2024.05.20 (월)
대상이 그룹 내 표준보안체계를 구축했다. 표준보안체계란 전사정보보호와 개인정보보호에 대한 운영 조직 구성 및 체계적인 운영을 위한 프로세스를 적용하는 것이다. 대상그룹은 이번 프로젝트를 통해 전사 IT인프라를 총체적으로 점검한 후, 세부보안 대책을 세워 식음료 업계 최초로 ISO27001, ISMS(Information Security Management System : 정보보호 관리체계), PIMS 3개 인증 획득을 동시에 진행했다.
이번 프로젝트에서는 약 10여 개에 달하는 보안 솔루션 구축 뿐 아니라 보안에 대한 사용자 인식 전환을 통해 업무 생활에 습관/내재화 할 수 있는 교육활동의 병행 또한 활발히 이뤄졌다.
이지혜 팀장 jh_lee@ciociso.com
지난 2010년도 그룹 ISP를 진행한 후 3개년 계획을 수립한 대상그룹은 정보전략 보안 부분 강화에 따른 방침에 따라 표준보안체계 수립을 완료했다.
이는 내부 직원들의 이직이나 전직 시 개인의 업무 역량이 유출될 수 있다는 우려와 기업 보안, 기술 보호 등의 측면에서 진행된 사항이기도 하다.
이번 프로젝트는 대상그룹의 관리/물리/기술의 현 수준 진단과 정책/지침/절차에 따라 보안 표준체계를 정립하는 과정을 거쳤으며, 보안인증 획득과 사용자 보안강화를 위한 중장기 계획을 수립해 사용자들에게 보안 위협에 대해 전 방위적으로 대응할 수 있는 종합 보안체계를 제공할 수 있을 것으로 기대되고 있다.
인증 획득·보안위협 대응체계 보강
표준보안프로젝트로 식음료 업계 최초로 ISO27001, ISMS, PIMS 획득을 동시에 진행한 대상그룹은 이미 ISO27001과 ISMS는 인증에 성공했으며 PIMS의 경우 올해 11월 심사예정을 앞두고 있다.
대상은 이번 표준보안체계 확립으로 웹 방화벽과 침입방지(IPS)등을 비롯해 DB암호화, 문서보안, 유해차단 사이트 차단 등 기술적인 종합적인 보안 대책을 마련했다.
또한 V3 및 중앙관리 솔루션과 디도스 차단을 통해 악성코드에 감염됐거나 보안성이 결여돼 접근 권한이 없는 PC가 네트워크에 접속하는 것을 차단하고, 내부 PC악성 코드 감염 시 자동 격리 및 강제 치료로 내부 네트워크를 안전하게 보호할 수 있게 했다.
즉 웹서버 공격방어/유해트래픽의 사전 차단과 중요 DB데이터 암호화/비인가자 DB사용 제어, 통합보안관제, 메일 모니터링을 통해 중요 정보 유출을 방지한다는 방침이다. 또한 로그 및 취약점 분석 작업과 비업무용이나 비인가자에 대한 사이트 및 시스템에 대한 접속 역시 차단하게 된다.
이번 프로젝트는 기존 대상의 ERP 구축에 투입된 인력에 버금가는 인원이 참여했으며 프로젝트 진행 중 부서 통폐합 등의 이슈로 정보의 내·외부 유출 방지 뿐 아니라 정보관리에 대한 보안이 추가적으로 반영됐다. 사용자들의 IT에 대한 지식의 양은 늘어나고 있지만 기업 내 하드웨어 및 소프트웨어적으로 전혀 무방비 상태였던 보안에 대해 기업이 보다 적극적으로 개입하기로 한 방침 때문이다.
이 과정에서 사내 전체부서 보안과 관련된 약 80여 명의 인력들이 두 차례 이상의 워크샵에 참여했으며 구축이후 사용자 교육이 지속적으로 진행 중이다.
대상 측은 초기 사용자들의 불편사항과 인터페이스 상 타 시스템과의 충돌로 인한 애로사항이 존재했으나 내부 환경에 맞는 유연성을 제공해 사용자 호응을 이끌어냈다는 의견이다. 예를 들면 문서암호화 시 내부 기간계 시스템과의 연동을 통해 계열사 내에서는 자유롭게 문서를 업/다운로드 할 수 있다. 현재 대상은 표준보안체계 안정화 단계가 몇 개월 소요될 것으로 내다보고 있으며 초기 오류와 문제점을 확인하기 위한 사용자 헬프 데스크를 열어 다양한 의견을 적극 수렴 중이다.
“보안, 실체험 통한 Step by Step으로” 한꺼번에 여러 마리 토끼를 잡을 수는 없다. Q: 표준보안체계 구축 필요성은 Q: 프로젝트의 주요 특징은 |