Home > 전체기사
[구축사례] 다나와, 2015년 정보보호로 ‘중무장’
  |  입력 : 2014-12-17 16:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
민감정보, 직접 개발한 망분리PC·일방향 암호화 솔루션 적용

개인정보 수집 간소화, 정보보호위원회 중심으로 정보보호 활동


[보안뉴스 김경애] 가격비교 사이트로 유명한 다나와가 이제는 ‘가격비교를 넘어 가치쇼핑으로’ 쇼핑사업 영역을 지속적으로 확장하고 있다. 이로 인해 개인정보보호와 정보보호가 그 어느 때보다 중요해지고 있는 만큼 올해 정보보호관리체계를 한층 더 강화함으로써 2015년에는 정보보호로 중무장한다는 계획이다.

 ▲ ISMS 인증을 획득한 다나와의 한상철 과장(왼쪽)과 김형준 팀장(오른쪽)이 정보보호
    구축사례에 대해 설명하고 있다.
 

이에 본지는 최근 ISMS 인증을 취득한 다나와의 개인정보관리자 김형준 팀장과 개인정보담당자 한상철 과장과의 인터뷰를 통해 단계별 정보보호 구축사례를 들어봤다.


1단계: 쿨하게! 개인정보 간소화

일평균 100만명 이상의 회원들이 접속하는 가격비교 서비스업체 다나와는 다나와 자동차 다나와 이벤트 다나와 조립PC 다나와 텔레콤 다나와 장터 다나와 커뮤니티 다나와 리서치 다나와 앱 서비스 등 다양한 서비스를 통한 경쟁력 강화로 종합쇼핑 포털로 발전하고 있다.


ISMS 인증 의무대상 사업자이기도 한 다나와의 보안인증 취득은 사업 확장에 따른 회원체계의 복잡성을 단순화하고 통합하는 작업에서부터 출발했다.


“그렇지 않아도 개인정보보호에 대한 니즈가 회사 내부적으로도 점차 커졌죠. 사업영역이 지속적으로 확대되면서 관리체계를 일원화해야 할 필요성이 커졌거든요. ‘다나와 자동차’ 사이트를 비롯해 여성 포털 사이트 ‘마이클럽’ 인수 등 회원체계가 복잡해지다보니 개인정보가 산발적으로 흩어지게 되더라고요. 그러다 ISMS 인증 의무화 대상자 통보를 받고, 겸사겸사 인증을 준비하게 됐죠.”


그러나 여기저기 민감정보를 관리하는 관리자 페이지가 분산돼 있어 통합하는 과정이 쉽지 않았다는 것. 게다가 개정된 정책은 실무에서 애로사항으로 작용했다.


“처음 인증취득을 준비할 땐 사실 좀 어려웠어요. 직원들이 정보보호 마인드가 부족해 협조가 잘 안됐고, 개인정보관련 법령들이 이번에 많이 개정되어 통합하는 과정에서 애로사항도 있었죠. 그러나 ISMS 통제항목에 부합하는 체계를 구축하고, 인증을 취득하다보니 잘했다는 생각이 들더라고요. 또한 경영진의 관심과 전사적인 정보보호 활동으로 지금은 인식 개선이 되어 많은 도움이 되고 있어요.”


      ▲ 다나와 김형준 팀장

올해 4월부터 ISMS 인증 준비를 시작한 다나와는 8~9개월 가량 인증준비를 하면서 가장 먼저 개인정보수집 간소화에 들어갔다. 이전에는 고객관리팀(CS팀)이 개인정보를 집중적으로 관리했으나, 인증 취득 준비를 본격화하면서 정보보호위원회를 중심으로 개인정보 간소화 작업에 들어간 것. 우선 불필요한 개인정보를 파기하고, 개인정보 수집도 간소화했다. 또한, 기술적·관리적·물리적 조치 등 여러 검증 단계를 거쳐 현재는 정보보호 프로세스를 갖추게 되었다.

 

“개인정보 수집이나 취급에 있어 주민번호는 수집하지 않아요. 기존에 보유했던 주민번호 또한 모두 파기했죠. 사실 시스템 자체가 중개사이트라 로그인을 하지 않아도 서비스를 이용할 수 있거든요. 게다가 대다수 접속자들은 로그인을 하지 않고 이용하는 경우가 많아 개인정보를 간소화하게 됐어요.”


현재 특별한 경우를 제외하곤 생년월일, 이메일, 휴대폰 번호 정도만 취급하고 있다고 밝힌 김 팀장은 향후에는 수집항목을 좀더 줄일 계획이라며, 아마존과 같이 이메일 정보 정도만 남기고 개인정보를 취급하지 않는 것도 내부적으로 검토하고 있다고 밝혔다.


2단계: 직접 개발한 망분리PC·암호화 적용

현재 다나와의 기본적인 관리체계는 개인정보 등의 민감정보는 물리적으로 시스템을 분리, 외부 접속을 차단한 상태로 운영하고 있다.


“물리적 조치의 경우 우선적으로 망분리를 꼽을 수 있어요. 망분리는 자회사인 다나와 컴퓨터에서 개발해 특허 받은 망분리PC를 적용했는데 망분리PC는 하나의 PC에서 스위치 버튼으로 내외부망을 구분하는 것이 특징이에요. 설사 해당 기기를 외부로 빼돌린다고 해도, 특정 IP로 지정되기 때문에 무형지물이 되죠.”


기술적 조치인 시스템 보안의 경우 안전진단은 개발부서에서 지속적으로 관리하고 있으며, 모든 개인정보는 알고리즘을 업그레이드해 자체 개발한 일방향 암호화를 적용했다는 게 한상철 과장의 설명이다.


특히, 기존에는 기술적 조치 시스템에 치중돼 있었다면 이제는 관리적인 측면이 한층 강화됐다는 것. 개인정보보호 측면에서는 기능과 범위가 확대됐는데, 이는 개인정보보호 이슈가 많아졌고, 개인정보보호관련 법령도 한층 강화됐기 때문이다.


 ▲ 다나와 한상철 과장

따라서 관리적 조치는 등급을 나눠 그에 따른 지침과 매뉴얼이 적용된다. “이를테면 개인정보를 직접 처리하는 개인정보 처리자는 1급으로 망분리PC가 일괄 적용돼요. 또한 개개별로 특정 ID와 IP가 적용돼 이력관리가 체계적으로 이루어지죠. 이로 인해 내부정보 유출시 추적이 가능합니다. 어느 시간 때 누가 무엇 때문에 사용했는지 알 수가 있죠.”

 

2급은 개인정보를 직접적으로 취급하진 않지만 연관성이 있는 업무자가 해당된다. 또한 S등급은 시스템 관리자가 해당되며, T등급은 서버접속자인 개발자로 SW 개발 후 테스트 할 때 데이터를 활용할 수 있는데, 역시 망분리 PC와 특정 ID, IP가 일괄 적용돼 이력관리가 들어간다. 뿐만 아니라 연 2회씩 별도 교육이 이뤄진다는 게 한 과장의 설명이다.


3단계: 정보보호위원회 운영과 협력사이트 보안 적용

그렇다면 협력사의 보안체계와 관리는 어떻게 하고 있을까?. “협력사 사이트의 경우 SSR 암호화와 서버보안은 기본적으로 적용돼요. 하지만 일부 협력사의 경우 아직 관리자 페이지가 미흡한 곳도 있어 점차 개선하고 있습니다. 그러나 대부분 제휴사인 11번가, G마켓, 옥션 등을 이용하는 임대형 쇼핑몰로 입점하고 있어 해당 쇼핑몰의 보안체계 기준이 적용돼요. 물론 해당 쇼핑몰마다 다소 차이는 있을 수 있지만 기본적인 보안체계는 잡혀 있어요.”


현재 보안조직은 정보보호위원회를 중심으로 개인정보는 △개인정보 관리책임자 △개인정보 관리자 △개인정보 담당자로 구성되어 있으며, 사내 정보보호는 △사내 정보보호 책임자 △사내 정보보호 관리자 △사내 정보보호 담당자로 구성되어 있다. IDC 정보보호는 △ IDC 정보보호 책임자 △IDC 정보보호 관리자 △IDC 정보보호 담당자로 구성해 운영하고 있다.


다나와의 2015년 보안관련 목표는 고객들이 안심하고 쇼핑몰을 이용할 수 있도록 정보보호에 대해 끊임없는 관심을 갖는 일이다. 이는 보안위협은 항시 존재하기 때문에 이번 인증 취득을 기점으로 사내 직원교육을 통한 보안의식 강화와 함께 출입통제, 외부 보안관련 이슈 및 정부정책 등에 대한 모니터링을 지속적으로 강화하겠다는 얘기다. 더불어 사후심사에 주력하면서 향후 1년간은 좀더 정보보호 체계를 공고히 다진 후, ISO27001 인증 취득을 고려하겠다고 향후 계획을 밝혔다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향