[파이낸셜뉴스] 한국수력원자력 고리원자력본부는 지난 11~15일 5일간 ‘찾아가는 정보보안 서비스’를 했다고 18일 밝혔다.  찾아가는 정보보안 서비스는 정보보안 업무에 어려움을 겪고 있는 직원 및 협력회사를 대상으로 직접 찾아가 교육, 보안조치 등을 지원하는 정보보안 수준 향상 캠페인 행사다. 이번 행사는 고리원자력본부 협력회사 사무실 등 일선 현장을 찾아 보안 취약점에 대한 일대일 컨설팅을 제공하는 방식으로 진행됐다. 40여개 상주 협력회사 사무실을 찾아가 보안점검을 시행하고 발견된 보안 취약점 해결방안에 대한 맞춤형 컨설팅을 시행했다. 올해 총 10회의 찾아가는 정보보안 서비스를 수행한 고리원자력본부는 상주 협력회사의 보안 준수사항 교육, 출입보안 절차 및 위규사례 전파, 해킹메일 사례공유 등을 통해 현장 부서와 소통하고 더 많은 접점을 만들기 위해 노력하고 있다. 또 임직원의 개인정보 보호 인식 확산을 위해 개인정보보호 인식 제고 캠페인 활동, 해킹메일에 대한 경각심 유발을 위한 자체 대응 훈련, 전 직원 국가보안 교육 등의 프로그램도 운영하고 있다. 이광훈 고리원자력본부장은 “앞으로도 찾아가는 정보보안 서비스를 비롯한 여러 정보보안 활동을 통해 임직원들의 보안 의식 수준을 높이고, 안정적인 발전소 운영의 기반이 될 수 있도록 다양한 보안 서비스 지원을 강화하겠다”라고 말했다.  bsk730@fnnews.com 권병석 기자

▲ 김필성씨 별세· 이유찬씨(휴온스글로벌 정보보안실 이사) 모친상=22일 봉화장례식장, 발인 24일 오전 8시. (054)673-0061

[파이낸셜뉴스] 인천국제공항공사는 지난 14일 스마트패스시스템 등 공항 내 5개의 중요 개인정보처리시스템에 대한 개인정보 유출 및 침해사고 대응훈련을 실시했다고 15일 밝혔다. 훈련은 가상의 시나리오를 각 중요 시스템별로 부여하고 침해사고 대응 매뉴얼에 따라 실제상황과 같이 실행해보며 대처 방법을 숙지하는 방향으로 진행됐다. 인천국제공항공사 사이버보안센터 직원과 각 시스템별 담당자, 보안 전문업체 SK쉴더스 등 16명이 참여한 훈련은 △사고대응반과 대응지원반 구성 △피해 최소화 및 긴급조치 △유출 통지 및 신고 △피해 구제 및 재발 방지 순으로 이뤄졌다. 이를 통해 관계 기관 및 담당자들은 개인정보 침해 유관부서의 실무 대응 방법 및 조직간 체계적인 업무분장을 사전에 숙지해 실제 상황 발생 시 유기적 대응책을 마련할 수 있도록 대응 역량을 제고했다. 이학재 인천국제공항공사 사장은 "이번 훈련을 통해 정보보안 담당자들의 역량을 강화하고 관련 수칙을 실천할 수 있었다"며 "디지털 전환이 가속화되는 환경 속에서 개인정보보호의 위협요인이 증가함에 따라 공항의 모든 시스템이 안전하게 운영될 수 있도록 최선을 다하겠다"고 말했다. hoya0222@fnnews.com 김동호 기자

포스코이앤씨는 고객 정보보안 신뢰도를 높이기 위해 국내 최고 수준의 보안관리체계 인증인 ISMS-P 를 획득했다고 10일 밝혔다. 이 인증은 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보보호 체계와 고객의 개인정보보호 관리체계가 적합하게 운영되는지를 심사하는 제도다. 과학기술정보통신부와 개인정보보호위원회의 공동 고시 기준에 따라 한국인터넷진흥원에서 인증한다. ISMS-P 인증을 획득하기 위해서는 △정책의 수립·운영·개선을 의미하는 관리체계 분야 △자산관리 및 보안시스템 등 기술적 보호조치 분야 △개인정보의 수집·이용·파기 등 개인정보 라이프 사이클 별 보호조치 분야를 비롯해 101개 항목에 대한 적합성 평가를 모두 통과해야 한다. 포스코이앤씨는 현재 정보보호 국제표준인 정보보안경영시스템(ISO27001) 인증을 보유하고 있다. 이에 더해 ISMS-P 인증을 추가로 획득하게 되면서 국내 최고 수준의 정보보호 및 개인정보보호 체계를 갖출 수 있게 됐다. 포스코이앤씨는 매년 정기 및 수시로 사내외 모든 시스템을 모의해킹 함으로써 강도 높은 보안 점검을 하고 있다. 특히 '더샵'의 고객정보를 수탁하는 협력사에 대한 교육 및 점검 또한 강화해 나갈 계획이다. 포스코이앤씨 관계자는 "최근 개인정보 유출에 대한 우려가 커짐에 따라 고객들이 안심할 수 있도록 관리적·기술적 보안 수준을 높였다"며 "앞으로 고객정보를 함께 관리하는 협력사에 대한 교육 및 점검 또한 강화하여 높은 수준의 정보보안 체계를 구축해 갈 것"이라고 말했다. 전민경 기자

[파이낸셜뉴스] 포스코이앤씨는 고객 정보보안 신뢰도를 높이기 위해 국내 최고 수준의 보안관리체계 인증인 ISMS-P 를 획득했다고 10일 밝혔다. 이 인증은 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보보호 체계와 고객의 개인정보보호 관리체계가 적합하게 운영되는지를 심사하는 제도다. 과학기술정보통신부와 개인정보보호위원회의 공동 고시 기준에 따라 한국인터넷진흥원에서 인증한다. ISMS-P 인증을 획득하기 위해서는 △정책의 수립·운영·개선을 의미하는 관리체계 분야 △자산관리 및 보안시스템 등 기술적 보호조치 분야 △개인정보의 수집·이용·파기 등 개인정보 라이프 사이클 별 보호조치 분야를 비롯해 101개 항목에 대한 적합성 평가를 모두 통과해야 한다. 포스코이앤씨는 현재 정보보호 국제표준인 정보보안경영시스템(ISO27001) 인증을 보유하고 있다. 이에 더해 ISMS-P 인증을 추가로 획득하게 되면서 국내 최고 수준의 정보보호 및 개인정보보호 체계를 갖출 수 있게 됐다. 포스코이앤씨는 매년 정기 및 수시로 사내외 모든 시스템을 모의해킹 함으로써 강도 높은 보안 점검을 하고 있다. 특히 '더샵'의 고객정보를 수탁하는 협력사에 대한 교육 및 점검 또한 강화해 나갈 계획이다. 포스코이앤씨 관계자는 "최근 개인정보 유출에 대한 우려가 커짐에 따라 고객들이 안심할 수 있도록 관리적·기술적 보안 수준을 높였다"며 "앞으로 고객정보를 함께 관리하는 협력사에 대한 교육 및 점검 또한 강화하여 높은 수준의 정보보안 체계를 구축해 갈 것"이라고 말했다. ming@fnnews.com 전민경 기자

[파이낸셜뉴스] 삼성전자서비스가 정보보호관리체계(ISMS) 인증 범위를 확대했다고 9일 밝혔다.  정보보호관리체계는 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 기업이 운영하는 전산, 시스템 등이 안전하고 신뢰성 있게 관리되는지 종합 심사를 통해 인증해 주는 제도다. 정보보호 관리 체계 수립 및 운영, 정보보호 대책 등 80여 개 적합성 평가를 모두 통과해야 인증을 획득할 수 있고, 매년 사후 심사를 통해 인증 유지 여부가 결정된다.  삼성전자서비스는 지난 2021년 홈페이지, 챗봇, 사내 전산시스템 등 6개 분야에서 최초로 인증을 획득한 후 체계적이고 지속적인 관리 체계를 구축해 매년 사후 심사를 통과해 왔다. 올해는 수어 상담 시스템, 인재 채용 사이트까지 범위를 넓혀 새롭게 정보보호관리체계(ISMS) 인증을 획득했다.  삼성전자서비스는 안전한 정보보호 체계 구축을 위해 △보안 시스템 고도화 △전 임직원 대상 정보보안 교육 △정보보호 모의 훈련 등을 실시하고 있다. 이현기 삼성전자서비스 정보보호최고책임자(CISO) 상무는 "ISMS 인증 범위를 확대하며 정보보호에 대한 고객의 신뢰를 한층 높이게 됐다"며 "수준 높은 정보보안으로 고객이 안심하고 서비스를 이용할 수 있도록 노력하겠다"고 전했다.  soup@fnnews.com 임수빈 기자

LG유플러스가 사이버 안전을 위해 실시했던 활동 및 성과를 공개하는 ‘LG유플러스 정보보호백서 2023’을 발간했다고 2일 밝혔다. LG유플러스는 이번 정보보호백서 발간을 통해 통신 사업의 기본인 고객 정보를 지키지 위한 노력을 외부에 투명하게 공개할 계획이다. 또 지난해 사이버 안전혁신안을 통해 약속한 사이버 안전혁신 보고서 발간 계획도 이행할 수 있게 됐다. 올해 처음으로 공개된 정보보호백서는 작년부터 올해 상반기까지 LG유플러스의 사이버 보안 노력을 담고 있다. '신뢰 제고를 위한 사이버안전혁신 추진'과 '정보보호 역량 제고' 두 파트로 나눠 다양한 수행 활동과 투자, 기술 등을 소개했다. 사이버안전혁신 추진 파트에는 지난해와 올해 LG유플러스가 보안을 위해 개선한 내용들이 수록돼 있다. 이 파트에선 △정보보호 기본기 강화 △대고객 신뢰회복 △정보보호 체계 점검 및 진단 등 사이버안전을 위해 실시한 기본적인 활동과 심화 활동까지 모두 확인할 수 있다. 정보보호 역량 제고 파트에선 더욱 안전한 정보보호 체계를 위해 현재 추진 중인 활동들이 기재돼 있다. 대표적으로 사내 보안 취약점을 신고하면 포상금을 지급하는 ‘버그바운티 제도’ 실시, 개인정보 처리방침과 통합동의 관리를 위한 ‘프라이버시 센터 구축’, 모든 것을 신뢰하지 않고 꼼꼼히 보안 사항을 확인하는 ‘제로 트러스트 아키텍처 적용’ 등이다. 뿐만 아니라 외부에서도 LG유플러스의 활동을 모니터링 할 수 있도록 오는 2026년까지 계획돼 있는 중장기 이행 과제들도 소개한다. 정보보호백서는 PDF 형식으로 발간되며 다운로드를 희망하는 고객은 LG유플러스 홈페이지 내 ‘지속가능경영보고서’ 탭이나 LG유플러스 개인정보처리방침 사이트 내 공지사항에서 확인할 수 있다. 홍관희 LG유플러스 사이버보안센터장(CISO/CPO, 전무)은 “지난 1년간 LG유플러스가 정보보호를 위해 노력해온 활동들을 투명하게 공개하고 고객이 믿을 수 있는 회사로 거듭나고자 정보보호백서를 발간했다”며 “단순 보안 강화를 넘어 글로벌 사이버보안 체계를 선도할 수 있는 그날까지 지속적으로 정보보안 활동을 강화하겠다”고 말했다. solidkjy@fnnews.com 구자윤 기자

하이퍼라운지가 경영 데이터 분석 기업 최초로 획득한 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’에 대한 사후 심사를 성공적으로 통과했다고 밝혔다. 이번 성과로 하이퍼라운지는 서비스의 보안 관리 체계에 대한 신뢰성을 한층 더 강화하며, 고객들에게 더욱 안전한 서비스를 제공할 수 있게 되었다. ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 주관하는 국내 최고 수준의 보안 관리 체계 인증이다. 기업이 정보와 개인정보를 안전하게 보호하기 위해 반드시 갖춰야 할 체계적 관리 절차와 보호 대책을 평가하며 최초 인증 후에도 매년 사후관리를 위해 까다로운 인증심사를 거쳐야 할 정도로 높은 수준의 정보보안 안전성을 요구한다. 현재 이 인증을 획득한 기업은 전국적으로 64개사에 불과하며, 하이퍼라운지는 지난 2023년 경영 데이터 분석 기업 중 최초로 ISMS-P 인증을 획득했다. 하이퍼라운지는 중소기업, 중견기업, 스타트업을 위한 관리 분석 서비스인 ‘하이퍼리포트’를 주력으로 제공하고 있다. 이는 기업 운영에 중요한 경영 지표를 쉽고 간단히 파악할 수 있도록 데이터를 자동 수집ㆍ취합해 웹과 모바일 앱을 통해 제공하는 서비스다. 서비스의 특성상 고객의 경영 데이터를 안전하게 보호하는 것이 최우선 과제이며 이번 사후 심사 통과로 하이퍼리포트는 서비스 안전성을 객관적으로 검증받은 셈이다. 하이퍼라운지 관계자는 "이번 ISMS-P 인증 사후 심사를 성공적으로 통과함으로써 고객들에게 더 높은 신뢰성을 제공할 수 있게 되었다"며 "앞으로도 정보보호와 개인정보보호에 대한 투자를 지속적으로 강화해 고객의 중요한 데이터를 안전하게 관리하는 최고의 서비스를 제공하겠다"고 전했다.

"'모놀리 엔클레이브'는 전 세계 기업이 안전하게 클라우드를 사용하기 위해 필요한 기업용 클라우드 데이터 네트워크 구축을 추구한다. 핵심 가치는 서비스형소프트웨어(SaaS) 데이터 주권 확립을 통한 디지털 트랜스포메이션 가속화다." 금융당국이 금융 분야 망분리 규제개선을 추진하고 있는 가운데 강력한 '보안 게이트웨이'에 대한 수요가 늘어날 전망이다. 은행·금융투자·전자금융 등 전 금융권이 디지털 전환 일환으로 클라우드 기반 서비스형소프트웨어(SaaS)를 적극 활용하는 동시에 자체 데이터주권을 확보할 수 있도록 지원하는 것이 핵심이다. 대표적인 SaaS는 워드, 엑셀, 파워포인트 등 사무용 소프트웨어(SW)를 매월 구독료를 내고 쓸 수 있는 '마이크로소프트365(M365)' 등이다. 성기운 모놀리 대표(사진)는 26일 "최근 시중은행과 망분리 환경에서의 SaaS 데이터 보안을 위한 모놀리 엔클레이브 기술 검증을 완료했다"며 이 같이 말했다. 모놀리는 삼성SDS 블록체인연구랩(Lab)장을 지낸 성 대표가 2022년 6월 실리콘밸리에 설립한 클라우드 및 SaaS 데이터 거버넌스 전문기업이다. 클라우드 환경에서 기업의 데이터 통제권 및 주권을 보장하는 차세대 분산형 SaaS 기술을 개발하고 있다. 망 분리 환경에서도 안전하게 SaaS를 이용할 수 있도록 지원하는 기술인 모놀리 엔클레이브가 대표적이다. 성 대표는 "모놀리 엔클레이브는 망분리 취지에 적합한 보안구조를 유지하면서 기업 임직원이 SaaS를 안전하게 이용할 수 있도록 하는 SaaS 데이터 레지던시 솔루션"이라며 "기업 내부망과 SaaS 중간에서 보안 게이트웨이로 동작해 데이터를 내부망에 보관하고 통제할 수 있도록 한다"고 설명했다. 일례로 임직원들이 SaaS를 사용할 때 입력하는 원본 데이터는 금융사의 자체 데이터센터에 보관하고, 원본 데이터 대신 SaaS 제어 데이터를 SaaS 측으로 전송한다. 이 때 SaaS에 저장되는 제어 데이터는 금융사가 전송했던 원본 데이터를 복원할 수 없는 구조여서 개인정보, 신용정보, 거래정보 등 중요 데이터가 외부 클라우드에 저장 또는 유출되는 것을 원천적으로 방지한다. 외부에서 SaaS를 경유해 유입되는 악성코드도 차단한다. 또 다른 핵심 기능은 모놀리 엔클레이브를 적용한 기업 간 데이터 공유를 위한 신뢰 네트워킹이다. 같은 SaaS 툴을 사용하는 기업들 간에는 필요시 자회사, 계열사, 파트너사 등과 적법한 범위 내에서 중요한 데이터를 주고 받아야 할 경우가 있다. 이 때 모놀리 엔클레이브를 적용한 기업들 간에는 해당 중요 데이터를 외부 클라우드나 SaaS로 전송하지 않더라도 중요 데이터를 상호 직접 공유할 수 있다. 송수신 당사자인 기업들만 해당 데이터를 저장 및 통제 할 수 있는 형태로 지원하기 때문에 SaaS를 보다 안전하게 활용할 수 있다. 모놀리 엔클레이브는 최근 금융사들이 혁신금융서비스로 승인받고 있는 M365뿐만 아니라 슬랙(Slack), 지라(Jira), 플루언스(Confluence) 등 다양한 SaaS 앱을 지원하고 있다. 향후 SaaS형 전사적자원관리(ERP) 및 인적자원관리(HRM) 등으로 더욱 확대할 계획이다. 성 대표는 "금융권뿐만 아니라 공공과 연구소 및 반도체 등 국가핵심기술 분야 기관이나 기업처럼 망분리와 사설망 중심으로 높은 보안체계를 운영하는 곳에서도 주목받고 있다"며 "이들에게도 안전한 SaaS 데이터 보안 구조를 제공할 예정"이라고 전했다. elikim@fnnews.com 김미희 기자

최상수 CJ올리브네트웍스 정보보호사업단장(부장·사진)은 20일 "환경·사회·지배구조(ESG) 차원에서 정보보안이 취약한 중소·중견기업을 진단하고 컨설팅해주고 있다"며 "이러한 활동들이 보안시장의 파이를 키워 결국 사업으로 연계될 수 있다"고 말했다.정보보안 업무만 25년 이상인 '베테랑' 최상수 단장은 CJ올리브네트웍스의 정보보호최고책임자(CISO)로서 대내외 사업의 보안을 책임지고 있다. 최 단장은 중소·중견 기업들의 정보보호에도 남다른 관심을 갖고 있다. CJ올리브네트웍스는 2020년부터 사회공헌 프로그램 '화이트햇 투게더'에서 중소·중견 기업을 위한 맞춤형 정보보호 컨설팅을 제공 중이다. 최 단장은 이 프로그램을 통해 지원해 준 한 스타트업이 기억에 남는다고 회상했다. 그는 "젊은 청년 몇 명이 모여 창업했지만 보안을 어떻게 시작해야 할지 몰라 고생하다가 우리의 손길을 너무 고마워했다"고 말했다. CJ올리브네트웍스는 지난 5년 동안 약 100개의 중소 및 중견기업에 모의해킹, 개인정보 컴플라이언스 점검, 정보보호 교육 등 고객맞춤형 컨설팅을 무료로 제공하고 있다.최 단장은 "이러한 정보보호 컨설팅이 단순 일회성이 아니라 꾸준히 관리하고 점검해야 한다"고 말했다. 화이트햇 투게더를 통해 맺은 기업 대상의 취약점 및 정보보호 무료 컨설팅 이후에도 각 기업들이 지속적으로 정보보호 수준을 유지하고 있는지를 파악할 수 있도록 이행점검 체크리스트를 제공하는 등 지원을 아끼지 않고 있다.그러면서 "상대적으로 규모가 있는 기업들이 함께 지원을 해줘야 기업들의 보안 수준이 전체적으로 상승할 것"이라며 "정보보호 생태계 활성화가 필요하다"고 강조했다. 그는 ㈜CJ 근무 당시 그룹의 국내외 정보보안 거버넌스를 구축하는 등 보안 수준을 한 단계 업그레이드한 바 있다. 이러한 경험을 기반으로 'CJ 시큐리티 맵'을 통해 그룹의 보안 수준을 진단하고 중장기적 고도화계획 추진을 통해 글로벌 기업 수준의 보안체계를 갖춰 나가고 있다. 최 단장의 가장 큰 관심사는 바로 'AI와 클라우드 보안'. 계열사는 물론 대외고객들의 비즈니스가 다양하게 변화하고 있고, 생성형 AI의 활용 증가 등 직원들의 일하는 방식 역시 자연스럽게 바뀌어 가고 있다.이에 '생성형 AI 보안강화를 위한 TF'를 구성해 보안성 검토 및 사용 프로세스를 수립하고, 'AWS 보안 컨설팅 역량' 인증자격을 취득했다. 이 같은 클라우드 보안역량을 인정받는 등 조직원의 역량 강화는 물론 그룹의 보안 경쟁력을 한층 강화하는 데 매진하고 있다. 최근 구축한 보안 디지털플랫폼은 생성형 AI 기반 서비스는 물론 클라우드 등 주요한 IT기술의 보안을 점검하고 관리할 수 있어 더 안전하고 효과적으로 최신의 기술을 사용할 수 있다. 이처럼 축적한 보안역량을 기반으로 CJ올리브네트웍스는 보안사업을 대외 비즈니스로 확대하고 있다. CJ올리브네트웍스가 대외 SI사업을 수주하면 보안 분야를 책임지기도 하고, 유통업계와 보험업계 등의 보안컨설팅 사업 수주도 자체적으로 추진하고 있다.향후 클라우드보안, OT보안, 보안관제 등 다양한 분야로 대외사업을 확대해 나갈 계획이다. monarch@fnnews.com 김만기 기자