[산업계 보안 A to Z] 개인정보 보호 · 내부자 보안 교육 `중요`

Photo Image
관련 통계자료 다운로드 보안 체크리스트

 수많은 고객과 제품 정보를 다루는 유통 분야는 개인정보보호와 위탁업체에 대한 보안 교육이 관건으로 지적되고 있다.

 이벤트나 프로모션을 통한 고객정보 수집 시 고객에게 이용 목적과 수집 항목, 보유 기간 등을 명확히 공지하고 반드시 동의를 받아야만 한다. 이벤트나 프로모션이 끝나면 적절한 보안조치에 따라 수집한 개인정보를 관리 또는 폐기하는 절차도 필요하다. 특히 이벤트 대행업체에 수집한 개인정보가 남아있는 경우가 많아 이에 대한 관리 감독을 소홀히할 경우 개인정보 유출사고와 직결될 수 있으므로 주의해야 한다.

 이에 따라 고객정보를 보호하는 DB서버에 대한 암호화가 필수다. 본사 DB서버는 물론이며 위탁·협력업체·계열사 등에도 DB 암호화를 적용하는 것이 좋다. 최근 개인정보보호법 발효를 앞두고 시스템을 정비한 현대백화점의 경우 본·계열사에 대한 DB 암호화는 물론이고 협력사까지 모두 DRM을 적용해 송장으로 인쇄되는 고객정보를 암호화로 관리한다.

 또 고객정보를 저장하는 서버·PC에 대해 방화벽, 가상사설망(VPN), 침입방지(IPS), 침입탐지(IDS), 분산서비스거부(DDoS) 및 악성코드 대응시스템 등 물리적인 접근통제는 기본이다. 물리적인 접근통제는 유통뿐만 아니라 모든 산업 분야에서 기본적으로 갖춰야할 보안의 가장 밑그림이라 할 수 있다.

 최근 스마트폰 등의 보급과 함께 스마트폰·POS(Point Of Sales) 등으로 매장관리를 간편히 하기 위해 무선랜을 설치한 곳이 많다. 그러나 별도의 보안 인증 없이 바로 무선랜 접속을 허용할 경우 보안조치가 미흡한 무선랜을 이용해 고객정보 등 주요정보가 포함된 매장 메인서버로 바로 타고 들어갈 수도 있어 WPA(Wi-Fi Protected Access) 등 보안조치가 반드시 필요하다.

 직원들의 보안 마인드 제고는 역시 전 산업 분야에 걸쳐 공통적으로 필요한 요소지만 파트타이머, 아르바이트 등 단기 직원이 많은 유통 분야의 특성상 보안교육을 간과하기 쉽다. 보안사고는 ‘별일 없겠지’라는 불감증에서 기인한다는 점을 명심하고 내외부 직원에 대한 정기적인 보안 교육도 잊어서는 안 된다.

 

 ◇유통분야 보안 체크리스트

 1. 이벤트나 프로모션을 통한 고객정보 수집 시 고객정보의 이용 목적, 수집 항목, 보유 기간에 대해서 명확히 기재하고 동의를 받고 있는가.

 2. 상품 구매고객의 개인정보를 상품 판매업체에 제공 시 이용자 동의를 받고 있는가.

 3. 고객정보 관리 위탁업체(고객 상담, 상품 서비스 안내, DM 발송, 배송업체 등)에 고객정보 제공 시 취급·운영에 대한 관리·감독을 실시하고 있는가.

 4. 고객정보를 DB에 저장 시 암호화하고 있는가.

 5. 고객정보를 저장하는 서버·PC 등에 대해 물리적 접근통제를 수행하고 있는가.

 6. 불필요한 개인정보를 PC에 저장하고 있지 않는가.

 7. POS(Point Of Sales) 단말기 보안 관련 정부지침을 준수하고 있는가.

 8. POS와 본사 서버 또는 VAN사 간 통신 시 보안대책이 마련되어 있는가.

 9. HHT(Hand Held Terminal)와 무선 POS 사용 시 접근통제를 실시하고 있는가.

 10. 내부 및 외부직원(파트타이머, 아르바이트 등)에 대한 정기적인 정보보호 교육을 수행하고 있는가.

장윤정기자 linda@etnews.co.kr