정보보안의 중요성이 날로 강화되고 있는 요즘, 보안점검 부문에서 최우수 업체로 선정 된 것은, “유베이스 정보보안의 전문성을 다시금 확인 할 수 있는 매우 뜻 깊은 일”이라고 관계자는 밝혔다.
현대카드가 올해 들어 세 번째로 여는 ‘개인정보 취급 협력사 대표 간담회’를 개최했다.
정태영 현대카드 사장이 최고경영자(CEO) 세션을 별도로 마련하고 우수 협력사를 시상할 만큼 직접 챙기는 행사다.
올해 초 카드사 정보유출 사고가 전 사회를 떠들썩하게 했던 만큼 이날 간담회는 시중 진지한 분위기 속에 진행됐다. 정태영 현대카드 사장도 어느 때보다 협력업체에 보안 강화에 동참해줄 것을 강도 높게 주문했다.
보안이 금융사의 '생존'과 직결된 고리임이 올 초 여러 사건을 통해 부각된 영향이다.
정태영 사장은 "금융사의 가장 큰 리스크는 대손이나 현금흐름이 아니라 개인정보 유출"이라며 "현재 우리 회사를 위협하는 가장 큰 리스크도, 중역회의에서 집중적으로 다루는 문제도 바로 정보보안"이라고 강조했다.
그러면서 정태영 사장은 "올해부터는 회사 규모나 업종을 불문하고 우리가 원하는 최고의 수준에 도달하지 않으면 같이 사업을 할 수 없다"며 "지금까지 보안준수에 대한 이해를 구했다면 올해부터는 마음이 놓이는 수위까지 오지 않으면 안 된다"고 못 박았다. 보안 준수율이 낮았던 법무사 24개 업체와 계약을 모두 해지하고 자체 인력으로 업무를 돌리기로 한 방침을 소개하며 이 같은 의지를 부각시켰다.
현대카드는 2012년부터 '협력사 보안수준 강화 프로그램'을 실시 중이다. 협력업체 보안에 투자하는 게 궁극적으로 현대카드의 위험관리와도 직결돼 있다는 인식 때문이다.
현대카드는 현대카드 정보를 직접 취급하는 각 협력업체들의 보안 점수를 관리, 기술, 물리보안 등 평가기준에 맞춰 매 달 산출한다. 평가만 하는 게 아니라 실제로 보안 강화가 가능하도록 보안기준, 매뉴얼, 관리지침 등 보안관리 패키지를 함께 제공한다. 한 달에만 수십 곳의 거래처에서 보안 관련 감사를 받지만 수천만 원이 소요되는 보안 컨설팅 비용을 부담하기 벅찬 협력업체에겐 보안강화를 위해 실질적인 방안이다.
현대카드의 꼼꼼한 보안 '관리'가 도입 초창기부터 모든 협력업체에게 환영 받았던 것은 아니다. 대기업이 매월점수를 매겨 순위를 발표하는 체계가 처음에는 협력업체들에게 위압감으로 느껴지기도 했다. 그러나 3년이 흐르며 협력업체들은 자체 보안역량 향상이 자사 경쟁력 강화로 이어진데 만족하고 있다.
올해 최우수 보안 협력업체로 선정된 종이우편물(DM) 발송 전문업체 빌포스트의 정재기 사장은 "처음에는 요구사항이 귀찮게 느껴지기도 했지만 이제는 이 프로그램의 혜택을 누리고 있다"며 "현대카드가 요구하는 보안수준이 매우 높아 이를 통과하면 다른 곳과 거래할 때 보안 관련해선 인증을 받는 셈"이라고 말했다.
최우수상을 공동 수상한 콜센터 유베이스의 허대건 사장도 "처음에는 대기업의 요구로 여겨져 압박이 느껴지기도 했지만 이제는 현대카드 측의 취지에 공감한다"며 "그 동안 자체적인 보안역량이 향상돼서분기 감사를 자체적으로 실시하고 보안이 취약한 거래처에 자체적으로 보안 방안을 제시할 수 있게 됐다"고 밝혔다.
현대카드는 올해부터 정량적 평가와 더불어 정성적 평가도 실시하는 등 보안을 더 강화한다. 단순히 점수가 좋아도 보안 강화 의지 등 수치화되지 않는 부분까지 점검하겠다는 취지다. 그 동안 매월, 매분기 정기적으로 해 오던 기본 교육 외 협력사별 필요에 맞춘 특화교육 과정도 신설했다. 또 올해부터 협력업체에 보안 솔루션을 탑재한전용PC 제공해 협력업체 보안 담당자들의 모니터링을 지원한다. 체크리스크항목도 지난해보다 더 깐깐해졌다.
전성학 현대카드 경영지원본부 정보보안실 이사는 "최근 몇 년 간 보안 이슈가 해킹에 맞춰져 있었다면 올해의 중점 추진과제 내부직원 통제강화"라며 "이와 관련, 과거엔 단순히 승인 자체를 통제로 생각했지만 이제 승인과 관련한 개념이 바뀌어야 한다"고 주장했다.
그는 "승인 받는 사람은 승인에 대한 책임을 져야 하고 승인해준 사람도 단순히 서명 하는게 아니라 어떤 데 쓰이는지 확인이 필요하며 회사에선 승인 받은 사람들이 권한 남용하지 않는지 시스템적으로 모니터링 하는 삼박자가 동시에 이뤄져야 한다"고 설명했다.
저작권자 © 아웃소싱타임스 무단전재 및 재배포 금지
