대비 모 직원의 개인정보 처리 수가 일반적인 그래프와 달리 나온다면 이상징후로 판단해 바로 확인과 조치, 경고 등을 할 수 있게 된다. 특히 근무시간외 협력사 직원의 개인정보 처리수가 증가하는 사례도 바로 적발할 수 있어 효과적으로 개인정보관리가 이루어질 수 있다”고 설명했다.
 
또한 협력사의 경우는 어떤 업체의 누가 어떤 개인정보 페이지를 이용했는지 상세하게 관리하고 있어 최근 문제가 되고 있는 협력사 개인정보 유출 문제에 적극적으로 대비하고 있다는 점이 눈여겨 볼 만하다. 
 
최 과장은 “오존 시스템의 1차 버전은 개인정보 관리를 위해 아주 유용하게 사용하고 있다. 다음 버전에는 외부리스크와 내부리스크도 동시에 같은 시스템에서 관리할 수 있도록 할 예정”이라며 “기존 보안시스템들과 오존 시스템을 연동해 내·외부의 침입로그와 개인정보 이용 현황까지 한 눈에 직관적으로 관리 할 수 있도록 구성할 예정이다. 이것이 바로 CJ오쇼핑만의 로그분석 시스템이다”라고 밝혔다.
 
이외에도 협력사 대상 오프라인 개인정보보호 교육을 정기적으로 실시하고 있으며 주요 수탁사에대해서는 정기적으로 점검도 실시하고 있다. 또 안심번호 시스템을 도입해 택배기사들에게 전달하는 소비자 전화번호 등은 실제 번호와 다르게 전달해 이용자 개인정보보호에 적극적으로 나서고 있다.
 
또한 최 과장은 “망법 적용을 받고 있는 만큼 주민번호 수집을 하지 않고 있으며 올해 PIMS와 ISMS 인증을 준비 중인데 이를 통해 개인정보 관련 프로세스를 재정립하고 단순화하면서도 불필요한 것은 모두 제거하려고 준비중”이라며 “사내 정보의 흐름을 분석해 업무 프로세스를 최소화하면서 보안관련 법적 요건을 충족시켜 나갈 것”이라고 말했다.
 
◇보안, 통제와 제어가 아닌 비즈니스 관점으로 접근하자=그는 “보안은 이제 통제나 제어의 관점에서 접근하면 안된다. 비즈니스와 서비스 관점에서 접근해야 한다”며 “보안은 기업의 비즈니스가 원활하게 돌아갈 수 있도록 지원하는 것이다. 통제만을 위해 존재하는 것이 아니다. 관점이 바뀌어야 한다. 보안이 비즈니스를 더 잘 될 수 있도록 지원해준다는 인식이 생겨야 보안투자도 더 늘어날 것이다. 서비스 마인드로 보안을 접근하는 것이 중요하다”고 강조했다.
 
그래서 CJ오쇼핑은 기존 보안사고들, 보안 트랜드, 내부 보안수칙, 보안점검 내용 등을 사내 방송을 통해 안내하고 있다. 최 과장은 “대부분 정보보안 지침을 사내 보안부서만 알고 있다. 그래서는 소용이 없다”며 “좀더 쉽게 사원들도 알 수 있도록 안내하는 것이 중요하다. 특히 일반직원, IT관련 직원, 관리자 별로 관점과 업무를 구분해 보안 교육과 지침을 구분해 전달하고 있다. 모든 직원이 모든 보안 사항을 알 필요는 없다. 업무와 직급에 맞는 보안 사항을 쉽게 알아들을 수 있도록 전달하는 것에 초점을 맞추고 있다. 직원들이 보다 쉽게 직관적으로 보안내용을 볼 수 있도록 보안정책도 계속 업그레이드 해 나갈 계획”이라고 한다.
 
그는 마지막으로 “보안담당자가 솔루션에만 의지하면 안된다. 참고만 해야 한다. 그 솔루션이 왜 나왔는지 사상과 개념을 먼저 이해하는 것이 중요하다. 단순 기능에만 의존하면 안된다”며 “예를들어 DRM은 문서보안 솔루션으로 알고 있지만 원래는 저작권 보호 때문에 나온 솔루션이다. 이런 개념을 정확하게 알고 있다면 해당 솔루션으로 보안 이외에 회사의 다양한 자산들과 연결해 이용할 수 있다. 보안을 통제와 제어의 관점에서만 보기 때문에 보안부서의 역할이 협소해 진다. 좀더 비즈니스적인 관점에서 솔루션을 관리하고 정책을 만들어야 한다. 관점이 바뀌면 솔루션 사용 방법도 달라진다. 하나의 솔루션을 확장해서 서비스에 도움이 될 수 있도록 사고를 확장해 사용하려는 고민들이 있어야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com