현대백화점 등 4개 계열사 DB 46대에 ‘피앤피시큐어 DB보안 솔루션’ 적용

현대백화점그룹은 현업에서 고객정보를 이용하는 직원들은 물론, 고객 DB에 접근 권한을 지닌 IT직원들을 대상으로도 보안을 대폭 강화하고 있다. 이에 현대백화점그룹 내 4개 계열사들은 고객 정보보호와 DB 변경 절차의 체계화를 목표로 'DB 접근통제 솔루션 구축 사업'을 진행했다. DB 접근통제 솔루션 도입으로 서비스 운영상 안정성이 높아졌고 데이터 수정 및 변경으로 인한 문제 발생 시 작업 이력 조회를 통해 신속히 문제를 해결할 수 있게 됐다. 특히, 지난 4월 행안부 개인정보관리실태 특별점검 시,고객정보에 마스킹 처리되어 관리자가 조회해도 볼 수 없게 된 부분에 대해서는 높은 평가를 받았다. 현대백화점그룹은 4개 계열사 DB 46대에 국산 대표 DB 접근통제 솔루션인 피앤피시큐어의'DB세이퍼'를 적용시켰다. DB보안을 성공적으로 구축한 현대백화점을 직접 찾았다.

사회적으로 이슈화 됐던 옥션, GS칼텍스 등 유명 회사들의 고객정보 유출 사고의 충격이 가시기도 전에, 지난 3월 또다시 유명백화점 650만 명의 고객 정보가 유출되는 사건이 발생했다. 특히, 유통 회사들에게 고객 정보보호는 회사 신뢰도와 이미지에 막대한 영향을 끼치므로 기업의 존폐를 좌우할 정도로 중요하다. 고객들은 자신의 정보를 믿고 맡길 수 있는 회사와 거래하기를 원하기 때문이다.

국내 대표 유통회사인 현대백화점그룹은 직원들이 고객정보를 소중히 여기도록 하는 윤리경영을 강조하고 있다. 매년 고객정보보호를 최우선으로 여기고 있고, 고객정보 유출은 절대로 용납되지 않는다.
현대백화점그룹은 기존에 현업에서의 고객 정보보호를 위해 ▲무선 구간 데이터 유출방지를 위한 인터넷 구간 암호화 ▲비밀번호 단방향 암호화 ▲직원들이 업무상으로라도 고객정보 리스트의 화면상 조회 및 출력 금지 ▲개인별 불필요한 정보를 볼 수 없도록 암호화 및 화면조회 금지 ▲DRM(디지털 저작권관리) 도입으로 개인정보가 포함된 문서 암호화 등을 추진해왔다.

더 나아가 이제는 고객 DB에 접근 권한을 지닌 IT직원들을 대상으로도 보안을 대폭 강화하고 있다. 2008년 DB접근 권한이 있는 내부 직원을 통해 일어난 GS칼텍스의 1천만 건 이상 되는 고객정보 유출 사고가 현대백화점그룹이 DB보안 강화에 나서게 된 결정적인 계기가 됐다.

'보안 강화와 서비스 안정성 확보'에 중점

현대백화점을 포함한 현대백화점그룹 내 현대그린푸드, 현대드림투어, MRO 등 4개 계열사들은 고객 정보보호와 DB변경 절차의 체계화를 목표로 지난해 12월'DB 접근통제 솔루션 구축 사업'에 착수했다. 이미 2006년 DB 접근통제 사업을 완료한 현대홈쇼핑, HCN은 이번 사업에서 제외됐다.
현대백화점 그룹의 IT 운영 및 관리를 하고 있는 현대그린푸드 IT사업부 오규모 팀장은"현대백화점만 하더라도 550만 회원 DB를 보유하고 있다. 고객 정보에 대한 보안 강화뿐 아니라, 데이터 구조 등 DB 변경 사항에 대한 관리를 체계화하기 위해 본 프로젝트를 진행했다. 4개 계열사의 46대 DB에 DB접근제어 솔루션을 적용하여 DB접근을 제한하고, 로그관리를 통해 접근이 허락된 사람이라도 작업내용을 사후 감사할 수 있도록 했다"고 강조했다. 이번 프로젝트는 지난해 12월 시작해 안정화 과정을 거쳐 올 6월에 완료됐다. DB 접근통제 솔루션 업체들의 제안발표와 BMT를 통해 제품을 선정한 후 2월부터 3월까지 솔루션 설치가 이뤄졌고, 6월까지 안정화 과정을 거쳐 모든 프로젝트를 완료한 것이다.

현대백화점그룹은 국산 대표 DB 접근통제 솔루션인 피앤피시큐어의'DB세이퍼'를 도입했다. 타 솔루션 대비 DB 접근을 통제하는 본연의 기능과 세밀한 정책관리, 로그 조회 등에 있어 용이성을 제공한다는 점이 솔루션을 선정한 이유였다.

보안 강화 및 DB변경 관리 절차 확립

현대백화점 그룹은 DB접근통제 사업으로 인한 가장 큰 효과로 IT직원들의 작업 내용이 모두 남기 때문에 업무 시 더 신경 써서 일을 처리하고, 문제가 생기지 않도록 더 조심하게 됨으로써 서비스 운영상에도 안정성이 높아지게 된 점을 꼽았다. 또 데이터 수정 및 변경으로 인한 문제 발생 시 작업 이력 조회를 통해 빨리 문제를 해결할 수 있게 됐다.
무엇보다도 프로젝트 목적 중 하나였던'내부적으로 데이터 수정 및 변경 등 DB변경 관리 절차를 명확히 확립하고 DB접근 권한을 세분화하게 됐다'는 점에서 상당히 만족하고 있다. 현대백화점 그룹은 이번 사업으로'DB접근 통제를 통한보안 강화'와'DB변경 관리 체계화'를 해결하는, 즉 두 마리 토끼를 잡았다.
IT사업부 조정봉 과장은"고객 정보보호를 위한 법규 준수를 주 목적으로 DB보안 사업을 추진 할 경우 얻을 수 있는 이점이 적고, 전시용 사업에 그칠 수 있다. 단순히 로그만 쌓을 뿐 관리하지 않고 방치하거나 차단 정책도 최소한의 부분만 적용하는 경우가 많은데, DB접근 통제 솔루션의 경우 DB변경 관리처럼 제대로 활용할 수 있는 방안을 찾으면 투자 대비 얻을 수 있는 이점이 많다"고 강조했다.
현대백화점그룹은 앞으로 정책을 세밀화 하여 DB 변경관리를 해나간다는 계획이다. 또 고객정보를 이용하는 IT 및 현업 직원들은 물론, 백화점 관련 위탁업체들을 대상으로 정보 보호 교육 및 감사를 강화해 나간다는 방침이다.


<이하 상세 내용 컴퓨터월드 8월 호 참조>

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지