김재수 LG전자 본사 경영지원팀 정보보안그룹장
▲ 김재수 LG전자 본사 경영지원팀 정보보안그룹장
LG전자는 과거 채용사이트가 해킹돼 입사지원자들 70여 명의 개인정보 유출 사고로 곤혹을 치른 적이 있다. 위탁 업체에서 관리를 못해 벌어진 사고였지만 당시 LG전자라는 대기업에 일어난 정보유출 사고는 사회적으로 큰 화제가 됐다. 그렇기 때문에 LG전자는 더더욱 개인정보의 중요성을 알고, 다른 기업들 보다 앞서 개인정보보호 강화에 고삐를 당겼다. 현재 국내 개인정보보호법에서 요구하는 수준의 기술적, 관리적 보호조치를 모두 완료하고, 올해는 해외 고객들의 개인정보보호를 위해 국내 적용된 보호조치를 해외 현지 환경에 맞게 확산 적용시킬 예정이다. LG전자의 김재수 정보보안 그룹장은 "국내에서 LG전자보다 개인정보보호 조치를 많이 갖추고 있는 곳은 없다. 개인정보보호법이 시행되더라도 지금까지 해오던 대로 한다면 문제가 없을 것으로 본다. 국내를 넘어 해외에서도 개인정보보호 선두기업이 될 수 있도록 앞으로 본사의 보안 정책과 프로세스 등을 근간으로 글로벌 보안 표준화에 주력할 계획이다"라고 밝혔다.
"전자제품 회사들은 기술을 선도하고 시장을 선점하기 위해 제품을 양산하기 전에 최고의 무기를 숨기고 있다. 경쟁사가 어떤 것을 내놓는지를 본 후 더 뛰어난 무기를 내놓기 위한 것이다. 동종분야의 업체들은 집중하는 사업분야가 유사하므로 경영전략은 기밀이 아니다. 그렇지만, 먼저 앞서나갈 수 있는 방법이 담긴 경영정보나 디자인 등이 노출되면 기업 경쟁력에 큰 치명타를 입을 수 있다."
LG전자의 정보보안을 책임지고 있는 김재수 그룹장의 말이다. LG전자는 과거 이처럼 회사의 경영정보와 기술정보가 유출되지 않도록 지키는데 중점을 두고 있다가 2008년부터는 개인정보까지도 회사가 보호해야할 중요 정보로 보고 신경 쓰고 있다.
2008년 당시 개인정보보호법 제정에 대한 이슈가 떠오르면서 LG전자는 분기마다 CEO가 직접 주관하는 컴플라이언스 회의에서 향후 회사차원에서 중요한 11개 컴플라이언스 리스크 과제 중 하나로 개인정보보호를 선정했던 것이다. 개인정보를 기존의 정보보안 업무 영역에 포함시켜 동일한 관리 프로세스, 정책, 기술적 보호조치를 적용했으며 통합 보안관리 및 모니터링을 하고 있다.
개인정보보호를 'KEY RISK'과제로 선정 LG전자는 기존에도 정통망법의 개인정보보호 사항들에 대해 법적인 요건을 잘 갖춰나가고 있었지만, 2008년 모 정유사에서 일어난 2천만건의 개인정보유출사고가 회사의 개인정보보호 수준을 돌아보고 취약했던 부분을 보강하는 결정적인 계기가 됐다고 한다.
개인정보유출 사고로 인해 과태료나 집단소송으로 인한 배상금은 물론, 상당한 시간과 노력을 투자해 쌓아올린 부와 명성이 순식간에 무너질 수 있기 때문에 회사 차원에서 심각한 리스크가 될 수 있다고 판단했던 것이다.
이에 2009년까지는 123개 해외 사업장을 포함해 전사적인 개인정보 관리체계를 수립하고 중장기 계획과 정책을 마련했다. 그리고 지난해는 DB(DB 접근통제 및 암호화 적용), PC(PC내 개인정보검색 및 불필요한 정보삭제 툴 도입), 웹 사이트(주민번호 대체수단인 아이핀 제공 및 SSL 전용선 도입)상의 모든 기술적 보호조치를 완료했다.
올해부터는 개인정보보호 업무를 집중해 가져가기 위해 정보보안그룹 내 개인정보보호파트를 신설했다. 직원들에 대한 개인정보보호 교육과 홍보 활동을 보다 적극 진행할 예정이다.
김재수 LG전자 본사 경영지원팀 정보보안그룹장은 "LG전자보다 국내에서 개인정보보호를 위한 기술적/ 관리적 조치를 많이 갖추고 있는 곳은 없다고 자신한다. 개인정보를 보유한 전체 DB에 대한 암호화를 적용했고 개인정보의 오남용 방지를 위한 PC모니터링을 진행하고 있다. 강화된 개인정보보호법이 시행되더라도 지금까지 해오던 대로 한다면 문제가 없을 것으로 본다"고 강조했다.
40여 개국 해외법인으로 보호조치 확대
올해는 40여 개국의 해외 고객들에 대한 개인정보보호까지 할 수 있도록 국내 적용된 기술적/ 관리적 보호조치를 해외 현지 환경에 맞게 확산 적용시키는데 중점을 둘 계획이다. 개인정보보호를 위한 예산으로 지난해 55억 원 정도를 투입했고, 올해는 123억 원을 배정했다고 밝혔다.
이를 위한 글로벌 컴플라이언스 수준을 분석하고 해외법인들에 대한 개인정보보호 진단을 실시하고 있다. LG전자는 본사의 보안 정책과 프로세스 등 국내 표준이 글로벌 표준이 될 수 있도록 글로벌 표준화에 주력할 방침이다. 한국의 개인정보보호 법률이 주요 선진국에 비해 세부적이기 때문에 국내 개인정보보호 관련 법률 사항을 준수한다면, 자연스럽게 관리체계, 개인정보처리, 시스템 보호조치 영역에 있어 세계 최고가 될 수 있다고 보고 있다.
LG전자의 보안업무에 전담하고 있는 인력은 71명이다.
보안 자격제도인 개인정보관리사(CPPG : Certified Privacy Protection General) 자격증을 전 직원이 모두 다 취득하는 것을 목표로 하고 있다. 개인정보관리사 1차 시험에서 32명이 합격했다.
LG전자는 개인정보보호법 시행이 마케팅 분야에 적지않은 영향을 미칠 것으로 예상했다. 고객 정보를 단순 회원가입/ 관리뿐만 아니라, 고객에게 원활한 정보/서비스 제공, 제품 구매고객의 성향 등을 판단하기 위한 마케팅 자료로 사용해 왔기 때문에 이윤추구에 영향을 미칠 것으로 보고 있다.
김재수 그룹장은 "법이 적용되면 과거 수십 년간 제품 구매계약, 전화상담 등 서비스 지원 시 고객 동의를 받지 않고 수집된 정보를 보유, 이용할 수 없게 된다. 또, 대기업처럼 수많은 시스템을 사용하고 있는 기업들에게는 보호조치를 위한 기술개발, 솔루션 적용 등 엄청난 투자가 수반된다"며 "법 적용사항에 대해 준수하는 것은 당연하겠지만, 사업자가 공감하여 이행할 수 있는 법 적용이 되었으면 한다"고 전했다.
경영층의 보안 인식과 강한 의지가 가장 중요
개인정보보호를 하는데 어려움과 고려사항 등 기업의 개인정보보호 강화 방법에 대해 김재수 그룹장을 통해 직접 들어본다.
대기업 입장에서 개인정보보호의 중요성은 어떠한가.
▶ LG전자가 개인정보보호를 하는 이유는 컴플라이언스 리스크를 예방하기 위한 것으로 법적인 요건을 충족하기 위해 많은 투자가 필요하다. 중소기업의 경우 엄청난 투자를 감당할 수 없어서 '사고가 나면 그때 가서 한다'는입장이지만, 대기업은 그렇게 하지 못한다.
LG전자라는 기업 브랜드가 있기 때문에 과징금, 과태료를 내는 것을 떠나서 브랜드 이미지가 한 번 떨어지면 다시 올리기가 굉장히 힘들뿐더러, 영업이나 마케팅적인 손해가 크다. 보안에 신경을 많이 쓸 수밖에 없는 이유다.
개인정보보호를 제대로 못하는 기업은 경쟁사에 뒤처지거나 고객들로부터 뭇매를 맞게 된다. 그 책임의 화살을 다시 받게 되는 것이다. 특히, 상당한 시간과 노력을 투자해 쌓아올린 부와 명성이 순식간에 무너질 수 있기 때문에 관련 법을 반드시 준수해야만 한다.
정보보안을 하는데 특별히 어려웠던 점이 있다면.
▶ 가장 큰 어려움이라면 투자금 확보이다. 개인정보보호 조치를 하려면 한 번에 들어가는 비용만 3~7억 원이 된다. 해외까지 하려면 100억 원이 넘는다. 개인정보보호의 중요성은 알지만 개인정보보호를 위해 세부적으로 무엇을 어떻게 할지 모르는 상황에서 투자금을 산정하고, 투자 근거를 마련하여 경영층을 이해시키는 활동이 어려웠던 것 같다. 회사가 처한 리스크를 알림으로써 경영층이 개인정보보호에 대한 관심과 강한 의지를 가지게 됐다. 경영층에서 보안활동을 적극 지지하다보니 직원들도 자발적으로 따라오게 됐다.
또 다른 어려움으로는 글로벌 기업이다 보니 각 국가 별 법률에 맞춰 보안을 하기 어려운 부분이 많다. 때문에 글로벌 표준에 맞춰 보안을 강화하는데 중점을 두고 있다. 실제 해외법인의 개인정보 관리는 나라마다 법이 다르기 때문에 매우 어려운 게 사실이다. 한 예로, EU는 자국민의 정보를 해외에 이관하는 것을 법으로 규제하고 있다. 이에 현재 LG전자는 한국으로의 정보이관을 승인받기 위해 현재 EU 정보보호 인증위원회 심사를 진행하고 있다.
법 조기정착 위해 동기부여도 필요
개인정보보호 강화 위한 가장 효과적인 방법은.
▶ 현재 수준 분석이 선결되어야 한다. 어디까지 왔는지 수준을 알아야 경영층도 제대로 설득시킬 수 있을 것이다. 업계 보안해설서나 지침에 의거해 현재 보안 수준을 판단한 다음, 이를 근간으로 만일의 사고 발생 시 피해금액을 산정해 경영층에 제시하는 게 현실적으로 가장 효과적인 방법 같다.
한편, 개인정보보호를 어느 정도 강화했다면 방통위 '개인정보보호관리체계(PIMS) 인증'을받아 내부개인정보보호체계를 검증받을 수 있을 것이다. 국제정보보호관리체계 인증인 ISO27001의 경우 해외 특히, 유럽 쪽에서는 인증을 획득한 사업자에게 통관, 관세 등 많은 혜택을 준다. 개인정보보호 강화와 법률 조기정착을 위해서는 정보유출 사고 발생 시 사업자들에게 일방적인 책임만 묻는게 아니라 PIMS 적용 사업자에 혜택이나 면책 등 인센티브를 적절히 배분하는 등의 동기부여가 필요하다고 본다.
보강해야 할 기술적 보호조치가 있다면.
▶ 개인정보보호를 위해 지난해는 PC, 웹, DB 등 시스템 보호조치 영역을 개선하는데 중점을 뒀다. 현재 추가적으로 개인정보 보유시스템에 대한 세부적인 기술적 보호조치를 이행 중이다. 구체적으로 패스워드 일방향 암호화 강화(SHA512), 장기 미 접속자 처리, WAS영역에 대한 접근이력 모니터링 강화, 시스템 접근제어(고정IP) 등을 추진하고 있다.
특히, WAS를 통한 DB접근 권한관리 및 통제를 효율적으로 하기 위해 솔루션을 개발 중이다. 개발자들이 다양한 애플리케이션을 통해 DB에 접속하는데, 지금의 에이전트 방식은 애플리케이션 버전업에 대한 변화관리도 힘들고, 비용도 많이 든다. 이에 현재 온라인 방식으로 애플리케이션을 통한 DB 접근을 통제할 수 있는 방안을 마련하고 있다.
내부 직원 외에 협력사 직원들에 대한 보안은.
▶ 먼저 내부 임직원 및 개인정보 취급자를 대상으로 정기적인 교육/ 홍보를 실시하고 있으며, 모든 개인정보보유 시스템에 대한 시스템 보호조치 활동 및 임직원 전체 PC 내 개인정보 보유여부를 직접 확인하게 함으로써 개인정보보호에 대한 중요성을 피부에 와 닿게 하고 있다. LG전자 임직원에게 있어 개인정보보호는 특별한 업무가 아닌, 몸에 배어있는 생활의 일부가 되어가고 있다.
또한, 협력사에 대한 보안의 경우, 하도급법 등 관련 법률이 있어서 직접 투자하거나 관리를 못하는 부분도 없지 않다. 그렇지만, 협력사가 LG브랜드를 해칠 수 있는 부분에 대해서는 업무 협의를 해나가고 있다. 매출액을 기준으로 LG전자의 사업수주가 많은 협력사들을 선정, 협력사 대표들을 대상으로 연간 2회 반나절씩 보안교육을 실시하고 있다.
협력사의 경영상태, 회계구조 등을 평가해 다음번 재계약 시 반영하고 있는데, 이 협력사 평가항목에 보안, 개인정보 부분도 포함되어 있다. 즉, 보안이 취약한 기업은 재계약 시 불리할 수 있다. 반대로 보안교육에 참석하는 협력사에게는 가점을 준다. 지난 12월에는 140명을 대상으로 교육을 진행했으며, 보안교육 시에는 지경부 산하 산업기술협회의 정기보안교육프로그램과 기업체에서 신청하면 방문 교육을 해주는 프로그램을 같이 활용하고 있다.
김정은 기자
jekim92@itdaily.kr