대상이 그룹 내 표준보안체계를 구축했다. 표준보안체계란 전사정보보호와 개인정보보호에 대한 운영 조직 구성 및 체계적인 운영을 위한 프로세스를 적용하는 것이다. 대상그룹은 이번 프로젝트를 통해 전사 IT인프라를 총체적으로 점검한 후, 세부보안 대책을 세워 식음료 업계 최초로 ISO27001, ISMS(Information Security Management System : 정보보호 관리체계), PIMS 3개 인증 획득을 동시에 진행했다.
이번 프로젝트에서는 약 10여 개에 달하는 보안 솔루션 구축 뿐 아니라 보안에 대한 사용자 인식 전환을 통해 업무 생활에 습관/내재화 할 수 있는 교육활동의 병행 또한 활발히 이뤄졌다.

이지혜 팀장 jh_lee@ciociso.com
 

지난 2010년도 그룹 ISP를 진행한 후 3개년 계획을 수립한 대상그룹은 정보전략 보안 부분 강화에 따른 방침에 따라 표준보안체계 수립을 완료했다.
이는 내부 직원들의 이직이나 전직 시 개인의 업무 역량이 유출될 수 있다는 우려와 기업 보안, 기술 보호 등의 측면에서 진행된 사항이기도 하다.
이번 프로젝트는 대상그룹의 관리/물리/기술의 현 수준 진단과 정책/지침/절차에 따라 보안 표준체계를 정립하는 과정을 거쳤으며, 보안인증 획득과 사용자 보안강화를 위한 중장기 계획을 수립해 사용자들에게 보안 위협에 대해 전 방위적으로 대응할 수 있는 종합 보안체계를 제공할 수 있을 것으로 기대되고 있다.   

인증 획득·보안위협 대응체계 보강
표준보안프로젝트로 식음료 업계 최초로 ISO27001, ISMS, PIMS 획득을 동시에 진행한 대상그룹은 이미 ISO27001과 ISMS는 인증에 성공했으며 PIMS의 경우 올해 11월 심사예정을 앞두고 있다.
대상은 이번 표준보안체계 확립으로 웹 방화벽과 침입방지(IPS)등을 비롯해 DB암호화, 문서보안, 유해차단 사이트 차단 등 기술적인 종합적인 보안 대책을 마련했다.
또한 V3 및 중앙관리 솔루션과 디도스 차단을 통해 악성코드에 감염됐거나 보안성이 결여돼 접근 권한이 없는 PC가 네트워크에 접속하는 것을 차단하고, 내부 PC악성 코드 감염 시 자동 격리 및 강제 치료로 내부 네트워크를 안전하게 보호할 수 있게 했다.
즉 웹서버 공격방어/유해트래픽의 사전 차단과 중요 DB데이터 암호화/비인가자 DB사용 제어, 통합보안관제, 메일 모니터링을 통해 중요 정보 유출을 방지한다는 방침이다. 또한 로그 및 취약점 분석 작업과 비업무용이나 비인가자에 대한 사이트 및 시스템에 대한 접속 역시 차단하게 된다. 
이번 프로젝트는 기존 대상의 ERP 구축에 투입된 인력에 버금가는 인원이 참여했으며 프로젝트 진행 중 부서 통폐합 등의 이슈로 정보의 내·외부 유출 방지 뿐 아니라 정보관리에 대한 보안이 추가적으로 반영됐다. 사용자들의 IT에 대한 지식의 양은 늘어나고 있지만 기업 내 하드웨어 및 소프트웨어적으로 전혀 무방비 상태였던 보안에 대해 기업이 보다 적극적으로 개입하기로 한 방침 때문이다.
이 과정에서 사내 전체부서 보안과 관련된 약 80여 명의 인력들이 두 차례 이상의 워크샵에 참여했으며 구축이후 사용자 교육이 지속적으로 진행 중이다.
대상 측은 초기 사용자들의 불편사항과 인터페이스 상 타 시스템과의 충돌로 인한 애로사항이 존재했으나 내부 환경에 맞는 유연성을 제공해 사용자 호응을 이끌어냈다는 의견이다. 예를 들면 문서암호화 시 내부 기간계 시스템과의 연동을 통해 계열사 내에서는 자유롭게 문서를 업/다운로드 할 수 있다. 현재 대상은 표준보안체계 안정화 단계가 몇 개월 소요될 것으로 내다보고 있으며 초기 오류와 문제점을 확인하기 위한 사용자 헬프 데스크를 열어 다양한 의견을 적극 수렴 중이다.

보안 내재화, 가까운 곳부터 적용
대상 측이 이번 프로젝트를 진행하며 가장 염두한 부분 중 하나는 사용자 인식 전환 및 보안 생활의 내재화이다. 사용자들에게는 이미 보안 솔루션 및 프로그램이 익숙해지고 있지만 보안이 당사자 곁에 일상화 되었다는 인식을 재고시키기 위함이다.
실례로 대상은 보안 십계명을 임직원들의 마우스 패드에 장착해 수시로 확인할 수 있게 함과 동시에 화면보기 활동 등을 통해 보안을 습관화하고 채널화 할 수 있는 방안을 마련하는데 힘썼다.
초기 인식변화 측면에서 사용자들의 거부감도 존재했지만 현재는 사내 보안이 더 강화돼야 한다는 목소리도 일고 있다.
또한 표준보안체계 구축 프로젝트에서는 시스템이나 교육체계 변화관리 뿐 아니라 개인정보보호법과 내부 정보보호 방안 역시 함께 진행됐다.
이에 따라 대상 측은 관련 법률 준수로 인한 보안조직 및 관리체계의 신설과 함께 13개 규정절차를 통해 조직 프로세스에 적용해 간다는 방침이다.
한편 대상 측은 모바일 오피스의 활용으로 사내접근이 수월해졌다는 점을 고려해 기존 통제 활동에 더해 모니터링과 점검활동을 한층 강화했다고 밝혔다. 
 

 

● 유철한 대상 PI본부 상무/본부장이 전하는 구축 Lesson “보안, 실체험 통한 Step by Step으로” 한꺼번에 여러 마리 토끼를 잡을 수는 없다. 기본적으로 가장 중요하고 핵심이 되는 부분부터 우선순위를 두고 차등적으로 진행해 나가야 한다는 뜻이다. 대상의 표준보안체계 프로젝트 역시 단시간 안에 완료하려는 움직임도 있었지만 사용자 요구 사항이나 사내 부서 통폐합 등의 이슈에 따라 약간 늦춰진 점도 있다. 프로젝트의 구축도 중요하지만 실사용을 통한 보안의 직접 체험과 사용자 인식을 강화시켜 기업의 지적 재산권 강화에 대한 지속적인 노력이 이뤄져야 한다. 하드웨어나 보안이 제 아무리 강화돼 있다 하더라도 새로운 환경변화가 속출하고 있는 상황에서, 보안은 지속적인 모니터링과 대응 방안이 꾸준히 강구돼야 한다. Q: 표준보안체계 구축 필요성은 A: 전사정보보호와 개인정보보호에 대한 운영 조직 구성 및 보다 체계적인 운영을 위한 보안 프로세스를 적용하기 위함이다. 2010년도에 IT기반을 진단하며 삼개년 계획을 수립한 뒤 보안에 대한 인식과 대응 방안 강화를 위해 진행했다. 특히 직원들의 이직 시 회사보안, 기술 보호 문제가 부각돼 작년 상반기부터 추진해 올해 완료하게 됐다. Q: 프로젝트의 주요 특징은 A: ISO27001, ISMS(Information Security Management System:정보보호 관리체계), PIMS 인증 획득에 주력했으며 V3 및 중앙관리 솔루션, 디도스 차단용 보안장비, 및 약 10여개에 달하는 보안 솔루션을 구축해 종합적인 보안 대책을 마련하고자 했다. 또한 사용자 인식의 변화를 돕기 위해 지속적인 워크샵과 사용자 교육을 진행 중이며 법적으로 대응하기 위한 보안조직 신설과 관리체계에 대한 13개 규정 절차를 정립시켰다.