트리니티소프트 웹 방화벽 ‘웹스레이’ 도입 등 웹서비스 보안 강화

국내 최대 도서·출판 전문회사로써 오프라인 영업점의 전국적 확대 및 인터넷 교보문고의 지속적인 컨텐츠 강화로 명실상부한 대한민국 대표 지식문화기업인 교보문고의 올해 정보보안 최대 이슈는 웹사이트 보안은 물론 800만명에 달하는 고객의 개인정보보호이다. 그동안 정보보호관리체계(ISO27001) 인증을 통해 정보보호 관리 프로세스를 정립했고, 웹 취약점 분석·암호화 및 DB보안 강화 등 각종 보안관련 대책들을 꾸준히 실시· 도입 중에 있다.

교보문고는 과거 각종 해킹 위협으로부터 고객의 주요 정보자산을 보호하기 위해 감시·차단 및 모니터링을 통한 보안강화가 요구됐다. 이를 위해 트리니티소프트의 웹 방화벽 ‘WEBS-RAY(웹스레이)’를 도입하였고, 매년 1~2회 웹 취약점 분석을 통해 보안수준을 점검·보완해 오고 있다.

이에 조서호 교보문고 IT기획운영파트 대리는 “초기 웹 방화벽 도입 후, 공격 패턴 분석을 통한 정책설정이 실제 웹 해킹을 공격유형별로 제대로 차단하고 있는지에 대한 의구심이 들었다”며 “하지만 OWASP TOP 10을 기준으로 최신 해킹 동향을 신속히 업데이트하고, 추가적인 긴급상황 시 Cert를 통해 이를 해결해 나가며, 웹 방화벽의 특성을 고려해 구축 설계하면서 보안 강화에 기대이상의 효과를 본 보람이 있었다”고 밝혔다.

웹 방화벽 도입시 가장 고려했던 부분은 당시 신규 개발되는 사이트와의 적합성, 관리의 편리성, 및 손쉬운 정책설정이었다. 웹스레이는 웹 서버별로 웹 방화벽 운영담당자를 지정할 수 있어 역할 기반의 관리자 접근 통제가 가능하며, 웹 서버에 대한 독립적인 정책을 적용·운영하는 등 효율적인 관리를 할 수 있다. 또한 웹 공격 패턴에 대해 신속히 대응하고, 지속적인 모니터링 및 차단으로 불필요 트래픽을 감소시켜 웹 서버 부하가 해소 및 사이트의 안정적 실현이 가능하게 됐다.

또한 조서호 대리는 “정보보안경영시스템인증(ISO270001)을 통해 향후 내부직원의 자사 정보 유출방지를 위해서 내부 보안 강화에 더욱 노력하겠다”고 밝혔다. ISO27001이란 11개 통제 영역을 통해서 자사의 보안체계를 체계적이고 효율적으로 유지관리를 하는데 그 목적이 있다.

정보보안은 시스템 도입도 중요하지만, 정보보안 수준의 기준을 마련하고 보안관리교육을 통해 일반직원의 보안인식 제고에 힘을 기울여야 한다. 이는 솔루션만 도입했다고 끝나는 것이 아니라 꾸준한 교육 강화 및 관리적 업무를 지원하고, 전 직원의 높은 보안 인식이 병행되어야만 도입된 정보보호 시스템이 제 빛을 발할 수 있을 것이기 때문이다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>