 |
ⓒ News1 양혜림 디자이너 |
(서울=뉴스1) 이정후 기자 = 렌털·여행·학습 등의 사업을 하는 교원그룹이 지난 10일 랜섬웨어 공격으로 인한 데이터 유출 정황이 드러난 가운데 다수의 고객 정보를 다량 보관하고 있는 렌털 업계의 정보보호 역량에 관심이 쏠린다.
14일 한국인터넷진흥원(KISA) 정보보호 공시 종합포털에 따르면 국내 렌털 업체 코웨이(021240), 쿠쿠홈시스(284740), SK인텔릭스(SK매직), 교원프라퍼티(웰스), 청호나이스 중 정보보호 공시를 게재한 업체는 코웨이, 쿠쿠홈시스 두 곳이다.
정보보호 공시제도는 정보보호 투자, 인력, 인증, 활동 등 기업의 정보보호 현황을 공개하는 자율·의무공시 제도다. 정보통신망을 통해 사업 활동을 하는 업체는 자율적으로 공시해 소비자 신뢰를 높일 수 있다.
자율이 아닌 의무인 곳은 △회선 설비 보유 기간통신사업자·집적정보통신 시설 사업자·상급종합병원·클라우드컴퓨팅 서비스 제공자 △상장사 중 매출액이 3000억 원 이상인 곳 △정보통신서비스 일평균 이용자 수가 100만 명 이상인 곳 중 하나다.
코웨이, 쿠쿠홈시스, SK인텔릭스, 교원프라퍼티, 청호나이스 중에서는 코웨이와 쿠쿠홈시스만 상장사이며 둘 다 매출액이 3000억 원을 초과해 공시 의무 대상으로 지정됐다.
 |
코웨이 아이콘 얼음정수기 스탠다드(코웨이 제공) |
코웨이, 지난해 10월 '정보보안팀→정보보안실'로 승격
렌털 업계 1위 코웨이에 따르면 코웨이는 지난해 10월 전사 정보보안 강화를 위해 기존의 '정보보안팀'을 대표이사 직속인 '정보보안실'로 승격해 운영 중이다.
정보보안팀이 소속돼 있던 DX센터의 곽성영 센터장이 정보보호실의 실장을 맡았으며 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)로 선임됐다.
코웨이는 정보보안실 승격뿐만 아니라 경영지원본부장, IT서비스기획실장, 법무정책실정, IT개발실장, 정보전략실장, 정보보호실장 등이 참여하는 '정보보호위원회'를 운영하고 있다.
2024년 기준 코웨이 정보보호위원회는 '보안 시스템 운영 체계 개선', '보안 시스템 접근 권한 점검' 등을 실시했으며 연 1회 IT 재해 복구 및 개인정보 유출 사고 모의훈련을 진행하기도 했다.
이와 함께 코웨이는 전사 임직원을 대상으로 연 3회 '악성메일 대응훈련', 연 1회 '클린데스크'(책상·문서 등의 보안 관리), 협력업체 354곳 대상 체크리스트 점검 등을 실시했다.
또한 침해사고, 개인정보유출, 내부정보유출 등 사고 유형에 따라 대응체계 프로세스를 별도로 구축했다. 상시 모니터링 시스템을 통해 사고 발생 즉시 보고하고 조치하는 일련의 대응 매뉴얼이다.
예를 들어 해킹, DDoS 등 침해사고가 발생했을 경우에는 국가기관에 신고하고 보안사고 대응팀을 구성한다. 이후 네트워크 관리 시스템을 모니터링하고 시스템 로그를 수집해 분석하는 등 정밀 분석에 나서는 방식이다.
2024년 기준 코웨이는 정보보호 부문에 약 34억 원을 투자했는데 이는 코웨이의 정보기술 부문 투자액 약 737억 원의 4.6% 수준이다. 정보보호 인증인 ISMS-P와 ISO 27001 인증도 획득했다.
 |
쿠쿠 마곡빌딩 전경(쿠쿠 제공) |
쿠쿠홈시스, 모회사로부터 정보보호 서비스 위탁 받아
또 다른 의무 공시 대상인 쿠쿠홈시스는 본사 내에 정보보호 부문 전담인력을 두지 않는 대신 모회사인 쿠쿠홀딩스로부터 정보기술 및 정보보호 부문 서비스를 제공받고 있다.
쿠쿠 측은 "쿠쿠홀딩스에 담당 조직이 있고 해당 팀을 통해 정보보호 부문 서비스를 받고 있다"며 "담당 팀에서 상당한 노력을 기울이고 있다"고 설명했다. 회사 측 설명에 따르면 쿠쿠홀딩스의 전담팀 인력은 4~5명 수준이다.
쿠쿠홈시스는 본사에 전담인력이 없음에도 지난해 기준 정보보호 부문에 약 1억 5000만 원을 투자했다. 이는 '네트워크 접근 제어 NAC 솔루션 구입' 및 '보안 및 네트워크 장비 유지 보수' 등에 사용됐다.
이와 함께 비(非)허용소프트웨어를 조사해 제거했고 전사적자원관리(ERP) 시스템의 서버 장애 대응을 위한 모의점검, 개인정보보호 교육 등을 실시했다.
다만 CISO와 CPO로 지정된 영업본부장과 경영지원본부장의 주요 활동은 '0건'으로 기재돼 있었다. 특히 CPO를 맡고 있는 경영지원본부장은 해외영업본부장 및 마케팅본부장을 겸직하고 있어 전문성에서 차이를 보였다.
 |
교원그룹 CI(교원그룹 제공) ⓒ News1 김재현 기자 |
대비했어도 데이터 유출된 교원…SK인텔릭스·청호나이스는 매달 점검
의무 공시 대상이 아닌 교원프라퍼티, SK인텔릭스, 청호나이스는 자체적으로 정보보호 부서를 둬 개인정보를 보호하고 있다.
다만 교원 웰스를 운영하는 교원프라퍼티는 지난 10일 오전 8시쯤 랜섬웨어 공격을 받았으며 12일 오후 데이터가 외부로 유출된 정황을 확인했다. 업계는 이번 랜섬웨어 공격으로 교원그룹의 가상 서버 약 600대, 이용자 554만 명가량의 정보가 해킹 공격의 영향권에 든 것으로 보고 있다.
교원 측은 KISA에 해당 사안을 신고했으나 유출 규모와 유출된 데이터에 고객 정보가 포함됐는지 여부는 관계 기관 및 외부 전문 보안기관과 면밀히 조사하고 있다고 밝혔다.
또한 교원프라퍼티의 경우 정보보호 및 개인정보보호 관리체계를 인증하는 'ISMS-P'를 발급받지 않았으나 계열사인 교원투어, 교원헬스케어 등이 ISMS-P를 발급받았기 때문에 내부 보호 역량은 확보하고 있다고 설명했다.
다만 이번 데이터 유출 사고에 대해 "무거운 책임을 통감한다"며 "사고 원인이 명확히 규명될 때까지 모든 과정을 철저히 점검하고 재발 방지를 위해 보안 체계를 전면 재정비하는 한편 고객 보호와 신뢰 회복을 위해 최선을 다하겠다"고 고개를 숙였다.
SK인텔릭스는 정보보호 담당 부서를 두고 보안 위협에 대한 대응 방안을 수립하고 이행 중이다. 정보보호 인증인 ISMS-P와 ISO 27001도 획득했다.
또한 대표이사 및 임원, 보안자문위원, 모회사 CISO가 참석하는 보안총괄위원회를 월 1회 개최해 핵심 보안 이슈를 매번 논의하고 있다.
청호나이스 역시 정보보안 담당 팀을 통해 최신 보안 취약점과 공격 동향 등을 반영한 대책을 매달 정기적으로 갱신 및 적용하고 있다.
특히 지난해 개인정보 유출 차단을 위해 기존 '데이터 유출 방지'(DLP), '디지털 저작권 관리'(DRM) 환경을 최신 보안 표준에 맞춰 전면 고도화했다고 설명했다.
leejh@news1.kr
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.
