포털 '다음'은 어떻게 제휴사 개인정보까지 보호했나

일반입력 :2014/04/17 16:38

손경호 기자

개인정보를 빼내고 싶어하는 범죄자들이 가장 손쉽게 접하는 방법 중 하나는 내부자를 통하는 것이다.

최근 발생한 협력회사 직원이 금융정보를 빼돌린 카드사 개인정보유출사고 외에도 은행 퇴직자들을 통한 정보 유출, 협력업체를 통한 정보 유출 등은 모두 내부에서 제대로 중요한 정보를 관리하지 않았기 때문에 불거진 문제다.

네이버, 다음과 같은 국내 주요 포털회사들은 많은 제휴사들을 통해 콘텐츠나 각종 서비스를 제공하고 있는데, 이 과정에서 개인정보 유출 사고 가능성이 있는 것이 사실이다. 대형 포털들 입장에선 제휴사 개인정보보호에도 신경이 쓰일 수 밖에 없는 이유다.17일 한국인터넷진흥원(KISA)이 주최한 '국제개인정보보호 심포지움 2014'에서 발표를 맡은 다음커뮤니케이션 이진화 부장은 '개인정보보호와 아웃소싱 관리'라는 주제로 다음이 어떻게 개인정보를 위탁/제공하고 있는 제휴사들과 함께 개인정보보호를 위한 노력을 진행하고 있는지 설명했다.

다음은 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS) 등 개인정보를 취급하는 사업자에게 적용되는 정부가 인증한 표준을 획득했다. 그러나 PIMS는 300여개가 넘는 체크리스트를 제휴사들이 모두 지키도록 강제하기는 힘들다.

이 부장에 따르면 다음은 이같은 문제를 해결하면서도 일정 수준의 개인정보보호 수준을 유지하기 위해 자체 체크리스트를 만들었다. 기존에 공개된 국내외 개인정보보호 관련 표준인증에 나온 항목을 토대로 제휴사들에게 반드시 필요한 체크리스트를 따로 만든 것이다.

이 부장은 3명이 함께 일하고 있는 영세한 제휴사에 개인정보유출을 막기 위해 침입탐지시스템(IDS), 침입방지시스템(IPS) 등 한 대당 몇 억원씩 들어가는 장비를 구축하도록 하는 것은 불가능한 일이라며 이를 감안해 2년전부 제휴사를 이한 최소한의 체크리스트를 마련하기 시작했다고 말했다.

제휴사 입장에서는 다음에서 직접 개인정보관리 현황을 확인하러 나온다고 하면 부담을 느낄 가능성이 높다. 이 부장은 감사 혹은 내부간섭 등의 우려를 사전에 차단하면서 제휴사가 부족한 부분을 채워준다는 인상을 주기 위해 노력했다고 말했다.

이를 위해 다음은 자사와 제휴를 위해 필요한 최소한의 개인정보보호수칙을 50개 항목의 체크리스트로 만든 뒤 보안전문업체와 협력해 제휴사들에 대한 점검을 실시하고 있다.

제휴사들 입장에서는 재계약시 정보보호에 대한 추가적인 검토없이 보다 빠르게 계약을 맺을 수 있다는 점이 장점이다.

관련기사

체크리스트외에도 다음은 제휴사에서 스스로 개인정보를 보호할 수 있도록 알기 쉬운 용어로 정리한 점검가이드를 개발해 배포하고 있다.

다음에 따르면 제휴사 중 채널링 게임 서비스를 제공하는 곳에서는 47%, 광고/이벤트 등을 진행하는 미디어랩사는 25%, 광영업업대행사에서는 17%가 다음이 개발한 체크리스트를 활용해 점검을 받았다.