2024.03.29 (금)

? Operation now in progress (115)
n
기상청 제공
Case Study | 암웨이 - DLP 구축으로 정보유출 리스크 최소화
  • 해당된 기사를 공유합니다

ROUNDTABLE

Case Study | 암웨이 - DLP 구축으로 정보유출 리스크 최소화

   
 
DLP(데이터손실방지)는 사용자의 위치에 상관없이 데이터를 검색하고 모니터링할 수 있는 것이 특징이다. 특히 정보의 유출 경로를 차단하고 예방하는 등 보안 체계를 구축할 수 있으며 기업들이 중요 정보에 대한 가시성을 확보할 수 있는 솔루션으로 주목받고 있다. 한국암웨이는 최근 정보 유출 위험을 최소화하기 위해 DRM(디지털저작관리)을 포함한 DLP를 구축했다. 한국암웨이의 DLP 구축 배경 및 성과를 살펴봤다. 이지혜 jh_lee@biziton.com 한국암웨이는 국내 사용자들의 데이터 사용에 대한 인식 향상과 정부의 개인정보보호 규정이 강화됨에 따라, 고객데이터를 한층 더 모니터링하고 보호할 수 있는 DLP를 구축 프로젝트를 완료했다. 이번 프로젝트는 기존 사용해오던 DRM(디지털 저작관리)의 개선 포인트를 기반으로, 고객 개인 정보보호를 위한 인프라 구축과 개인정보 보안에 대한 수립이 함께 고려됐다. 한국암웨이는 이번 프로젝트를 통해 비즈니스 환경에 직접적인 영향을 미칠 수 있는 데이터 유출 사고에 대한 근본적인 방지책을 마련한 것으로 평가받고 있다. 정보보호 문제 사전예방 한국암웨이는 기존 내부 정보 유출 방지 및 핵심 정보자산 보호를 위해 DRM솔루션을 사용해 왔지만 사용자 불편 등 여러 문제에 직면하면서, 정보중심 보안 정책을 보다 효과적으로 시행하고자 DLP솔루션을 구축해 지난해 9월부터 정책 시행에 착수했다. DLP솔루션은 사내 중요정보에 대한 가시성 확보가 뛰어나며 네트워크와 엔드 포인트 영역에서의 정보 유출 경로 차단과 예방이 가능하다. 또한 한국암웨이는 개인정보보호에 대한 사용자 보안인식을 능동적인 방식으로 재확립시킨다는 계획이다. DLP는 통합된 단일 인터페이스를 통해 엔드포인트를 비롯한 네트워크, 스토리지에 대한 포괄적인 데이터 손실 방지 기능을 제공해 정형 및 비정형 데이터를 모두 보호하게 되며 구축이후의 효과는 크게 정량적, 정성적 효과 두 가지로 나뉜다. 정량적 효과는 문서 보안 정책 위반율이 전 대비 25% 감소했으며 민감한 개인정보의 흐름량도 60%감소했다. 또한 2시간 이상이 소요되던 정책 위반 증거 조사시간이 5분 내로 단축됐다는 것이 한국암웨이 측의 설명이다. 정성적 효과로는 부서 정보보호 코디네이터에 의한 정확하고 현실적인 보안관리 및 감독으로 경고창 알람에 의한 직원들의 능동적인 자기학습이 꼽힌다. 한국암웨이는 총32개 부서에 35명의 정보보호 코디네이터를 지정해 부서 전체가 자발적으로 정보보호의 중요성을 인식하고 동참할 수 있도록 유도했다. 또한 이미 DRM솔루션을 도입하면서 내부 사용자들의 애로사항을 파악한 한국암웨이는 부서와 정책 우선순위를 조율함과 동시에 임직원들의 적극적인 동참과 의식개혁을 위해 전 직원에게 48시간의 보안 교육을 병행하도록 했다. 그 결과 현재는 직원들이 자발적으로 암호화 조치까지 취할 정도로 보안의식이 향상됐다. 한편 방송통신위원회 고시 기술적 조치를 준수하면서 법규준수 능력과 보안위반 행위감소와 위반행위에 대한 빠른 대처 프로세스 정립으로 정보통제가 가능해졌다. DLP, 명확한 정책과 프로세스 확립한 후에 기존 문서보안 솔루션들은 주로 50%이하의 기업 기밀 정보의 보호를 위해 나머지 50%이상의 일반적인 정보가 보호조치를 함께 취해야 하는 형태였으나 DLP는 보호해야 할 정보에 대해서만 차등 정책을 적용시키고 있다. 그 결과 업무 생산성에 최소한의 영향을 끼치면서도 보안을 유지시켜주는 것이 가장 큰 강점으로 꼽히고 있다. 또한 데이터의 이동과 사용이력에 대한 자료가 사후 감사자료로 활용돼 정보 외부 유출에 대한 경각심과 개인 부주의로 인한 정보 유출을 사전에 방지시킨다. 한국암웨이는 DLP구축단계에 앞서 국내 적용사례가 없어 최적의 표준을 정립하는 작업과 임직원들의 의식변화로 변화관리과정을 수행하는 일이 어려웠다고 전했다. 특히 적용사례가 없었던만큼, 위험을 최소화 시키면서도 IT팀이 업무혁신을 주도해 비즈니스가 따라오게 만드는 시스템으로 구축하는데 중점을 뒀다. 진재경 한국암웨이 이사는 “DLP는 하나의 정보보호를 위한 수단이다”라며 “어떠한 정보들을 어떻게 보호할 것인지에 대한 정책과 프로세스가 먼저 정확히 수립돼야 한다”고 강조했다. 현재 암웨이 해외법인들을 비롯해 국내 제조사들에서 한국암웨이의 DLP솔루션에 대해 많은 관심을 보이고 있으며 지난해 시만텍에서 베스트 프렉티스 사례로 선정돼는 쾌거를 이뤘다. INTERVIEW - 진재경 한국암웨이 이사 “정보보호 체계, 대외적으로 검증받을 것” DLP구축배경을 간단히 소개한다면 보안에 대한 관심이 높아지고 있다고 하지만 대부분이 일종의 보험으로밖에 생각하지 않는다. 소위 ‘안 터지면, 문제가 생기지 않으면 그만’이라는 개념들 때문이다. 이러한 보안 문제를 사전에 예방하면서 조직의 변화관리를 아우를 수 있는 시스템이다. 정보보호 코디네이터를 둔 이유는 각 부서별로 DLP와 관련해 업무별로 정보보호 코디네이터가 있다. 처음 시만텍의 솔루션을 도입하기로 했을 때 기본적인 이메일 기능에 이어 합의하에 추가적으로 구축한 사항이다. 문제가 예측될 때 푸싱알람 기능을 통해 직원들에게 먼저 알려줌으로써 사전예방을 할 수 있다. 올해 주요 계획은 개인정보보호 2개년 계획의 마지막 단계이다. 지난해 정보보호 체계를 구축하고 보안 사고 방지에 초점을 맞췄다면 올해는 예방에 주력한 프로젝트들이 진행될 예정이다. 또한 2개년 계획 실행의 대외적 검증을 받기위한 ISO27001 인증 취득이 가장 큰 목표다.