'정보보안'에 해당되는 글 286건

  1. 2019.11.22 K-ICT 정보보호대상 기업 2곳에게 들어본 모범 실천사례
posted by 알짜 정보 岳岩 2019. 11. 22. 07:51

대기업·기관 부문 ‘한국동서발전’ 중소기업 부문 ‘열심히커뮤니케이션’ 사례
수상 기업 및 기관의 보안책임자가 말하는 정보보호의 핵심은 ‘함께’ 하는 것


[보안뉴스 원병철 기자] 지금까지 발견된 악성코드가 9억 개를 넘어가고, 기업이나 기관을 노리는 사이버공격이 점점 정교해지면서 보안책임자 및 보안담당자들의 걱정도 점점 늘고 있다. 특히, 보안전문인력이 부족하거나 보안 솔루션을 제대로 마련하지 못한 곳은 참고할 수 있는 좋은 사례를 원하지만, 보안사례는 외부에서 접하는 것도 쉽지 않다. 이러한 가운데 ‘2019 정보보호 산업인의 밤’에서 발표된 ‘정보보호대상’ 수상기업의 정보보호 실천사례는 좋은 길잡이가 될 것으로 보인다.

[이미지=iclickart]


정보보호대상 대기업·기관 부문 ‘한국동서발전’
정보보호대상 대기업·기관 부문에서 과기정통부 장관상을 수상한 ‘한국동서발전’은 2001년 한전에서 발전부문이 분사해서 만들어진 공기업이다. 2014년 울산혁신도시로 이전했으며, 약 2,400여명이 함께 근무하고 있다. 국내 발전설비 용량의 약 9.5%를 담당하고 있으며, 총 5개의 발전소를 운영하고 있다. 이중 4개는 주요 정보통신기반시설이며, 국가보안시설 가급과 나급에 각각 지정되어 있다.

한국동서발전은 3개 본부로 나뉘어 있으며, 이중 기획본부장을 CISO로 임명하고 그 산하에 정보보안처가 있다. 그리고 정보보안처는 정보보안부와 비상계획부, ICT총괄부로 각각 나뉘어 있다. 정보보안부를 맡고 있는 강현호 부장은 “사이버보안은 주로 본사에서 담당하고, 각각의 발전소에서는 보안시설을 관리하는 데 주력한다”고 설명했다. “2015년 전력분야에서 사이버보안 문제가 발생하면서 정보보안처가 강화됐고, 최근 3년간 매년 약 100억 원 이상의 선제적 정보보호 투자를 하고 있습니다.”

한국동서발전은 제어망과 업무 전용망, 인터넷 전용망이 모두 망분리가 되어 있으며, PC보안진단 시스템과 NAC, VPN 등 비인가접근에 대비한 솔루션부터 IPS와 TMS 등 네트워크 침투를 대비한 솔루션, DRM과 DB암호화 등 중요정보유출방지 솔루션 등 대부분의 보안 솔루션이 구축되어 있다.

실제로 강현호 부장은 초기에 설비 보강을 중심으로 예산을 집행했고, 지금은 차세대 방화벽이나 차세대 IPS 등 솔루션 강화와 전문 컨설팅 등에 투자하고 있다고 설명했다. 또한, 2015년 11월 구축한 사이버 관제센터는 5조 3교대로 24시간 운영하고 있으며, APT 대응과 차세대 방화벽, 차세대 IPS와 AI 기반 위협탐지 등의 시스템을 이용해 관제하고 있다.

특히, 강현호 부장은 한국동서발전의 정보보호 차별화 정책으로 크게 4가지를 들었다. 첫 번째는 정부 정책과 대내외 경영환경 등을 고려하고 SWOT 분석을 거쳐 마련된 중장기 정보보안 마스터플랜이다. 지난 2018년 10월 수립한 이 마스터플랜은 정부 보안평가 공공기관 1위와 보안사고 ZERO, 정보보안 의식수준 4.8을 목표로 4대 추진전략과 9대 추진과제를 수립해 2023년까지 추진하고 있다.

두 번째는 함께하는 정보보안 활동으로 전 직원을 대상으로 한 정보보안 및 개인정보 UCC 공모전과 정보보안 포상제다. 특히, 정보보안 포상제는 △취약점 △개선사항 △해킹메일 △유해사이트 신고 등을 우수 보안활동으로 선정하고 포상해 임직원들의 참여를 독려했다. 아울러 정보보안 실천다짐 및 경진대회를 개최해 보안담당자는 화이트해커 경진대회를, 일반직원은 정보보안 도전 골든벨을 진행했다.

세 번째는 정보보호 홍보활동으로 정기적인 정보보안 및 개인정보보호 홍보활동과 매년 정보보호의 날 행사를 직접 개최해 캠페인과 정보보안 특강을 진행했다. 특히, 2019년에는 동서발전 주최로 인근 10개 공공기관과 합동으로 행사를 진행했다.

마지막 네 번째는 사회적 가치실현으로 동서발전과 한국인터넷진흥원, 울산정보산업진흥원이 함께 중소기업 정보보안 기술지원을 위한 업무협약을 체결(2019년 1월 18일)하고, 정보보안 기술지원단의 협력업체 방문을 통해 정보보안 컨설팅 및 보안설비를 지원하는 활동을 수행한 점을 꼽았다.

정보보호대상 중소기업 부문 ‘열심히커뮤니케이션’
정보보호대상 중소기업 부문에서 수상한 기업은 바로 열심히커뮤니케이션이다. 열심히커뮤니케이션은 온라인 마케팅과 온·오프라인 유통을 하는 회사로, 개발자 중 과장급 인력이 개인정보보호 책임자 역할을 했지만 전담은 어려운 상황이었다. 이러한 상황에서 김성훈 CISO가 합류하면서 대대적인 정보보호 시스템 투자가 이뤄졌다.

김성훈 CISO에 따르면 열심히커뮤니케이션은 약 4천만 원의 예산을 투입해 정보보호의 기본인 접근제어 솔루션, 즉 방화벽 3종과 시큐어OS, NW접근제어와 사무실별 UTM, 백신중앙관리와 망분리는 물론, 2017년 DLP와 2019년 스팸필터링 시스템까지 갖췄다. 내부 보안정책과 관련해서도 2014년 ISMS, PIMS 인증을 획득하고, 2016년 정보보호대상 우수상을 수상할 정도로 내외부에서 인정받았다.

또한, 김성훈 CISO는 △전 직원이 함께하고 △쉬우며 △비용효과적인 보안활동을 연구하기에 이르렀다. PC 전원끄기 활동은 이러한 고민에서 나온 결과물이다. 악성코드의 활동과 감염 등을 최소화하기 위한 활동으로 PC 전원끄기 캠페인을 실시하고 이를 모니터링 및 피드백하기 시작했다. 또한, 교육의 실효성을 제고하기 위해 이메일을 통한 악성코드 감염 등에 대비한 모의훈련을 실시했으며, 오픈소스를 활용해 이상징후 탐지 및 점검을 할 수 있도록 했다. 이 외에도 백신 3년 장기계약을 통해 중앙통제가 가능한 관리 SW를 무료로 받아 관리할 수 있었다고 설명했다. /보안뉴스 [원병철 기자(boanone@boannews.com)]

댓글을 달아 주세요