앞으로 외주인력/내부인력에 구분을 두지 않고 보안관리 대상이 되도록 하고, 데이터가 나가는 통로를 집중적으로 관리하는 한편, 외주업체들 스스로 개인정보보호지침을 마련해 지킬 수 있도록 하는 등의 노력이 필요할 것으로 보인다.
카드사 3사에 대한 개인정보유출사고 이후 외주인력 보안관리에 대한 관심이 높아지고 있는 가운데 한국침해사고대응팀협의회(CONCERT)는 '효과적인 아웃소싱 정보통제 관리 방안'을 주제로 개최한 폐쇄형 세미나인 '제1차 CONCERT 시큐리티 라운드업'에서 이 같은 방안을 논의했다고 25일 밝혔다.
신용카드사, 인터넷포털, 온라인쇼핑몰 보안실무담당자들이 참여했던 만큼 현업 보안 담당자들의 솔직한 의견을 들어 볼 수 있는 기회가 됐다.
CONCERT에 따르면 먼저 신용카드사 보안담당자는 외주인력 뿐 아니라 내부직원도 동일한 범주에서 보안관리의 대상이 돼야 한다고 주장했다. 데이터의 특성과 흐름을 이해한 상태에서 권한 부여/회수와 보안정책을 수립하는 것이 가장 중요하다는 설명이다. 이 담당자는 외부로 데이터가 유출 될 수 있는 관문을 최대한 줄이고, 해당 관문을 통과하는 정보는 보안부서를 통해 철저히 관리하는 것이 핵심이며, 통제권한이 보안부서에 집중돼 있는 만큼 해당 부서에서 통제권한이 적절하게 관리되고 있는지 감사하는 기능도 필요하다고 강조했다.
인터넷포털사이트 보안담당자는 데이터가 나가는 포인트를 관리해야한다는 의견에 동의하면서 이를 관리하기 위해 개인정보제공회사에 대한 개인정보 보호수준 점검제도를 운영 중이라고 말했다. 개인정보제공회사들도 정보보호 중요성에 대한 인지는 하고 있으나 어떻게 접근해야하는지 모르는 경우가 많기 때문에 이들 회사에 대한 통제보다는 점검제도를 도입해 개인정보제공회사 내부 보안수준을 높일 수 있는 방안을 함께 모색해 보는 과정이 필요하다고 설명했다.
패널로 참가한 인터넷쇼핑몰 보안담당자는 공공기관에서 배포한 '안전한 쇼핑 및 물품 배송을 위한 개인정보보호 가이드'와 '소상공인 개인정보보호 수칙' 등을 취합해 자체적인 개인정보보호 가이드를 개발해 운영 중이라고 밝혔다.
자체 개인정보보호 가이드를 개발해 판매자에게 첫 거래시 온라인을 통한 강제 자동 배포해 효과를 봤다는 것이다. 이 담당자는 협력사들이 자체적으로 정보보호 수준을 확인할 수 있도록 개인정보유출 방지에 중점을 둔 체크리스트를 제공한 뒤 협력사 자체점검결과를 받아 현장실사를 통해 실제 개인정보관리상태를 관리하고 있다고 말했다.
관련기사
- 불법 자동이체 사기에 통신사 개인정보 활용2014.02.25
- 정보유출 카드사, 탈회 고객 포인트 34억원 미환급2014.02.25
- 개인정보유출 카드사, 업무정지 3개월-과태료 600만원2014.02.25
- 정부, 공공-민간 개인정보관리실태 특별점검키로2014.02.25
한편 유통업 보안담당자는 IT프로젝트 추진 중에 보안에 대한 고민이 반영되지 않아 이미 완료된 프로젝트에 대해 보안 로직을 다시 도입하느라 일정과 비용에 대한 낭비가 발생하는 경우가 많다고 밝혔다. 이를 해결하기 위해 프로젝트 추진단계에서 보안요건협의를 통하도록 해 보안 리스크를 예측하고 관리하는 방안을 제안했다.
심상현 CONCERT 사무국장은 정보보호 관련 문제의 특성상 개별 기업이나 기관이 혼자 고민하는 경우가 많은데, 동일 사안에 대해 각자 고민할 경우 얻을 수 있는 해법의 범위에도 제한이 있고, 사회적으로도 낭비라며 시큐리티 라운드업이 정보공유, 토론을 통해 참석자들 스스로 해법을 찾을 수 있도록 했다고 말했다.