“ISMS인증으로 전체적인 보안 프로세스 정립”
 


 
 
-보안의 중요성이 부각된 계기가 있다면
2005년 3월에 학내망에 웜바이러스가 침투한 적이 있다. 그래서 학생들의 사이버강의 청취는 문제가 없었지만 교직원들의 PC가 마비되면서 30여 분간 업무를 하지 못했다. 그 사건을 계기로 전체적인 보안 프로세스를 정립해야겠다는 생각을 했다. 

-ISMS인증 준비는 어떻게 이루어졌나
웜 사건과 함께 2005년에 교육부에서 개인정보보호 지침이 내려왔다. 또 당시 사회 전반적으로 보안문제가 불거지면서 학장님을 비롯해 전직원이 보안에 더욱 신경을 써야겠다는 마인드가 형성됐다.

-인증과정에 대해 좀더 자세히 설명해준다면
2006년 4월부터 인증을 위해 준비했다. 그래서 외부 컨설팅 업체에 의뢰해 취약점 점검 및 전체 보안교육을 병행ㆍ실시했다. 인증 범위를 학생들의 개인정보 처리와 학생 정보시스템 보호로 목표를 설정했다.
 
우선 학내 RFID카드시스템을 도입해 인가받지 않은 자가 중요 데이터에 접근하는 것을 원천 차단했다. DB 접근자를 추적할 수 있는 시스템이기 때문에 함부로 접근할 수 없도록 돼 있다. 그리고 모든 교내 PC에 안티바이러스와 윈도방화벽이 깔려있고 네트워크 보안 관련 보안솔루션들도 대부분 구축된 상태다. 또 철저한 서류관리를 위해 이면지 사용을 금지하고 모든 문서는 분쇄기로 파기한다.
그 이외에도 사소한 부분까지 보안 프로세스를 정립해 학생정보가 외부로 유출되는 사건이 없도록 만전을 기하고 있다. ISMS 인증을 위한 본격 준비는 지난해 12월부터 올해 4월까지 이루어졌고 지난 4월 23~27일간 심사가 이루어졌다.

-인증후 달라진 점이 있다면
모든 직원들의 보안 마인드가 바뀌었다. 인증 전에는 쉽게 학생정보를 프린트하고 요구했던 관행들이 완전히 사라졌다. 모든 업무에 보안프로세스가 적용돼 이를 잘 따르고 있다. 또 4개 부서별 팀장이 서트를 구성해 보안사고가 발생하면 협의를 통해 즉각적인 대응이 가능하도록 시스템화 돼 있다.

-이외 보안과 관련된 사안들은 어떤 것들이 있나
올해 3월, 개인정보보호 안전마크와 인터넷 안전마크 등을 인증받았다. 학생들의 정보보호와 안정된 인터넷 운영을 위한 보안 사항들이다. 또 모든 웹 페이지를 암호화하고 있으며 2005년 이전부터 소프트웨어 개발운영 보안과 소스코드 보안에도 신경을 써오고 있다. 그리고 로그인시 ID/PW 이외에 공인인증서를 사용할 수 있도록 권장하고 있다. 물론 비용은 학교 부담이다.

-부정 사용자는 어떻게 알아내나
모든 학생들의 로그인 기록이 남는다. 그러면 일정 패턴이 만들어진다. 대부분 학생들이 직장인이기 때문에 직장IP 아니면 집IP를 사용한다. 그런데 아무 상관없는 곳에서 접속이 이루어지면 이를 확인하고 차단조치를 내린다.

-시험 부정행위는 어떻게 막고 있나
IP조회가 가능하기 때문에 시험시간에 PC방이나 자신이 주로 사용하지 않는 다른 공간에서 시험을 치르게 되면 모든 정보가 해당학과 교수에게 넘어간다. 부정행위 가능성이 있기 때문이다. 또 화면에는 시험에 필요한 키보드만 작동하도록 하고 있다. 학생의 키보드 로그도 모두 파악할 수 있기 때문에 시험시간에 규정 이외의 키보드를 사용할 수 없도록 하고 있다. 이 정보 또한 교수에게 넘어간다.

-ISMS 인증 획득의 의의가 있다면
사이버대학으로서 당연히 해야 할 고객에 대한 의무라고 생각한다. 준비하는 과정에서 비용과 시간과 인력이 많이 투입됐지만 꼭 갖춰야할 부분을 제대로 정립한 것 같아 뿌듯하다. 또 학장님의 적극적인 지원이 없었다면 힘들었을 것이다. 하지만 보안은 100%라고 자신할 수 없는 사안이기 때문에 앞으로도 지속적으로 예방차원에서 대비해야 할 것들이 많다고 생각한다.
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>