지난해 나스닥 상장을 기점으로 보안성 급상승
보안프로세스의 글로벌화...철저한 보안교육만이 살길

1일 평균 270만 명이 접속하고 1200만 명의 개인회원을 보유하고 있는 국내 오픈마켓 선두(지난 4/4 분기 이후 기준)기업, G마켓은 지난해 개인정보우수사이트 인증을 받았을 뿐만 아니라 개인정보보호를 위해 다양한 시스템을 구축ㆍ준비중에 있다. 

박의원 G마켓 보안팀 팀장은 “최근 이슈가 되고 있는 개인정보보호에 상당한 신경을 쓰고 있다”며 “내부 직원들의 개인정보 조회를 철저히 차단하고 있다. 예를 들어 이벤트 당첨자 관련 업무일 때도 보안팀의 승인을 받아야 하고 담당자에게 제공되는 당첨자의 개인정보는 DRM으로 보호하고 있다”고 설명했다. (아래 사진. 박의원 G마켓 보안팀장)
 



고객DB 및 내부정보 유출?...“다른 기업 이야기” 

G마켓은 DB에 직접 접속할 경우에도 DB실 등에서만 접속이 가능하도록 하고 있으며 나머지 부서에서는 접속 자체가 불가능하도록 시스템화 했다.

만약 불법적인 DB접근이 발생할 경우라 할지라도 보안팀의 모니터링 시스템에 의해 적발되고 그 책임을 강하게 묻는 정책을 펴고 있다.

이외 내부정보 유출 방지를 위해 사내에서는 USB와 CD RW, 웹메일, 웹하드 등의 사용이 전면 금지돼 있다. 특히 웹메일과 외부 메신저는 차단된 상태고 회사에서 나가는 모든 이메일 내용은 모니터링 하고 있다.

박 팀장은 “정보유출 방지를 위해 많은 신경을 쓴 결과 지금까지 개인정보유출 사고는 한 건도 없었다”며 “고객의 개인정보를 포함한 어떠한 내부 문서라도 외부로 유출이 되는 경우에는 강한 징계를 받게 돼 있다. 실제로 내부 문서 유출건으로 퇴사조치나 보직 변경 징계를 받은 경우도 있다”고 말했다. 그 만큼 문서적인 징계가 아닌 실질적 처벌 수준이기 때문에 직원들이 상당히 조심을 하고 있다고 한다.

나스닥 상장 기점으로 사내 보안의식 쑥쑥↑

하지만 직원들의 보안교육이 이루어지지 않으면 보안은 확립될 수 없는 것. 이에 박 팀장은 “얼마전 금융권이나 통신사에서 발생한 고객 DB 유출 사건 등의 예를 들어가며 직원들의 보안의식이 얼마나 중요한가를 계속해서 주지시키고 있다”며 “신입사원들은 매월 2회 보안교육을 실시하고 있고 나스닥 상장을 기점으로 전직원을 대상으로 업무시간 이외 시간을 활용해 보안교육을 실시하고 있다”고 말했다.

특히 지난해 6월부터 G마켓은 나스닥에 상장사로 등록됐다. 나스닥 상장을 기점으로 G마켓의 정보보호 수준은 급성장을 하게 된다.

나스닥 상장을 위해서는 ITGC(IT Governance & Compliance) 항목을 패스해야만 가능하다. ITGC 항목에는 보안기준도 포함하고 있어 철저한 보안프로세스가 세워져 있지 않으면 상장이 힘들어진다.

이 항목에는 DB보안이나 시스템관리, 개발 등 전반적인 프로세스 수준을 평가하고 있다. 만약 DB보안을 예를 들면 DB접근에서부터 작은 부분의 DB 수정까지도 승인 절차가 없으면 안된다는 것이다.

박 팀장은 여기에 덧붙여 “년 1회 안전진단을 실시하고 있으며 보안컨설팅도 계획하고 있다”며 “보안 프로세스를 글로벌 스텐다드화 해 나갈 것”이라고 밝혔다.  

해킹차단 및 안정화위해 10G 방화벽과 IPS 등 도입

그렇다면 G마켓은 외부 해킹에 대한 대비는 어떻게 하고 있을까. 얼마전까지 기본적인 보안솔루션들인 방화벽, IPS, IDS 등을 활용해오다 지난해 10월부터 트래픽 10기가를 소화할 수 있는 주니퍼의 10G 방화벽을 사용하고 있다. 

또한 올해 6월부터는 IDS도 윈스테크넷의 10G IDS를 도입해 사용하고 있다고 한다. 또 모든 네트워크에는 IPS가 11대 설치되어 있으며 메인 네트워크만 트래픽으로 인해 IPS가 아닌 10G IDS를 설치해 운영하고 있다.

박 팀장은 “10G IDS 사용은 인터넷 기업으로는 국내에서 유일하며 KT, 하나로 등 일부 통신사에서만 사용하는 대용량 IDS”라며 “고비용의 제품이지만 시스템 안정화와 해킹대비를 위해 전격 도입하게 됐다”고 밝혔다.

뿐만 아니라 주기적인 취약점 점검을 실시하고 있고 PMS 시스템을 통한 패치관리도 철저히 하고 있다고 한다.

G마켓 관계자는 “G마켓에서 새로운 사이트를 오픈하기 전에는 반드시 취약점 점검을 실시하고 이상 유무를 확인한 후 오픈을 결정한다”며 “SQL인젝션 공격이나 소스 코드 취약점을 이용한 공격에 항상 대비를 하고 있다”고 말했다.
 



안전한 거래와 결제는 기본

오픈마켓은 안전한 거래가 최선의 과제다. 이를 위해 G마켓은 지난해 12월부터 실명인증과 본인인증을 병행하는 시스템으로 바꿨다. 전체 고객을 상대로한 본인인증은 7~8월 정도에 확대해 나갈 계획을 세우고 있다. 또 아이핀 도입을 위해서도 5개 업체로부터 제안설명회를 진행하고 있는 중이라고 한다. 

또한 결제의 안정성을 위해 실시간 결제이체 공인인증서를 사용하고 있으며 OTP도입과 공인인증서를 안전하게 보관할 수 있는 HSM 시스템도 도입을 고려중에 있다고 한다.

“국내 보안솔루션, 퀄리티체크 안되고 있다”지적

보안솔루션 도입은 어떻게 이루어질까. G마켓은 우선 니즈가 발생하면 내부 전담팀을 구성해 5~7개사 제품설명회를 개최하고 난 후, 3개사를 선별해 BMT를 진행한다. 그 후 BMT 결과와 견적, 회사의 안정성 등을 고려해 우선협상대상자를 선정하고 이 과정이 마무리되면 경영진의 승인을 얻어 도입과 구축 작업이 이루어지는 형태다.  

박 팀장은 “BMT는 철저하게 이루어진다. 빠르면 2주에서 길어지면 3개월로 늘어나는 경우도 있다. 회사의 안전성도 고려대상이다. 도입후 회사가 없어지면 난감하기 때문에 상장사인지 혹은 매출규모가 얼마나 되는지 등을 평가한다”고 밝혔다.

G마켓 관계자는 국내 보안솔루션에 대한 문제점도 지적했다. 고객 니즈에 빨리 대응하는 것은 외산에 비해 우수하지만 퀄리티체크가 제대로 안되어 있다는 것이다. 기존 제품을 판매하고 다시 새로운 제품 개발에 총력을 쏟는 시스템이어서 하나의 제품에 지속적인 연구와 업데이트가 이루어지지 않아 전체적으로 퀄리티가 떨어진다는 것이다.

또 상당수 기업의 솔루션이 비스타 지원이 안되고 있다는 점도 지적하고 있고 외산에 비해 전반적으로 안정성이 떨어진다는 것이다. G마켓은 현재 보안솔루션중 국내와 외산의 비율이 5:5 정도라고 한다.


보안프로세스 글로벌화와 보안교육에 중점
 

현재 G마켓 보안팀은 6명으로 구성돼 있으며 구성원들 중 전문 해커 출신의 기술자도 있고 일본계 보안회사와 국내 보안업체 등에서 경력을 쌓은 직원들로 구성돼 있다. 특히 해커출신 담당자들은 예상 해킹루트를 계속해서 연구해 미리 해킹 루트를 차단하는데 일조하고 있다.

박의원 팀장은 “사회가 계속해서 변화해가고 있기 때문에 공격기법도 변화한다. 거기에 맞게 적재적소의 보안상황을 유지해야만 한다”며 “보안프로세스의 글로벌화와 내부 보안교육에 더욱 치중해 나갈 방침”이라고 밝혔다. 
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>