개인정보처리시스템 로그관리·모니터링·위변조 방지를 한 번에!

[보안뉴스 김태형] 국내 대표적 소셜커머스 기업 티켓몬스터(이하 티몬)는 지난해 6월 보안팀을 정보보안실로 격상시키고 ISO27001 인증을 획득했다. 그리고 올해에는 개인정보보호 강화 및 개인정보 관리체계 확립을 위해 PIMS, BS10012(데이터-개인정보경영정보 시스템에 대한 표준, 영국표준협회) 인증 획득을 준비하고 있다.



ISO27001은 기업에서 중요하게 취급하는 정보자산을 보호하기 위한 정보보호관리체계이고 BS10012는 정보자산 중에서도 최근 가장 이슈가 되고 있는 개인정보를 보호하기 위한 국제 개인정보보호관리체계다.

이와 함께 티몬은 올해 개인정보처리 및 취급현황에 대한 통합관리와 보안강화를 위해서 개인정보 접속기록을 상시 모니터링하는 솔루션을 도입, 업무환경에 적합하도록 구축해 한층 더 강화된 개인정보보호 시스템을 구현했다. 

이에 대해 티켓몬스터 이현종 개인정보보호팀 팀장은 “현재 티몬 서비스를 이용하는 회원 정보(ID·이름)와 구매 시 발생하는 정보(주소·이메일) 등에 대해서 기존 개인정보 처리 시스템에서는 법률상 준수 요건인 이용행위 로그(접속기록)에 대한 사후 추적은 가능했으나 비정상 행위에 대한 예방 및 즉각적 탐지와 대응은 불가능하다는 이슈가 있었다”면서 “이번 개인정보 접속기록관리 솔루션 도입을 통해 개인정보에 대한 대량 조회, 업무 외 시간의 이용행위 등 비정상 행위에 대한 실시간 모니터링이 가능하고 알림 기능 등을 추가함으로써 즉각적인 대응이 가능해졌다”고 말했다.

지난해 정보보안실이 생기면서 개인정보보호팀이 구성된 티몬은 내부정보 유출, 내부자의 고의 또는 실수 등으로 인한 개인정보 유출 사고가 많이 발생하면서 이를 막기 위한 고민들을 해왔다. 

이현종 팀장은 “특히 내부 임직원과 외부의 APT 공격 등의 위협에 선제적으로 대응하고자 개인정보 접근기록관리 솔루션 도입을 추진했다. 이를 통해 시스템·사용자별 개인정보 통합관리와 분석이 훨씬 쉬워졌다”고 덧붙였다.

이번에 티몬이 도입한 개인정보 접속기록관리 솔루션은 이지서티의 ‘UBI SAFER-PSM’이다. 이 제품은 GS·CC인증을 받은 제품으로 개인정보의 생명주기(수집·보유·이용 및 제공, 파기)에 따른 개인정보의 접속기록을 보관·통합 감시하는 솔루션이다. 티몬은 이 솔루션 구축으로 개인정보 수집, 보관 및 통제 강화를 꾀하며 고객 개인정보보호에 대한 법적 근거를 마련하게 됐다.

이를 위해 티몬 개인정보보호팀은 개인정보 접속기록관리 솔루션에 대해서 기존 다양한 플랫폼에 대한 적용성 및 추후 확장성에 중점을 두고 평가했으며, 다양한 플랫폼에 필터 방식으로 쉽게 적용이 가능한 이지서티의 솔루션을 선택했다. 

한편, 티몬은 기존 개인정보보호를 위해서 패턴에 의해 개인정보를 찾아내고 암호화 여부를 탐지하는 솔루션과 DRM과 DLP 등을 지난 2013년에 도입·운영하고 있다. DRM은 현재 개인정보 파일만 암호화하도록 수정·변경해 운영 중이며, 내부직원의 고의적 정보유출방지를 위해서 DLP를 도입했다.

티몬은 지난해 10월부터 BMT 및 테스트를 진행하고 12월에 업체를 확정해 지난 1월부터 시스템 환경분석, 시스템별 필터 개발 테스트, 적용 및 모니터링 등의 구축을 진행했다. 지난 4월부터 적용 및 탐지 정책 커스터마이징을 통해 현재는 안정화 단계에 있다.

이 팀장은 “정통망법 관련 시스템 구축의 1차 프로젝트는 지난 1월부터 4월까지 완료하고 현재 유지보수 작업을 진행 중이며 올 하반기에는 개인정보보호법 관련 프로젝트를 2차 사업으로 진행할 계획”이라면서 “탐지 기능과 같은 기존 없었던 기능을 구현하려다 보니 커스터마이징 등의 보완 작업이 많이 필요했다”고 말했다.

이어서 그는 “개인정보처리 시스템별로 사용언어, 플랫폼이 달라 개발 및 시스템 환경을 분석하고 그에 맞는 수집 방식을 협의해 개발·테스트하는 과정에서 어려움이 많았고 가장 많은 시간이 소요됐다. 하지만 시스템 담당자, 개발 담당자, 솔루션 업체와의 긴밀한 협업을 통해 성공적으로 구축하게 됐다”고 덧붙였다.

그 결과 티몬은 전사 개인정보처리시스템에 대한 로그 관리, 모니터링, 백업 및 위변조 방지 처리가 하나의 솔루션으로 통합되어 운영과 관리가 용이해졌다. 또한 통합된 로그의 분석을 통해 즉각적인 비정상 이용행위 탐지 및 알람, 업무 담당자에 대한 소명처리 요청 등이 가능해져 개인정보 유출에 대해서 선제적인 대응이 가능해졌다.


 ▲ 티켓몬스터 개인정보보호팀 이현종 팀장

예를 들면, 개인정보 처리 및 업무 담당자들이 업무 시간 외에 개인정보를  조회하거나 고의적이든 실수든, 불필요한 개인정보의 조회나 저장 등에 대한 경각심을 갖게 됐다.

 
티몬은 향후 기존 보유한 정보보호 관련 인증(ISMS, ISO27001)에 더해 올해 안에 개인정보보호 관련 인증(PIMS, BS10012)을 통해 정보보호 전 분야에 걸친 통합정보보호 관리체계를 구축·강화할 예정이다. 그리고 개인정보 접근기록관리 솔루션을 파트너 및 임직원 정보를 취급하는 업무시스템에 확대 적용해 비정상 이용행위 탐지 및 정책의 지속적인 고도화를 통해 개인정보의 취급 중에 발생할 수 있는 위협에 선제적 대응할 계획이다.

특히, 임직원들의 보안인식 제고를 가장 중요하게 생각하고 있는 티몬은 현재 내부직원들을 대상으로 하는 전사 개인정보보호 교육을 연 2회 진행하고 있으며 향후에는 개인정보 취급자별로 레벨을 구분해서 정보보호 교육도 업무 레벨에 따라 체계적으로 진행할 방침이다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>