Home > 전체기사
CEO·CPO·실무책임자가 말하는 ‘개인정보보호 3人 3色’
  |  입력 : 2019-06-25 16:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
25일 서울 코엑스 ‘PIS FAIR 2019’ 개인정보보호 3인 3색 토크콘서트 눈길
글로스퍼 김태원 대표, 위메프 김정희 CPO, 넥슨 이진화 보안정책실장 참여

[보안뉴스 양원모 기자] 잇따른 개인정보 유출사고로 개인정보보호에 대한 사회적 경각심이 높아진 가운데, 기업 CEO·CPO·개인정보보호 책임자가 한 자리에 모여 개인정보보호에 대한 생각을 나누는 시간이 마련됐다. 25일 서울 삼성동 코엑스에서 양일 간 개최되는 국내 최대 규모 개인정보보호 콘퍼런스 ‘개인정보보호 페어 2019(PIS FAIR 2019)’에서다.

▲넥슨 이진화 보안정책실장(사진 왼쪽부터), 위메프 김정희 CPO, 글로스퍼 김태원 대표가 토크콘서트에서 발언하고 있다[사진=보안뉴스]


PIS FAIR 2019 첫째 날 오전 행사에서는 현직 CEO, CPO, 개인정보보호 책임자들이 참석하는 ’3인 3색 토크콘서트‘가 열려 눈길을 끌었다. 글로스퍼 김태원 대표, 위메프 김정희 정보보호실장(CPO). 넥슨 이진화 보안정책실장이 패널로 참여해 30여분 간 이야기꽃을 피웠다. 사회는 권 준 보안뉴스/시큐리티월드 편집국장이 맡았다.

패널들은 토크콘서트에 앞서 각자 준비한 발표를 진행했다. 김태원 대표는 ‘블록체인 분야에서의 개인정보보호’라는 주제로 암호화폐 거래소의 개인정보보호 취약점에 대해 설명했다. 김 대표는 블록체인 자체에 개인정보가 존재하지 않지만, 응용 분야에서 개인정보가 수집될 수 있다는 점을 강조했다. 보이스피싱 방지를 위한 KYC(Know Your Customer·신원 확인) 과정, 송금 과정 등에서다. 김 대표는 “암호화폐 탈취는 곧 개인정보 탈취로 이어질 수 있다”고 말했다.

김정희 실장은 ‘이커머스 시장에서의 개인정보보호 사례’라는 주제로 위메프의 보안관제 시스템을 소개했다. 김 실장은 모니터링 정책기준 수립을 위한 핵심으로 ‘로그(Log)’를 꼽으며 위메프가 △로그 수집 △분석 및 탐지 △대응 수준 정의 △지속적인 모니터링 등의 관제 정책을 실시하고 있다고 전했다. 이외에도 △크루덴셜 스터핑(보안 수준이 낮은 사이트에서 사용자 로그인 정보를 탈취한 후 공격 사이트에 대입하는 행위) 대응방안 마련 △주요 DB에 대한 정기적인 클린징 시행 △보안정책 예외 허용 기간 지정 등을 언급하며 “만약(특정 임직원이) 허용 범위에서 벗어난 행동을 취하면 즉각 허용 권한을 철회하고 있다”고 말했다.

넥슨 이진화 실장은 ‘게임 분야 개인정보보호 강화 전략’이라는 주제로 넥슨의 글로벌 컴플라이언스 준수를 위한 다양한 노력을 소개했다. 전 세계 45개 법인에서 6,500명의 임직원이 근무하는 넥슨은 글로벌 컴플라이언스 준수를 위한 그룹 표준 정보보호 정책을 수립했다. 또 글로벌 통합 정보보호 인증체계 수립(ISMS, PIMS, DN·VGL) 및 임직원 대상 보안 인식 제고 활동을 통해 내부 보안 역량을 강화하고 있다. 이 실장은 실제 임직원 대상 보안 교육용 애니메이션을 보여주며 “보안이 쉽다는 걸 강조하는 식으로 업무를 진행하고 있다”고 말했다.

발표가 끝난 뒤 세 패널들의 본격적인 토크콘서트가 진행됐다. 패널들에겐 4~5가지 공통 질문이 주어졌다. 첫 번째 질문은 ‘관련 업무 중에서 개인정보보호를 위해 어떤 점을 가장 신경 쓰느냐’는 것이었다. 글로스퍼 김태원 대표는 “공공분야 블록체인의 프레임워크 구축 및 고객정보 접근이 가능한 임직원에 대한 보안 교육을 병행하고 있다”며 “혹시 모를 정보 유출을 막기 위해 망 분리도 철저히 준수하고 있다”고 답했다.

위메프 김정희 CPO는 “고객 정보가 API를 통해 대량으로 타사나 파트너사로 흘러가는 행위”를 주의 깊게 살피고 있다고 했다. 김 CPO는 “업무 권한을 넘어서는 내부 어뷰징 부분에도 굉장히 신경을 쓰고 있다”며 “예를 들어 특정 임직원이 일부 인사담당자만 접근할 수 있는 연봉 정보, 평가 자료에 접근하려는 시도가 발각되면 확실히 책임을 묻고 있다”며 “명확한 책임을 부여해 개인정보보호의 수준을 올리고 있다”고 했다.

▲글로스퍼 김태원 대표가 ‘블록체인 분야에서의 개인정보보호’라는 주제로 강연을 진행하고 있다[사진=보안뉴스]


최근 검찰이 개인정보 유출사건을 겪은 ‘빗썸’, ‘여기어때’ 등의 보안책임자를 정보통신망법 위반 혐의로 기소한 것에 대해서는 세 패널 모두 “보안 인력시장을 위축시킬 수 있다”고 입을 모았다. 이진화 실장은 “신입, 경력 직원을 채용할 때 ‘꿈이 뭐냐’고 물어보면 CISO, CPO가 목표라고 자주 얘기한다”며 “그러나 CISO, CPO를 기소하는 체계 아래서 누가 이쪽 업무에 쉽게 발을 들일 수 있겠느냐”고 꼬집었다. 김태원 대표는 “(개인정보) 이슈가 생겼을 때 모든 책임을 담당자가 져야 한다면 스타트업에서는 아무도 보안을 맡으려 하지 않을 것”이라고 말했다.

지난 13일 의무화된 사이버보험(개인정보 손해배상책임보험)도 화두로 올랐다. 김 대표는 “보험 자체에 대해선 찬성하지만, 보험이 창업 등에 장애가 돼서는 안 된다”고 강조했다. 김 CPO는 “사이버보험의 보장범위에 대한 가이드라인이 나와야 관건이 될 수 있을 거라 생각한다”며 “실질적이고, 실효성이 있는 보험이 될 수 있도록 정부가 지원해주면 좋겠다”고 말했다.
[양원모 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)