[구축사례] 다나와, 2015년 정보보호로 ‘중무장’

민감정보, 직접 개발한 망분리PC·일방향 암호화 솔루션 적용

개인정보 수집 간소화, 정보보호위원회 중심으로 정보보호 활동

[보안뉴스 김경애] 가격비교 사이트로 유명한 다나와가 이제는 ‘가격비교를 넘어 가치쇼핑으로’ 쇼핑사업 영역을 지속적으로 확장하고 있다. 이로 인해 개인정보보호와 정보보호가 그 어느 때보다 중요해지고 있는 만큼 올해 정보보호관리체계를 한층 더 강화함으로써 2015년에는 정보보호로 중무장한다는 계획이다.

▲ ISMS 인증을 획득한 다나와의 한상철 과장(왼쪽)과 김형준 팀장(오른쪽)이 정보보호
구축사례에 대해 설명하고 있다.

이에 본지는 최근 ISMS 인증을 취득한 다나와의 개인정보관리자 김형준 팀장과 개인정보담당자 한상철 과장과의 인터뷰를 통해 단계별 정보보호 구축사례를 들어봤다.

1단계: 쿨하게! 개인정보 간소화

일평균 100만명 이상의 회원들이 접속하는 가격비교 서비스업체 다나와는 △다나와 자동차 △다나와 이벤트 △다나와 조립PC △다나와 텔레콤 △다나와 장터 △다나와 커뮤니티 △다나와 리서치 △다나와 앱 서비스 등 다양한 서비스를 통한 경쟁력 강화로 종합쇼핑 포털로 발전하고 있다.

ISMS 인증 의무대상 사업자이기도 한 다나와의 보안인증 취득은 사업 확장에 따른 회원체계의 복잡성을 단순화하고 통합하는 작업에서부터 출발했다.

“그렇지 않아도 개인정보보호에 대한 니즈가 회사 내부적으로도 점차 커졌죠. 사업영역이 지속적으로 확대되면서 관리체계를 일원화해야 할 필요성이 커졌거든요. ‘다나와 자동차’ 사이트를 비롯해 여성 포털 사이트 ‘마이클럽’ 인수 등 회원체계가 복잡해지다보니 개인정보가 산발적으로 흩어지게 되더라고요. 그러다 ISMS 인증 의무화 대상자 통보를 받고, 겸사겸사 인증을 준비하게 됐죠.”

그러나 여기저기 민감정보를 관리하는 관리자 페이지가 분산돼 있어 통합하는 과정이 쉽지 않았다는 것. 게다가 개정된 정책은 실무에서 애로사항으로 작용했다.

“처음 인증취득을 준비할 땐 사실 좀 어려웠어요. 직원들이 정보보호 마인드가 부족해 협조가 잘 안됐고, 개인정보관련 법령들이 이번에 많이 개정되어 통합하는 과정에서 애로사항도 있었죠. 그러나 ISMS 통제항목에 부합하는 체계를 구축하고, 인증을 취득하다보니 잘했다는 생각이 들더라고요. 또한 경영진의 관심과 전사적인 정보보호 활동으로 지금은 인식 개선이 되어 많은 도움이 되고 있어요.”

▲ 다나와 김형준 팀장

올해 4월부터 ISMS 인증 준비를 시작한 다나와는 8~9개월 가량 인증준비를 하면서 가장 먼저 개인정보수집 간소화에 들어갔다. 이전에는 고객관리팀(CS팀)이 개인정보를 집중적으로 관리했으나, 인증 취득 준비를 본격화하면서 정보보호위원회를 중심으로 개인정보 간소화 작업에 들어간 것. 우선 불필요한 개인정보를 파기하고, 개인정보 수집도 간소화했다. 또한, 기술적·관리적·물리적 조치 등 여러 검증 단계를 거쳐 현재는 정보보호 프로세스를 갖추게 되었다.

“개인정보 수집이나 취급에 있어 주민번호는 수집하지 않아요. 기존에 보유했던 주민번호 또한 모두 파기했죠. 사실 시스템 자체가 중개사이트라 로그인을 하지 않아도 서비스를 이용할 수 있거든요. 게다가 대다수 접속자들은 로그인을 하지 않고 이용하는 경우가 많아 개인정보를 간소화하게 됐어요.”

현재 특별한 경우를 제외하곤 생년월일, 이메일, 휴대폰 번호 정도만 취급하고 있다고 밝힌 김 팀장은 향후에는 수집항목을 좀더 줄일 계획이라며, 아마존과 같이 이메일 정보 정도만 남기고 개인정보를 취급하지 않는 것도 내부적으로 검토하고 있다고 밝혔다.

2단계: 직접 개발한 망분리PC·암호화 적용

현재 다나와의 기본적인 관리체계는 개인정보 등의 민감정보는 물리적으로 시스템을 분리, 외부 접속을 차단한 상태로 운영하고 있다.

“물리적 조치의 경우 우선적으로 망분리를 꼽을 수 있어요. 망분리는 자회사인 다나와 컴퓨터에서 개발해 특허 받은 망분리PC를 적용했는데 망분리PC는 하나의 PC에서 스위치 버튼으로 내외부망을 구분하는 것이 특징이에요. 설사 해당 기기를 외부로 빼돌린다고 해도, 특정 IP로 지정되기 때문에 무형지물이 되죠.”

기술적 조치인 시스템 보안의 경우 안전진단은 개발부서에서 지속적으로 관리하고 있으며, 모든 개인정보는 알고리즘을 업그레이드해 자체 개발한 일방향 암호화를 적용했다는 게 한상철 과장의 설명이다.

특히, 기존에는 기술적 조치 시스템에 치중돼 있었다면 이제는 관리적인 측면이 한층 강화됐다는 것. 개인정보보호 측면에서는 기능과 범위가 확대됐는데, 이는 개인정보보호 이슈가 많아졌고, 개인정보보호관련 법령도 한층 강화됐기 때문이다.

▲ 다나와 한상철 과장

따라서 관리적 조치는 등급을 나눠 그에 따른 지침과 매뉴얼이 적용된다. “이를테면 개인정보를 직접 처리하는 개인정보 처리자는 1급으로 망분리PC가 일괄 적용돼요. 또한 개개별로 특정 ID와 IP가 적용돼 이력관리가 체계적으로 이루어지죠. 이로 인해 내부정보 유출시 추적이 가능합니다. 어느 시간 때 누가 무엇 때문에 사용했는지 알 수가 있죠.”

2급은 개인정보를 직접적으로 취급하진 않지만 연관성이 있는 업무자가 해당된다. 또한 S등급은 시스템 관리자가 해당되며, T등급은 서버접속자인 개발자로 SW 개발 후 테스트 할 때 데이터를 활용할 수 있는데, 역시 망분리 PC와 특정 ID, IP가 일괄 적용돼 이력관리가 들어간다. 뿐만 아니라 연 2회씩 별도 교육이 이뤄진다는 게 한 과장의 설명이다.

3단계: 정보보호위원회 운영과 협력사이트 보안 적용

그렇다면 협력사의 보안체계와 관리는 어떻게 하고 있을까?. “협력사 사이트의 경우 SSR 암호화와 서버보안은 기본적으로 적용돼요. 하지만 일부 협력사의 경우 아직 관리자 페이지가 미흡한 곳도 있어 점차 개선하고 있습니다. 그러나 대부분 제휴사인 11번가, G마켓, 옥션 등을 이용하는 임대형 쇼핑몰로 입점하고 있어 해당 쇼핑몰의 보안체계 기준이 적용돼요. 물론 해당 쇼핑몰마다 다소 차이는 있을 수 있지만 기본적인 보안체계는 잡혀 있어요.”

현재 보안조직은 정보보호위원회를 중심으로 개인정보는 △개인정보 관리책임자 △개인정보 관리자 △개인정보 담당자로 구성되어 있으며, 사내 정보보호는 △사내 정보보호 책임자 △사내 정보보호 관리자 △사내 정보보호 담당자로 구성되어 있다. IDC 정보보호는 △ IDC 정보보호 책임자 △IDC 정보보호 관리자 △IDC 정보보호 담당자로 구성해 운영하고 있다.

다나와의 2015년 보안관련 목표는 고객들이 안심하고 쇼핑몰을 이용할 수 있도록 정보보호에 대해 끊임없는 관심을 갖는 일이다. 이는 보안위협은 항시 존재하기 때문에 이번 인증 취득을 기점으로 사내 직원교육을 통한 보안의식 강화와 함께 출입통제, 외부 보안관련 이슈 및 정부정책 등에 대한 모니터링을 지속적으로 강화하겠다는 얘기다. 더불어 사후심사에 주력하면서 향후 1년간은 좀더 정보보호 체계를 공고히 다진 후, ISO27001 인증 취득을 고려하겠다고 향후 계획을 밝혔다.

[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)