시큐아이닷컴 통해, 체계적인 보안 운영 및 관리 방안 마련

한국철도공사(이하 KORAIL)는 철도를 이용하는 고객의 편리성을 증진시키는 것을 최우선시 하고 있다. 정보보호를 기반으로 안정적인 시스템을 유지하고, 대내외 다양한 고객요구에 부응하는 고품질의 서비스를 제공해야 한다. KORAIL의 철도정보시스템은 중국을 비롯한 다양한 국가에서 벤치마킹 하고자 할 정도로 전 세계적으로 앞서 있다는 평가를 받고 있다. 향후 시스템을 패키지화해 수출할 계획도 가지고 있다.




KORAIL의 핵심 업무 분야는 크게 영업, 열차운행, 경영 분야로 구분된다. 이 가운데 영업의 주축이 되는 예약발매시스템은 수익관리 시스템 등 주변 여러 시스템들과 연계되어 있는 KORAIL의 가장 핵심 시스템이다.

365일 24시간 무중단 서비스 제공 목표 = 예약발매시스템은 365일 24시간 중단되어서는 안 될 뿐 아니라, 특히 800여만명의 회원정보를 보유하고 있는 만큼 보안이 강조되어야 한다. 정보보안 ISP(Information Strategy Planning)를 수립하고자 한 이유도 바로 이 때문이다.

KORAIL은 이번 정보보안 ISP 수립을 통해 내부 정보시스템의 취약점 분석․ 평가 후 대책을 비롯해, 앞으로의 보안 정책 수립, 해당 솔루션 도입 및 조직 구성 등에 대한 체계적인 방안을 마련한다는 계획이다.

KORAIL 정보화기획실 박종빈 정보전략 팀장은 "정보시스템의 운영이 잘되더라도 네트워크, 서버가 보안에 취약할 경우 이로 인해 서비스가 중단될 수 있기 때문에 정보보안은 중요하다"며 "최근 사회적인 보안 이슈들로 고객들의 위기의식이 고조되고 있는 만큼 위기관리에 대한 필요성을 느꼈고 내부적으로도 보안에 대한 인식이 높아져 체계적 정보보안 정책과 조직, 지침 절차를 마련하기 위해 정보보안 ISP를 수립하게 됐다"고 말했다.

KORAIL은 정보보안 ISP 수립 업체로 시큐아이닷컴을 선정했다. 다른 정보보호 컨설팅 전문 업체들과 비교했을 때, 시큐아이닷컴은 정보보호 컨설팅 외에도 보안 제품을 생산해 본 경험이 있어서 현실에 맞는 보안 정책을 수립할 능력을 지니고 있다고 판단했기 때문이다.

지난 3월 사업 범위, 기간 등의 기본 계획 및 설계 작업에 이어 5월~6월 사업자 선정 및 계약이 이뤄졌다. 오는 9월까지 분석, 설계 단계를 거쳐 마스터플랜이 수립될 예정이다.

정보보안 ISP 수립으로 '보안 위협의 중장기 대비' = KORAIL은 가장 시급성을 요하는 개인정보보호와 정보보안 관제 운영 부문을 먼저 요청했다. 박 팀장은 "공공 서비스를 하고 있고, 서비스가 중단되면 영업상 손실은 물론, 이미지 저하 등의 피해가 크다.

365일 24시간 유지될 수 있는 시스템의 가용성이 중요하므로, 정보보호를 기반으로 중단 없는 서비스를 제공하는 게 최대 목표"라고 밝혔다. 또한 정보보안 ISP 수립 결과를 바탕으로 끊임없는 보안 위협에 대한 중장기 대비를 해 나갈 계획이라고 덧붙였다.

KORAIL은 이번 사업을 통해 기존에 단편적으로 도입, 관리해온 보안 솔루션들에 대한 체계적이고 통합적인 운영 및 관리 방안을 마련하게 될 것으로 기대하고 있다.


인터뷰/ 박종빈 KORAIL 정보화기획실 정보전략 팀장
"업무․조직 특성 고려한 정보보안 ISP 수립되어야"





- 정보보안 ISP 수립 목적은.
기존에 시스템을 도입할 때마다 단편적이고 산발적으로 보안 제품을 도입해왔다. 종합적인 정보보호 절차나 지침 없이 진행해 왔기 때문에 정보보안 수준이 어느 정도 인지 점검이 필요한 상황이다. 특히, 중단 없는 정보서비스를 위해 보안이 필수적으로 수반되어야 한다는 내부 의식이 강화되고 있다. 장기적으로 보안을 어떻게 끌고 갈지에 대한 방안을 수립한 후 내년부터 실행 계획이 세워져 사업들이 진행될 것이다.

일단 가장 부족한 게 정보 보호에 대한 경험이다. 향후 보안 운영 및 관리를 위해 보안 역량을 강화할 필요가 있어, 직원들에게 정보보안 ISP 수립을 하면서 용역업체의 기술 경험 및 노하우를 최대한 전수받도록 독려하고 있다.

- 향후 보안 사업 계획은.
정보보안 ISP 수립 결과에 따라 통합운영 및 관리 방안을 마련하고 정책 및 솔루션을 포함한 운영체계 개선에 주력하게 될 것이다. 또 이번 ISP 수립과는 별개로 올해 보안 강화의 일환으로 DB보안 툴을 도입하고 인터넷 망과 업무 망을 분리하는 일부 네트워크 분리 사업도 진행할 계획이다.

지난 6월부터 보안팀을 정규 조직화함에 따라, 앞으로 보안 정책, 보안 사업 등을 좀 더 체계적으로 꾸려나갈 수 있게 됐다.

- 정보보안 ISP 수립 시 고려할 사항은.
공공기관이나 회사마다의 업무 특성과 문화적 특성이 있다. 시스템도 동일하지 않고 중요 시스템도 다르다. 조직 문화 역시 철저한 보안에 익숙한 데가 있는가 하면, 반발하는 데도 있을 것이다. 때문에 업무나 조직의 특성을 고려한 정보보안 ISP가 수립되어야 한다.








저작권자 © 컴퓨터월드 무단전재 및 재배포 금지