[우리회사 `IT보안관`]장래진 옥션 CTO

　“전자상거래 업체에 고객데이터와 거래데이터는 유출이나 손실될 경우 기업 자체의 생존과 직결됩니다. 따라서 보안은 절대적인 요소이며 이에 대한 접근법도 일반기업과 달라야 합니다.”

　국내 대표적인 전자상거래 업체인 옥션의 보안을 총괄하고 있는 장래진 기술개발본부 이사(43) 겸 CTO는 고객의 거래정보나 금융정보 등에 대한 보안사고가 발생하면 이는 곧바로 금전과 직결되는 심각한 문제로 확대되기 때문에 보안에 대한 중요성이 여느 기업보다 높다고 강조한다. 장 이사는 초기 전자상거래업체들이 낮은 수익성을 이유로 보안에 신경을 쓰지 않았지만 이제는 필수 투자대상으로 규정하고 우선순위를 둬야한다고 지적했다. 그러나 인적·물적 자원에 대한 물리적 보안은 2차적인 문제이며 오히려 위기에 대한 대처전략이 가장 중요하다고 말했다.

　“보안은 장애 후 대처를 빨리하는 것보다 미리 시나리오에 근거해 미연에 사고를 방지해야 합니다. 물론 발생 후에도 신속히 대처하는 방안 마련도 필요합니다.”

　이러한 이유로 장 이사가 비중을 두는 것은 ‘보안정책’이며 전자상거래 업체라면 당연히 보안담당자가 필수라고 말한다. 비용절감을 위해 보안부문을 전문업체에 일임한다고 해도 전자상거래라는 특이성에 맞춰 전반적인 정책을 수립하고 운영할 담당자가 있을 경우 균형있는 보안유지가 가능하다는 것이다.

　옥션은 개인정보 보호와 시스템 보안을 분리해 각각을 총괄하는 임원을 두고 있다. 장래진 이사는 시스템 보안을 총괄하고 있다. 옥션은 지난 2000년 6월 코스닥 등록 이후부터 본격적인 보안투자가 이뤄졌다. 당시 자금상황이 호전되면서 서버증설 등 80억원 규모의 시스템 보강을 했으며 이때 보안투자도 함께 진행했다. 현재는 총시스템투자비의 10% 가량을 보안시스템에 투자하고 전체적인 보안관리는 보안전문업체를 통해 아웃소싱하고 있다. 보안시스템으로는 1차로 외부침입 방지를 위해 방화벽, 침입탐지시스템(IDC), 백신, 실시간 모니터링 등을 갖췄으며 외부 작업시에는 가상사설망(VPN)을 이용한다. 중요 정보는 암호화하고 있다.

　이밖에 옥션의 모회사인 미국 이베이로부터 주기적으로 모의해킹 등을 통해 네트워크 보안 등 시스템 전반에 대한 검증을 받고 있다.

　옥션은 1·25 인터넷 대란 때에도 피해가 없었다. 지난해 7월 웜바이러스 관련 패치를 완료해 웜에 감염되지 않았고, 대란 당시에도 사이트가 완벽하게 가동됐다. 당시 고객들의 트래픽이 감소하는 것을 감지하고 인터넷 대란에 대한 팝업을 띄웠으며 경매 마감시간을 24시간 연장해 고객피해를 최소화하는데 노력했다. 내부적으로 보안관리를 위한 접근권한 절차 규정과 보안관리 규정을 두고 있으며 직원들을 대상으로 정보보호 자산보호와 기밀 유출방지를 위한 정기적인 교육을 실시하고 있다. 또 신입사원들은 입사시 보안각서도 받고 있다. 이같은 노력의 결과로 지난해 정보통신부가 실시한 정보보호대상에서 장려상을 받았다.

　올해는 ‘내부보안’ 강화에 집중할 계획이다. 장 이사는 “내부 데이터에 대한 접근 권한을 관리하는데 투자를 확대할 예정이며 전사적으로 위험요소별로 리스트를 마련해 관리하는 ‘리스크 메니지먼트’를 실시할 계획”이라고 말했다.

　<서동규기자 dkseo@etnews.co.kr>