사후약방문 대응체계 바꾸는 게 최우선 현대캐피탈과 리딩투자증권의 고객정보 유출, 농협 전산사고 등 최근 금융권에서 일어난 대형 보안사고는 한 번의 실수나 작은 문제점이 막대한 피해를 일으킨다는 사실을 알게 해주는 사례다. 보안사고의 특징은 사소한 것일지라도 대재앙을 부르기 때문이다. 보안사고로 인한 피해가 막대하다는 사실은 누구나 알고 있다. 지난 2004년 태풍 매미로 인한 피해 규모는 약 4조원이었지만 악성코드에 감염된 PC 때문에 발생한 피해는 7조8천억원에 달하는 것으로 나타났다. 이 같은 피해는 정보 보안 불감증과 큰 피해를 입지 않을 것이라는 생각이 만든 합작품이다. 그런데 대재앙을 겪고도 보안을 대수롭지 않게 여긴다. 원인은 무사안일주의다. 금융권의 경우 IT 전문 인력을 통한 보안사고에 효율적으로 대처할 수 있도록 해야 하지만 보안에 대한 인식을 획기적으로 전환하지 못하고 있다. 금융사는 IT 예산 중 5%는 정보보호 예산으로 편성해야 한다. 그러나 5%를 지킨 금융사는 일부에 불과했다. 내부보안에 소홀한 점도 큰 문제점이다. 시스템보다는 인재에 의한 보안사고가 갈수록 늘고 있기 때문이다. 내부 임직원의 보안의식이 허술할 경우 사고는 언제든지 일어날 수 있다. 때문에 보안시스템을 감시*감독하는 부서와 인력에 대한 처우 개선 등의 문제도 해결해야 할 과제다. 정보보호 전담 부서를 갖췄다면 역할을 제대로 할 수 있도록 지원을 아끼지 않아야 한다. 금융권과 제조업의 보안 담당자들은 개선해야 할 점이 많다고 지적한다. 사건이 생겼을 때만 일시적으로 관심을 가질 게 아니라 지속적이어야 한다는 것이다. 아울러 스마트폰 등 모바일 기기를 많이 사용하는 시대적 변화에 맞춰야 한다는 목소리에도 귀를 기울여야 한다. 즉 새로운 보안 환경에 대한 대처 방안을 마련해야 한다는 것이다. 보안 현황과 문제점을 살펴보고 최선의 대응방안은 무엇인지 점검해봤다. Contents PART Ⅰ. 기업 보안 현황과 문제점 - 보안, 반짝 관심으로 그치지 말아야 PART Ⅱ. 금융권 보안 실태와 대응방안 - 인력 확충과 처우개선이 시급 PART Ⅲ. 제조업 보안 실태와 대응방안 - 보안영역 확대*보안의식 고취 필요하다 PART Ⅰ. 기업 보안 현황과 문제점 - 보안, 반짝 관심으로 그치지 말아야 국내 모든 기업이 보안에 대한 관심이 뜨겁다. 최근 일어난 보안사고가 보안에 대한 경각심을 일으켰다. 그동안 보안 투자나 의식이 뒷전이었으나 이번 계기로 보안에 대한 관심이 증가하고 있다. 그러나 보안 업계에서는 과거와 같이 반짝 관심에 머무르는 것이 아니냐는 우려의 목소리가 나오고 있다. 사고가 일어났을 때만 보안을 강조하고 시간이 지나면 다시 과거로 돌아가는 상황이 되풀이됐기 때문이다. 현재 기업 보안의 현황과 문제점을 짚어봤다. 류호성 hs_ryu@biziton.com 지난 3월 현대캐피탈의 개인정보유출 사건이 발생한지 얼마 지나지 않아 해킹으로 인한 농협 전산망 사고가 일어나 보안이 기업의 주요 화두로 떠올랐다. 이번 사고로 현대캐피탈 고객들은 개인정보 유출로 인한 2차 피해의 두려움에 떨어야 했고, 농협 고객들은 거래 중단으로 인한 직간접적인 금전 피해를 입기도 했다. 보안사고가 얼마나 파장이 큰지를 보여주는 단적인 사례들이다. 특히 농협의 경우 사고 이후 대응력이 원활하지 못해 여론을 악화시켰다. 현대캐피탈은 고객들에게 사과하면서 후속 보완대책을 약속하고, 농협은 북한 소행이라는 사고 원인규명과 향후 5100억원의 보안 투자를 하겠다는 발표를 한 후 상황은 마무리됐다. 이번 사건을 계기로 국내 모든 기업이 보안 점검을 실시했다. 그동안 일어났던 보안사고와 달리 이번 사고는 사회적 파장이 커 금융권뿐만 아니라 여러 산업의 경영진도 보안에 대해 다시 한 번 생각하는 계기가 됐다. 기업들은 제각기 보안 후속 대책을 마련하고 있다. 내부 보안 체계를 검토하고 보안 거버넌스와 프로세스를 재정립하고 있다. 또 필요한 솔루션 및 시스템이 있으면 구축을 계획하고 있다. 특히 많은 기업들은 내부 보안 체계 확립에 중점을 두고 있다. 금융 기업의 보안 담당자는 “보안이라는 것은 비용 투자만 한다고 해서 완벽히 갖춰지는 것이 아니다”라며 “예전부터 기업들은 기본적인 보안 시스템을 도입해 활용했지만, 내부 보안 체계 확립은 소홀했던 게 사실”이라고 말했다. 소 잃고 외양간 고치기는 그만 그러나 보안 업계는 이번 사건을 계기로 보안에 대한 투자가 활성화 되겠지만, 일시적인 현상에 머무는 것이 아닌지 우려하고 있다. 보안 업계의 한 관계자는 “국내의 보안은 소 잃고 외양간 고치는 격”이라며 “과거에도 개인정보 유출과 금융권 전산 사고는 수시로 있었으나 그 시기에만 보안 중요성이 강조된 뒤 시간이 지나면 다시 보안은 뒷전으로 밀리기 일쑤였다”고 ‘반짝 관심’을 경계했다. 사실 기업 내에서 IT는 비즈니스 목표 달성을 위한 업무에 집중했고, 보안은 뒷전이었다. 사고가 일어나야 대책 마련에 분주했고, 사고가 일어나지 않은 기업은 자신들이 당하지 않은 것에 대해 안도하며 형식적인 점검을 하는데 그쳤다. 이 때문에 보안 업계에서는 평상시 보안에 대한 인식을 갖는 것이 중요하다고 강조하고 있다. 일시적인 관심과 투자는 다시 보안사고를 불러일으킬 수 있다는 것이다. 또한 부족한 보안 전문 인력을 양성하는 것도 시급한 과제로 떠올랐다. 기업에서 평상시 보안 체계를 관리하고, 보안 투자 실무를 담당하는 인력이 부족한 것이 현실이다. 이에 보안 업계에서는 최고보안책임자(CSO)의 필요성도 제기하고 있다. 이와 함께 감독기관의 관리감독 소홀도 문제점으로 지적되고 있다. 지난 2009년 7월 디도스(DDoS) 대란 이후 금융기관의 보안 관련 예산을 전체 예산의 5%로 증액하기로 지도했으나 이를 지키는 기업은 거의 없었다. 기업들은 예산 반영의 어려움을 들어 현실상 당장 이뤄지기 어렵다고 토로했다. 그러나 적절한 후속 조치나 권고는 없었다. 또한 보안사고가 동시에 터지자 금융감독원은 인력 부족에 시달리며, 제대로 된 관리감독을 시행하지 못했다. 보안 당국부터 조직과 인력 강화가 필요하다. 클라우드, 모바일 보안도 중요 한편, 최근에는 클라우드, 모바일 등 새로운 IT기술이 나오면서 이들에 대한 보안 대책도 중요해지고 있다. 특히 모바일 오피스를 도입해 활용하고 있는 기업이 증가하면서 오래전부터 모바일 오피스에 대한 보안 가이드라인 필요성이 제기됐다. 그러나 아직까지 보안 가이드라인은 없는 상태다. 모바일 오피스를 활용하는 기업들은 기본적인 보안 시스템을 갖추고 있기 때문에 모바일은 비교적 안전하다고 입을 모으고 있다. 그러나 농협과 현대캐피탈 사태에서 보듯 기본적인 보안 시스템을 갖추고도 보안사고는 발생하고 있다. 보안 업계 관계자는 “아직까지 모바일 보안사고가 발생하지 않아 모바일에 대한 보안 의식 수준은 낮은 편”이라며 “모바일 보안 기술이 성숙해야 할 필요성 있고, 관련 기관의 가이드라인 제시도 필요하다”고 말했다. PART Ⅱ. 금융권 보안 실태와 대응방안 - 인력 확충과 처우개선이 시급 잇따른 금융권 보안사고로 금융기업들은 보안 점검을 통한 미비점 대책 마련에 분주하다. 내부 보안 체계를 다시 짜는 것부터 보안 솔루션을 도입하는 방안까지 다양한 방안을 수립하고 있다. 그러나 기업 내에서는 이런 투자보다는 보안 인력 확충과 처우 개선이 우선이라는 지적이다. 최근 일어난 금융 사고의 근본 원인도 이런 문제에서 기인했다는 것이 금융권 IT 관계자의 공통적인 시각이다. 금융 보안사고 이후 금융기업들은 어떠한 노력들을 하고 있는지 살펴봤다. 류호성 hs_ryu@biziton.com 금융권은 최근 일어난 보안사고로 인해 보안에 대한 경각심이 커지고 있다. 일부 기업에서는 적극적인 투자가 이뤄지고 있지만, 대다수 기업에서는 투자보다는 내부 보안 체계를 강화하는 방안에 적극적인 것으로 나타났다. 또한 보안 인력 확충과 처우 개선도 금융기업들의 시급한 과제인 것으로 나타났다. 지난 3월 발생한 현대캐피탈 개인정보 유출과 4월 발생한 농협 전산 보안사고로 인해 금융권에서는 대대적인 금융 시스템 점검이 이뤄졌다. 정부 금융기관의 점검부터 그룹사 차원의 점검, 자체 점검까지 금융권은 점검에 대응하느라 바쁜 나날을 보냈다. 금융 기업들은 이런 점검을 통해 보안 문제를 도출하고 문제점을 보완하는데 주력하고 있다. 이 와중에 지난 4월 19일 리딩투자증권이 홈페이지 관리 서버의 개인정보 DB 관리를 소홀히 한 탓에 해킹된 것으로 알려졌다. 금융 보안사고 이후 각종 점검과 금융 IT 보안 세미나를 통해 보안에 대한 논의가 이어져 왔으나 그동안 말만 많았다는 지적을 피하기 어렵게 됐다. 보안 투자 축소, 내부통제 소홀 지적 지난 4월 열린 임영호 국회의원과 금융보안포럼이 주최한 금융보안 정책토론회에서 임종인 고려대 교수는 금융전산망 보안 문제점을 지적했다. 첫 번째가 부족한 보안 투자이다. 은행권 보안 예산 비율은 금감원 권고치인 5%를 못 미치는 3.4%에 불과하며, 최근 2년간 금융기관의 보안 투자가 급감했다는 것이 임 교수의 지적이다. 또 내부통제의 실패를 꼽았다. 그는 농협의 경우 수년간 비밀번호를 변경하지 않고 초기 값을 그대로 사용했으며, 관리용 노트북의 외부 유출 등 기본적인 통제가 이뤄지지 않았다고 말했다. 이외에도 보안 거버넌스 취약, 아웃소싱에 대한 과다한 의존, 보안 설계 결함, 위험커뮤니케이션 실패, 금융당국의 보안검사인력 미비 등을 금융권 보안 문제점으로 꼽았다. 그러나 실제 금융 IT에 종사하고 있는 금융권 보안의 근본 문제는 인력 부족과 처우 문제라고 주장하고 있다. 은행 IT 관계자는 “은행의 보안 전담 인력은 턱없이 부족한 게 현실”이라며 “다양한 상품 개발과 업무 효율성 강화에 집중하다 보니 보안은 후순위 업무로 인식돼 전담 인력이 부족하다”라고 말했다. 또한 금융 IT 중요성이 증가하고 업무도 증가하고 있지만, IT 인력의 처우는 개선되지 않고 있다는 것이 금융 IT 관계자들의 공통된 주장이다. 모 은행의 IT부서 과장은 “야근하는 것은 일상다반사이며, 심지어 밤을 새는 경우도 허다한데 시스템 오류가 한번 일어나면 평소의 이런 노력은 물거품이 되고 책임만 물게 된다”고 하소연했다. 이로 인해 일각에서는 보안을 전담하고 책임질 최고보안책임자(CSO)의 필요성에 대해 주장하고 있다. 그러나 기업 IT 관계자들은 현실적인 판단을 먼저 해야 한다고 지적했다. 한 증권사의 CIO는 자신의 I T부서를 가리키며 “보안 인력이 얼마나 되는지 보면 알 수 있지만, 기업 보안을 강화하기 위해 필요한 것은 CSO보다는 IT 전문 인력”이라며 “실무적으로 일할 사람이 부족한데 책임자만 세우면 뭐가 달라지겠는가?”라고 반문했다. 전문 인력 확충 급선무 이 때문에 기업은행은 보안 전문 인력을 대폭 늘린다고 발표했다. 기업은행은 IT 정보보호 인력을 현재 13명에서 24명으로 늘려 IT 전체 인력의 4.3% 수준까지 끌어올리기로 했다. 금융감독원 권고 수준인 5%에는 부족하지만, 내년 초까지 정보보호 조직을 2배 인력으로 갖출 계획이다. 상반기에 채용한 인력은 각종 해킹과 디도스 공격 등 해킹 시도에 대한 패턴분석?징??감지탐지와 추적, 복구할 수 있는 침해 사고 대응과 서버시스템 접근, 내부 통제 등 서버 보안관리, 보안 관제모니터링 업무 등을 수행한다. 하반기 채용 인력은 시스템 모의 해킹?보??취약점 관리와 모바일 오피스 보안 및 신기술 대응을 하게 된다. 농협은 같은 사고가 발생하지 않도록 보안시스템 설비에 오는 2015년까지 5100억원을 투자하겠다고 발표했다. 최신 시스템 설치에 4000억원, 백업 및 재해복구시스템 확대에 930억원, 기타 기반시설 확충에 170억원을 투자한다. 이와 함께 CSO를 임명하고 ‘IT통합관제센터’를 신설해 IT 인프라에 대한 상시 감시체제를 강화하는 등 보안 조직을 대폭 확대하기로 했다. 또한 안철수연구소로부터 컨설팅을 받아 국내 최고 수준의 보안시스템을 구축하고, 보안서버 접속에 생체(지문)인식 기능 적용, 보조기억매체 사용 통제, 내부 통제시스템 정비 등 확고한 정보보호 관리체계를 구축할 방침이다. 2012년까지 현재 763명인 IT 분야 전문 인력을 1000여명으로 확대할 계획이다. 그러나 대부분의 금융기업들은 보안시스템 취약점 점검을 한 뒤 중장기적인 관점에서 보안 대책을 실행하려는 분위기다. 국민은행 IT 관계자는 “보안 예산 확보나 투자 인력 확장 문제는 하루아침에 해결될 사안이 아니다”라며 “먼저 그동안 보안을 점검하고 적절한 방안을 수립해 실천하는 것이 중요하다”라고 말했다. 김지은 하나대투증권 상무도 내부보안에 보다 적극적인 투자를 하겠다고 밝혔다. 그동안 해킹과 외부 침입에 대한 보안 투자는 적극적이었으나, 내부 인력들의 보안 체계와 프로세스 는 미비해 내부 보안 개선에 중점을 둘 것이라고 말했다. 최병석 삼성화재 상무도 내부 보안 거버넌스 강화에 중점을 두고 있다. 최 상무는 “그동안 보안 투자가 뒷전에 있었던 것이 사실”이라며 “기업 내 이해관계자들이 보안 중요성을 인식하고 보안에 대한 프로세스와 의사결정 구조 체계를 정립해 보안 투자를 실시하는 것이 중요하다”라고 말했다. 이밖에 국민은행은 시스템 작업 승인 절차를 강화하고 사후 검증체계를 구축할 계획이다.또한 복구 시간 단축을 위한 백업용 디스크를 증설한다. 하나은행은 일회용비밀번호(OTP) 인증 적용을 확대하고 비정기적인 모임해킹작업도 강화했다. 신한은행은 시스템 및 통신 등 인프라 관리절차와 프로세스를 점검하고 보안 인력 확충도 고려하고 있다. 대신증권은 전사적인 보안 컨설팅 추진을 검토하고 있다. 특히 서버보안과 웹방화벽 통제 강화는 내부 보안 강화에 중점을 둘 계획이다. 대우증권도 보안 컨설팅을 추진해 미비점을 보완해 나갈 예정이다. 현대증권도 서버 접근 통제를 강화 내부 인프라 관리를 강화한다. 삼성증권은 최고정보보호책임자(CISO) 지정을 검토하고 있다. 미래에셋생명도 보안체계 검토를 통해 부족한 부분은 IT거버넌스를 통해 강화해 나갈 계획이다. 또 내부통제 기준을 강화하는 방안도 수립했다. 한 보안기업 관계자는 “보안사고가 일어난 후 일시적으로 보안에 대한 투자와 관심이 있어서는 안 된다”며 “꾸준하고 지속적인 보안 대책이 실행되어야 할 것”이라고 밝혔다. PART Ⅲ. 제조업 보안 실태와 대응방안 - 보안영역 확대*보안의식 고취 필요하다 기업들에게 ‘보안’이라는 영역은 눈에 보이지 않는 잠재적인 투자 분야라고 할 수 있다. 이러한 이유 때문에 그동안 기업 전체 보안영역에서 IT 보안이 차지하는 부분은 전체 20%밖에 되지 않았다는 것이 보안전문가들의 설명이다. 최근 금융권에서 잇따라 발생하는 보안사고에서 볼 수 있듯이 더 이상 ‘소 잃고 외양간 고치기’식의 보안 대응은 무의미해졌다. 보안은 보안 팀이나 IT팀, 시스템 운영팀만의 역할이 아니라 임직원 모두가 전사적인 중요성을 인지하고 필요사항을 준수해야 할 중요한 항목으로 자리 잡아가고 있다. 최근 일반 산업군에서의 보안대응 현황과 향후 계획에 대해 살펴봤다. 이지혜 jh_lee@biziton.com “보안은 흔히 창과 방패의 싸움으로 비유된다.” 한 CIO가 보안에 대해 내린 단적인 정의다. 새로운 창이 만들어질 때마다 이를 막을 수 있는 방패를 끊임없이 준비해야 한다는 뜻이다. 기업 OS의 경우 계속해서 취약점이 발견되고 외부 공격을 받을 수 있는 태생적인 약점을 보유하면서 대응방안도 계속 업그레이드되고 다양해 질 수밖에 없다. 이에 따라 정기적으로 내외부 진단평가를 진행하고 취약한 부분을 지속적으로 개선해 나가는 방안과 함께 임직원들의 보안에 대한 인식 변화가 강조되고 있다. 이미 보안 장비나 솔루션 등 유형적인 투자로만 승부를 걸어온 기업들의 실패 사례들이 나타나면서 보안에 대한 의식수준 함양을 고취시켜야 한다는 것이 업계 내 공통된 의견이다. 장기적 계획으로 접근 지난 4월 포스코 그룹 전사 차원에서 진행된 ‘포스피아 3.0 Steering Committe’에서 최고 경영자의 정보 유통에 관한 프로세스와 보안 등급, 정보 확산 범위 등에 대한 지시가 내려졌다. 이에 따라 포스코 건설은 최근 정보보안 개선방안을 진행 중이다. 포스코건설은 그동안 내부 침투에 대해서는 강력한 대응 체계를 구축해 왔지만, 외부 정보유출에 대한 보안통제 기능이 강화됨에 따라 저장매체 통제, 자료의 외부송신, 문서 암호화, 자산 반출입 규제 강화를 과제로 삼았다. 이에 대한 구체적인 실행으로 지난 5월 자료유출 방지 솔루션을 도입해 메일과 메신저, 이동형 저장장치, 출력물 등을 통한 자료유출 통제 및 모니터링과 부서·개인별 주요정보 취급자의 특별관리 및 퇴사 예정자를 모니터링하기 시작했다. 또한 모니터링을 할 수 없는 외부메일이나 메신저는 사내 사용을 통제하되 건설사 업무 수행 행태를 고려해 유연한 통제방법으로 운영한다는 계획이다. 이와 함께 보안 관련 제도도 강화 개선했다. 조용일 포스코건설 이사는 “핵심 정보를 취급하거나 주요 프로젝트에 참여하는 직원에 대한 분석을 통해 인적 보안 체계를 강화 하겠다”며 “기존 애매하게 규정됐던 보안 상벌 기준 역시 기밀자료 방치, 정보유출 시도, 취약점 악용 등으로 명확하게 세분화했으며 임직원의 경미한 위반사항도 누적벌점에 의거해 징계할 계획”이라고 설명했다. 올해 12월 완료 예정인 문서 암호화 및 출입관리시스템을 통해서는 서버에 저장되는 문서의 외부 유출 방지와 그룹 패밀리 업체 이외에 외부로 발송하는 자료에 대해 결재 승인절차로 통제를 강화할 방침이다. 한편 포스코건설은 내실 있는 보안 교육을 위해 외부 전문가 보안 특강을 개최하는 등 사내 임직원들의 보안 마인드를 높이는 데에도 주력하고 있다. 최근 국내 주류업계 1위 자리를 넘보고 있는 오비맥주 또한 지난 2009년부터 시작된 전사보안 프로젝트가 내년까지 진행될 예정이다. 작년 그룹웨어에 대한 1차 보안 계획을 적용해 현재 고도화 작업이 시행중이며 올해는 인프라에 대한 보안계획을 수립했다. 인프라 보안에 따라 현재 NAC(Network Access Control)와 IPAM(IP Access Management) 솔루션 구축 프로젝트가 한창이다. 네트워크 접속 단말에 대한 엄격한 보안적용정책을 목표로 정보유출에 대한 가능성을 최소화하기 위한 방침이다. 또한 올 하반기 시행되는 개인정보보호법에 맞춰 데이터베이스 보안 및 접근제어 솔루션 도입프로젝트인 OBPIP(OB 개인정보 보안) 프로젝트를 국내 법률사무소와 함께 진행한다는 계획이다. 오비맥주는 보안 프로젝트의 마지막 해인 내년에는 문서보안 솔루션인 DRM(Digital Rights Management) /DLP(Data Loss Prevention)를 도입해 가공한 정보에 대한 누수 방지와 함께 조기경보 시스템 및 감사 툴인 ACL(Audit Command Language)로 거래선에 대한 위협을 탐지할 수 있도록 할 방침이다. 박종한 오비맥주 팀장은 “많은 보안 누출 사고의 원인이 아웃소싱 직원 및 방문 업체 직원의 관리 부실로 지적되고 있다”며 “보안에 대한 물리적인 투자뿐 아니라 내부 교육 강화와 인식 향상을 함께 도모해야 한다”고 전했다. 결국 보안 문제는 단순한 인프라 적 시각에서 멈추는데서 벗어나 다양한 방법으로 문제해결에 접근해야 한다는 설명이다. 내부 보안인식 강화 중요 과거 개인정보 유출로 곤혹을 치른바 있는 이베이옥션은 계층적 방어체계(Defense In Depth)를 갖추고 보안에 대응하고 있다. 외부 침입시 시스템 어느 한곳의 방어체계가 무너지면 그 다음을 뚫기 위해서 또 다른 방어체계를 통과해야 한다. 이베이옥션은 이를 방지하기 위해 접근 가능한 네트워크를 구분해 보호하고 각 계층(네트워크, 애플리케이션, 데이터베이스 등)별로 보안 장치 및 방어체계로 시스템을 보호하고 있다. 최근 이슈로 떠오르고 있는 기업 정보보안 책임자(CSO) 내정에 관해서는 팀장급 정보보안 책임자들을 임원급으로 격상시켜 운영 중이다. 이베이옥션은 이들을 중심으로 정보보안 팀, 개인정보보호 팀 뿐 아니라 각 운영 부서별로 보안책임자를 배치해 전사적인 정보보안 관리체계를 구축했다. 또한 정보보안 및 개인정보보호체계와 관련된 수준 진단 및 외부 인증평가를 진행하며 지속적인 보안 대응 방안을 강구하고 있다. 최승돈 이베이옥션 코리아 부사장은 “보안 투자는 실질적인 투자 금액도 중요하지만 현재 수준을 진단한 리스크를 평가해 우선순위를 갖고 계획적으로 투자하는 것이 중요하다”고 말했다. 기업의 보안 수준은 보안장비나 솔루션에 의해 결정되는 것이 아니라 임직원의 보안인식이 가장 중요한 만큼 이 기본을 강화하는 데 노력을 기울여야 한다는 설명이다. 국내 학습교육 기업인 대교는 비기간계, 즉 뉴미디어 채널에 대한 보안강화를 중점으로 삼고 있다. 모바일과 웹과 같은 다양한 경로를 통한 침입이 고객회원정보에 타격을 입힐 수 있기 때문이다. 이 때문에 관리적*기술적*물리적 측면의 보안 중 인력을 이용한 관리적 측면에 특히 무게를 두고 있다. 올 하반기 대교 학습 교사들의 단말기가 스마트폰으로 바뀌게 되면서 무선 보안에 대한 중요성도 점차 커지면서 모바일 보안 강화와 정기적인 보안 세미나 교육도 병행하고 있다는 것이 대교 측의 설명이다. 대교의 보안 교육은 교육 후 본사에서 실제 보안점검 실사를 시행하면서 실질적인 효율성을 높이고 있다. 박승남 대교 상무는 “보안은 기업 ROI 측면이 아닌 필수적인 선택사항으로 발전해야 한다”며 “보안 문제의 잠재적인 위협을 고려한다면 대응책 수립이야말로 ROI가 가장 확실한 투자 분야”라고 설명했다.