세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
네이버의 정보보호 거버넌스 구축사례 공유
  |  입력 : 2018-12-28 10:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이진규 CISO “개인정보보호, 소비자 신뢰 확보와 기업 윤리 위한 필수조건”

[보안뉴스 김성미 기자] “네이버는 글로벌 IT 기업들의 올해 정보유출 사건이 API 관리 소홀에서 발생한 것으로 분석하고 전사적 API 관리에 집중하고 있다.”

‘2018 CISO 심포지엄’이 12월 27일 서울 소공동 더 플라자 호텔에서 열렸다. 기업의 정보보호최고책임자(CISO) 간 정보공유 및 소통·협력 체계 활성화를 위해 마련된 자리다.

▲CISO심포지엄에서 강연을 하고 있는 이진규 네이버 CISO[사진=보안뉴스]


이날 이진규 네이버 CISO는 정보보호 거버넌스 구축 우수사례를 발표하며 “네이버는 100종이 넘는 서비스를 제공하고 있어 정보를 교류하는 API가 수만 종에 달한다. 이를 보호하기 위해 네이버는 우리가 보호해야 하는 정보는 무엇이며, 이를 관리하기 위한 승인기준은 무엇인가를 정의하는 것부터 출발하고 있다”며 이같이 말했다.

이진규 CISO에 따르면, 네이버는 개인정보가 외부에서 호출되는 수량까지 계산해 개별 API의 한계도 정했다. 호출량에 따라 관리체계를 구축한 것이다. 이밖에 잘못된 API 관리 또는 외부의 제3자의 정보 탈취 상황을 가상하고 대응방안도 구축했다. 순간적으로 API를 중단할 수 있는 시스템이나 강제 로그아웃하는 방법과 이를 실시간으로 사용자에게 알려주는 모니터링 시스템도 구축했다. 이제는 이를 주요 시스템에 확대 대응하는 시스템 마련에 나서는 중이다.

이밖에도 네이버는 올해 가장 화두가 됐던 유럽 개인정보보호법(GDPR)에도 대응하고 있다. 컴플라이언스 대응을 위해 서비스별 세이프가드를 문서화함으로써 기업의 입증 책임을 체계화하는데 고심했다고 한다. 그러나 이 CISO는 보안을 하는 사람으로써 GDPR을 반대하는 입장이었다. 이에 대해 그는 “책임은 어디까지인지, 어느 정도 책임을 져야 유책사유가 없는 것인지 고민스러웠기 때문”이라고 설명했다.

이밖에도 이 CISO가 GDPR에 대응하면서 해야 했던 수많은 고민에 대해서도 공유했다. 서비스 프로세스마다 어떤 정보보호 프로토콜을 구현해야 하는지, 서비스를 EU에 출시할 경우 해당 서버를 유럽에 둬야 하나 국내에 둬야 하는지도 고민 대상이었다. 국내에 둘 경우에는 분석도구가 마련돼 있어 비용이 절감되지만, 이 경우 EU 데이터를 전송받는 방법은 어떻게 하는 것이 옳은지 등 생각해야 하는 범위가 너무나 넓었다는 것이다.

이 CISO는 네이버의 소비자 신뢰를 얻기 위한 방법도 함께 나눴다. 그에 따르면, 네이버는 소비자 신뢰 확보를 위해 외부 감사기관을 통해 3년에 한 번씩 통신비밀보호에 대한 감사를 받고 그 내용을 공개하고 있다. 이는 윤리적 기업으로써 네이버가 정보보호 원칙을 지키는 기업으로 자리매김하기 위한 방법 중 하나다. 이밖에도 네이버는 국내보다 기업 윤리가 발전한 유럽의 사례를 스터디해 기업 윤리와 소비자 신뢰 획득을 위한 방법을 강구하고 있다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)