영세 아웃소싱업체 보안 사각지대 노출
기업 보안 핵심 '보안을 기업문화로'정착

최근 사회적으로 이슈화가 되고 있는 것이 ‘개인정보’ 보호다. 일부 기업에서 고객의 개인정보를 적절히 보호하지 못한 결과 개인정보 유출로 인한 막대한 피해가 예상되고, 개인들은 자신의 정보가 유출되어 악용되지는 않는지 노심초사다.

개인정보가 유출된 기업에는 개인정보를 보호하기 위한 제반시설, 즉 보안 관련 법률 준수, 보안 정책, 보안시스템, 보안담당자 등이 있었음에도 불구하고 유출사고는 지속적으로 발생되고 있다. 세상에는 100% 완벽이란 것이 있을 수 없다. 기업 보안에도 동일하게 적용되는 말이다. 다만, 100% 완벽하지 않더라도 사용자들이 믿고 기업에 맡긴 ‘고객 개인정보’를 유출이나 오용되지 않도록 기업은 최선의 노력을 다해야 한다.

정부에서는 개인정보 유출 사고로 인한 사회적 피해를 방지하고자 개인정보 관련 법률을 강화하고 있으며, 통합 개인정보보호법을 제정한다고 한다. 기업에서는 이러한 정보보호 관련 법률을 적절히 준수하여 개인정보가 유출되지 않도록 하여야 하지만, 일정 수준의 보안 제반시설에 투자하기 위한 여력이 되는 기업이나 가능할 것이다.

특히 개인정보를 기업으로부터 위탁받아 처리하는 고객센터 아웃소싱업체들은 일부 업체를 제외하고 영세하다보니 보안 제반시설에 투자하기가 쉽지 않아 보안 사각지대라는 오명을 쓰기도 한다. 통합 개인정보보호법이 발효되면 이러한 개인정보를 위탁받아 처리하는 업체들에 대한 보안 강화가 이루어진다고 하니 미리미리 준비를 해두어야 할 것이다. 기업 내 보안이라는 것이 보안제품만 도입한다고 해서 끝나는 것이 아니라 지속적으로 점검하고 관리해야 유지가 가능한 것이다.

보안은 제품이 아니라 프로세스다라는 말이 있듯이 지속적인 관리와 기업 문화로 정착되는 것이 기업 보안의 핵심이라 하겠다. 아직까지 보안 마인드가 정립되지 않은 기업들은 보안을 ‘비용’으로 바라보는 시각이 많지만, 향후 보안 사고로 인해 막대한 유·무형적 피해를 방지하기 위한 ‘투자’라 생각하는 마인드 변화가 절실할 때이다.

개인정보를 위탁받아 처리하는 고객센터 아웃소싱 업체들은 보안 사각지대라는 오명을 벗기 위해 고객사의 개인정보를 적절히 보호하기 위해 많은 투자가 이루어져야 한다. 하지만 아무리 많은 투자를 하여 기업 내 보안을 구축한다고 해도 고객사가 이를 믿고 아웃소싱 할 때 어느 정도의 보안 기준이 있어야 신뢰할 수 있을 것이다. 기업 내 지속적인 보안을 추진하기 위해서는 자발적으로 지속적인 노력이 필요하지만, 이를 신뢰할 수 있는 제3의 기관이 검증하고 인증을 해준다면 고객사도 아웃소싱 업체에 대한 신뢰성이 향상되어 보안이 주요 사회적 이슈로 부각되는 시점에 지속적인 협업이 가능토록 될 것이다.

이러한 제3의 기관이 기업의 보안에 대해 검증 후 인증을 부여해주는 것이 ISO27001(정보보호관리체계 국제표준)과 KISA-ISMS(정보보호관리체계 국내표준)이 있다. ISO27001과 KISA-ISMS 인증 모두 기업의 정보보호 관련된 활동 등에 대한 항목들을 점검하여 적절히 구현되어 있다면 인증을 부여한다. 각 기업의 환경이나 인증 범위, 필요성 등을 점검하여 ISO27001인증 또는 KISA-ISMS인증을 획득할지는 취사선택하면 될듯하다. 2가지 인증 모두 기업 내 정보보호관리체계가 관리 및 유지되는지 주기적으로 사후심사를 하기 때문에 지속적으로 기업 내 보안 경영이 가능케 한다.

CRM 솔루션 및 고객센터 아우소싱을 전문으로 하는 인우기술에서는 국내·외 많은 기업의 고객센터를 유치하고 있기 때문에 국제 표준 정보보호관리체계 인증인 ISO27001 인증을 2008년 6월 국내 아웃소싱 및 고객센터 업계 최초로 획득하였다. ISO27001 인증을 획득하기 위하여 최고 경영자의 보안에 대한 강력한 의지가 상담원까지 전달되는 Top-Down 방식의 변화관리(Change Management)가 이루어졌으며, 보안 시스템 등에 대한 투자도 이루어졌다. 고객사의 영업정보 및 개인정보를 안전하게 보호하기 위하여 정보보호 정책이 수립되었고, 이를 토대로 별도의 보안팀에 의해 위험분석, 보안감사, 보안교육, 시스템 취약점 점검, 비즈니스연속성계획, IT Compliance 등 ISO27001 11개 도메인 133개 통제항목을 준수하기 위한 관리적/기술적/물리적 보안을 구축 및 시행하여 ISO27001인증을 획득하였다.

기존 탁월한 업무 성과로 인해 고객사의 신뢰를 쌓았는데, ISO27001 인증을 통해 고객사로부터 안심하고 고객센터 아웃소싱을 맡길 수 있는 믿음이 형성되는 계기가 되었다. 하지만 ISO27001 인증을 획득하였다고 해서 기업 내 보안이 완성되는 것이 결코 아니란 걸 알아야 한다. ISO27001 인증은 기업의 정보보호관리체계가 ISO27001 통제항목을 적절히 준수하고 있다는 것을 인증(certification)하는 것이지 결코 보증(Assurance)하는 것이 아니다. 보안이 기업 문화로 온전히 자리 매김 할 때까지 기업 내 보안 프로세스는 멈추지 말고 계속 달려야 할 것이다.