리테일, 면세점, 물류 쇼핑업계 보안 현황2

고객정보 보호, DB암호화 및 네트워크 제어에 중점
유통업에 맞는 보안 프레임워크 필요

리테일, 면세점, 백화점 등 주요 유통기업을 만나 보안 정책에 대한 이야기를 들었다. 오프라인 매장과 온라인 쇼핑몰도 운영하는 유통업계, 그리고 배송 업계의 보안관리자들은 하반기에 고객 개인정보를 수호하기 위해 DB서버보호, DB암호화, 네트워크 접근제어에 초점을 맞추고 있었으며 또한 랜섬웨어, APT 방비책을 강화하고 있었다.

GS리테일, 온라인 보안 강화

GS리테일은 GS25편의점이 가장 많은 수익을 내고 있는 상황, 이어 모바일 GS슈퍼의 매출도 증가하고 있는 추세다. 이영기 경영정보부문 정보보안팀장은 “POP카드로 통합 적립보너스 혜택을 주고 있다. 해피머니, T머니도 적립해주고 있어서 해커들이 잠입해 개인정보를 탈취하거나 도용하지 못하게 하는데 주안을 두고 있다”며 “오프라인 매장, 단말기 보안뿐만 아니라 온라인 보안에도 각별히 신경을 쓰는 이유다”라고 말했다.

개인정보제공법규, 현실적 세부시행령 마련돼야

이영기 팀장은 금융감독원 법규 중 개인정보 정책에 대한 동의와 제공에 세부세칙이 필요하다고 전했다. 법규에는 관련 유통 업체에게 개인정보들을 알려줄 경우, 가입고객들에게 무조건 동의를 받도록 하고 있다.

“고객들이 구매한 물건을 배송하다보면 업체들과 개인정보(일부가 태깅된 정보)를 공유해야 한다. 그러나 현실적으로 관련 업체들이 바뀌는 경우가 많이 발생한다. 바뀔 때마다 2,3년 전에 가입한 고객들에게까지 개인정보 제공에 대한 동의를 일일이 받는다는 것은 무리이다”며 “기업의 활발한 영업활동을 위해서는 개인정보 동의 부분에 대한 제도개선이 필요하며 법규의 기본골자는 바뀌지 않겠지만, 세부시행령은 현실 상황에 맞게 세분화되고 다양해져야 한다”고 덧붙였다.

BGF리테일, 포스단말기 보안 강화
유업업계 보안프레임워크 필요

송지택 BGF리테일 정보시스템본부장은 CU편의점을 중심으로 비지니스를 하고 있기 때문에 포스단말기 보안에 가장 중점을 두고 있다. 고객의 결재정보는 PG사가 담당하여 암호화해서 관리하고 있는 상황이다.

송지택 본부장은 “멤버십, 직원정보 등 지켜야할 개인정보는 암호화로 관리하고 있다”고 말했다. 그는 “개인정보의 의미가, 그 개인을 식별하거나 파악할 수 있는 정보라는 광의적 의미로 바뀌면서 어느 선까지 대책을 마련해야 하는지가 고민”이라고 말했다.

더불어 “유통업계의 적절한 보안 수위가 어디인지에 대한 가이드가 없기 때문에 자의적으로 판단할 수밖에 없다”고 전했다. 그는 유통업에 맞는 보안 프레임워크가 필요하다고 특별히 강조했다. 골키퍼가 지켜야할 골문이 몇 개인지를 알아야 잘 막을 수 있다는 것이다.

송지택 본부장은 솔루션 벤더들의 자세에 대해서도 꼬집었다. “국내 벤더들은 자신들의 솔루션의 기술만을 강조한다. 다 막을 수 있다고 하지만 막상 BMT(Bench Marking Test_성능테스트)를 해보면 잘나오는 성능은 몇 개 수준이다. 과대광고를 하는 것이다. 유통업에 맞게 커스터마이징을 해줄 수 있어야 하는데 그런 노력은 부족해 보인다. 글로벌 벤더사들도 마찬가지이다”라고 꼬집었다.

이외 신라면세점은 고객정보의 보호 강화를 위해 DB접근통제, DB암호화, 접속기록 관리 등을 중점적으로 시행하고 있었다. 이랜드 리테일 역시 DB암호화, DB서버보호, 네트워크 접근제어로 보안맵을 짜고 업그레이드 중에 있었다.

택배사, 정보 보호 강화

S택배사 보안 담당자는 “일부 택배사의 고객정보가 흥신소로 유출된 경우가 있었다. 이에 DB암호화에 주력 중”이라고 말했다. S택배사는 내부적으로도 고객정보를 볼 수 없도록 암호화하고 있었다. 지역 대리점들도 고객정보를 다운 받을 수 없게 했다. 고객주소는 시와 구, 동까지만 보이고 상세주소는 '*' 화 시켰다. 홈페이지에서도 제한된 DB만 보이도록 했고 내부적으로도 고객DB는 벌크데이터로 분류해 다운을 제한하고 있다.

S택배사 보안 담당자는 ISMS 인증을 받기 위해 준비 중에 있다고 했다. “ISMS 인증은 결국 로그를 다 남기라는 말이다. 이를 위해 데이터와 시스템 부화를 어떻게 해결해야 할지 고민이다”라며 해결책은 서버 업그레이드로 보고 있었다.

그는 “업무 편의와 보완 사이에서, 보안을 강화하면서 업무의 불편을 최소화하는 적절한 대응이 필요하다. 이는 곧 보안 수준을 어느 정도로 끌어 올릴지에 대한 정리가 필요하다는 말이다”라며 “불편하더라도 감수해야 할 면이 있다. 가상번호도 사용 초기에는 불편이 많았지만 이제는 익숙해졌다. S택배사 직원들은 PC 아이디와 패스워드를 2주 간격으로 바꾸고 있다”고 했다.

엔터프라이즈 보안, 영업과 보안의 밸런스 능력 가장 중요

이영기 GS리테일 팀장은 보안담당자에게 가장 중요한건 기술 지식이 아닌 ‘사용저와의 커뮤니케이션 능력’이라고 했다. 기업은 영업활동과 보안의 밸런스가 중요하기 때문이다.

“영업활동을 위해 보안의 예외사항을 하나씩 하나씩 두게 보면 내부적으로 맹점이 생긴다. 그렇다고 모든 사항에 원칙만을 적용하기엔 현실적으로 무리가 있다. 원칙만을 고집하면 보안담당자는 기업조직에서 고립되기 쉽고 이미지가 안 좋아진다”며 “원리원칙과 유연한 운영을 잘 하려면 무엇보다 윤리적이어야 한다. 도덕성이 가장 중요하다는 말”이라고 강조했다.

이영기 팀장은 보안담당자는 인내력과 지속력이 중요하다고 전했다. 보안을 지키기 위해서는 상대에게 경우에 따라 차선책을 제안해주면서 인내로 설득해야 한다는 것이다. “귀찮아서 예외처리를 해주면 그게 쌓여서 사고가 생긴다. 예외 사항을 관리하지 않으면 홀이 생기고 만다. 그래서 보안은 기술이 아니라 사람관리”라고 말했다.

그는 마케팅, 법률, 인사담당자들도 보안을 할 수 있다고 말했다. “비즈니스 전문가가 보안관리를 하는 것도 좋다. 비즈니스를 잘 이해하는 사람이 효율적으로 밸런스를 맞출 수 있기 때문에 보안도 잘 할 수 있다”며 “바꿔 말하면 보안담당자들도 다양한 경험을 쌓아보는 게 좋다”고 말했다.