현대백화점그룹(www.ehyundai.com)은 우리나라를 대표하는 유통기업으로, 2020년까지 매출 20조원을 달성한다는 ‘비전2020’을 위해 미디어, 식품 등 새로운 사업을 적극 개척하고 있다. 또한 대형 M&A등을 통해 신규업태로의 적극적인 사업 다각화를 하고 있으며, 기존의 시장을 강화하기 위해 2020년까지 백화점 점포수를 23개로 확장하고, 아울렛 사업에 진출하는 한편, 중국, 베트남 등 해외 시장 진출에도 박차를 가하고 있다.
현대백화점그룹이 국내외 비즈니스를 확장하는 과정에서 놓치지 않고 중요하게 다루는 분야 중 하나가 보안이다. 유통기업의 특성상 고객의 중요한 개인정보와 유통·영업과정에서 발생하는 결제, 배송정보 등을 다수 보유하고 있어 정보유출 방지에 많은 노력을 기울이고 있는 것이다.
현대백화점과 현대홈쇼핑, 인터넷 쇼핑몰인 HMALL 등이 보유하고 있는 고객정보는 개인정보뿐 아니라 신용카드정보를 포함하고 있어 보안이 전제되지 않으면 서비스를 제공하기 어렵다. 이러한 정보가 유출되면 기업의 신뢰도 하락과 금전적인 피해는 물론 고객에게 큰 피해를 입히게 되므로 완벽하게 보호할 수 있는 보안시스템이 반드시 마련돼 있어야 한다.
백화점과 홈쇼핑 사업에는 수많은 파트너와 협력업체들이 함께 비즈니스를 진행하기 때문에 직원뿐 아니라 협력업체를 통한 정보유출 방지도 중요하게 고려해야 한다. 보안이 취약한 협력업체에서 고객정보 유출로 인해 파생되는 현대백화점그룹의 신뢰도 하락도 치명적인 피해가 될 수 있다.
현대백화점그룹 IT사업부장인 이필선 상무는 “점포 한 곳에 고용된 직원이 대략 협력업체 직원포함해서 3000여명이며, 수많은 직원들이 고객정보를 다루고 있어 직원들이 고객정보를 관리하고 보호할 수 있는 적극적인 대책을 마련하는 것은 현대백화점그룹의 비즈니스 연속성과 직결되는 일이다”고 말했다.
고객정보 보호 위해 신속한 보안 솔루션 구축 단행
현대백화점그룹은 경쟁사보다 앞서 DRM, DB접근제어, DB암호화 솔루션 등을 도입해 업계의 모범사례를 보여왔다. 암호화는 시스템 성능에 영향을 미친다는 이유로 많은 기업들이 도입을 꺼렸지만, 현대백화점그룹은 고객정보 보호를 최우선으로 여겨 DB와 파일 암호화(DRM)를 구축했으며, DB와 서버에 대한 접근제어 솔루션도 도입해 데이터의 불법적인 유출을 방지했다. 혹시라도 사고로 인해 데이터가 유출된다 해도 암호화된 상태를 유지해 그 의미를 알지 못하도록 했다.
더불어 현대백화점그룹은 자체 웹하드를 구축해 중요정보를 내부에서만 유통하도록 했다. 사내에서의 협업은 물론이고 외부 파트너와의 협업도 자체 웹하드를 통해 이뤄지도록 해 중요정보가 회사 밖으로 빠져나가지 못하도록 예방하기 위한 것이다.
이에 더해 현대백화점그룹은 지난해 정보유출방지(DLP)솔루션을 도입해 더욱 철저한 정보보안 환경을 만들어나가고 있다. 암호화와 접근제어 등을 통해 고객정보를 보호하고 있지만, 고의적 또는 비고의적으로 내부 직원의 이메일이나 메신저를 통해 정보가 유출시킬 수 있다는 점을 고려한 것이다. 고객정보는 모두 암호화된 상태로 저장되며, 예외없는 접근제어 정책이 적용되고 있지만, 내부에서 외부로의 정보유출을 보완해야 하는 점 때문에 DLP를 도입했다.
사업다각화로 고객정보 보호 요구 높아
현대백화점그룹이 DLP 도입을 준비할 때 중점적으로 검토한 것은 무엇보다 고객정보를 안전하게 보호할 수 있으며, 개인정보보호법 등 법규 준수와 유사시 신속한 대응을 지원할 수 있는가였다.
이러한 조건으로 국내외에 공급되는 DLP 제품들을 검토하고, 그중 우수 제품에 대해 3개월간 BMT 및 발주를 통한 경쟁입찰 과정을 거친 결과 시만텍 DLP가 가장 적합한 솔루션으로 꼽혔다. 시만텍 DLP는 현대백화점그룹이 제시한 조건을 가장 많이 충족시켰으며, 세계 시장에서 점유율이 높은 글로벌 제품으로, 데스크톱·태블릿 등 다양한 PC 사용환경에도 적용할 수 있어 호평 받았다.
‘시만텍 DLP’는 기계학습 기술을 적용해 고객정보를 효과적으로 보호할 수 있다. 우리나라 개인정보보호법 준수를 위해 고객정보에 대한 검색, 모니터링, 콘텐츠에 따른 암호화와 DRM 솔루션과 연동할 수 있으며, 다른 시만텍 솔루션과도 통합이 가능하다. 시만텍 DLP는 태블릿용 버전도 출시돼 이동성 업무가 많은 유통업계에 적합하며, 국제 CC EAL 3+ 등급을 획득해 기술력과 안정성이 입증된 바 있다.
APT 방어 위해 임직원 노력 병행돼야
DLP 도입으로 현대백화점그룹은 고객정보에 대한 보안대책을 보다 철저하게 준비할 수 있게 될 것으로 보고 있다. ‘비전2020’을 위해 다양한 기업의 M&A를 통한 사업 다각화와 적극적인 해외진출을 통해 비즈니스 영역을 넓히고 있는 현대백화점그룹은 더 지능화된 보안위협을 받을 수 있으며, 정보유출사고로부터 예외일 수 없을 것이라고 예상하고, 이에 대응하기 위한 준비를 하고 있다.
그 일환으로 DB와 서버 접근제어, DB와 파일 암호화, 그리고 웹하드와 DLP를 통한 정보유출 방지 전략을 완성함으로써 철저하게 고객정보를 보호할 수 있는 환경이 마련됐다고 자신한다. 이로써 지능화되는 보안위협에 대비하고 예방적 보안 측면의 능동적인 보안정책을 수립하게 됐다.
올해 현대백화점그룹은 일회용패스워드(OTP)와 통합로그관리시스템을 도입해 사용자에 대한 보안정책을 더욱 철저히 한다는 계획이다. 권한을 가진 사용자가 불법적인 일을 하는지 감시한다는 의미보다, 정보보안을 위해 필수적인 체계를 마련해 직원들이 프로세스에 따라 체계적으로 업무를 수행할 수 있도록 돕겠다는 의미다.
한편 현대백화점그룹은 보다 높은 성장동력을 얻기 위해 빅데이터에도 관심을 쏟고 있다. CRM을 이용한 타깃 마케팅 기법을 경쟁사보다 먼저 적용하면서 시장을 선도해온 현대백화점그룹은 합법적으로 보유하고 있는 정보자산을 적극 활용해 고객 맞춤형 서비스를 제공할 수 있도록 노력하겠다고 강조한다.
이필선 상무는 “무엇보다 중요한 것은 고객이다. 고객의 신뢰를 잃으면 모든 것을 잃게 된다. 앞으로 고객정보를 완벽하게 보호하기 위해 더 많은 노력을 기울일 것”이라며 “정보유출이 이뤄 지기 전에 미리 방어하는 것은 오히려 기회비용을 절감하고 비즈니스 경쟁력을 높이는 방법”이라고 강조했다.
그는 “정보보안 시스템을 구축하는 것은 직원들이 불법적인 일을 하는지 감시·통제 하겠다는 것이 아니라, 직원들에게 무의식 중에 일어 날 수 있는 보안위협을 사전에 알리고, 이를 막을 수 있는 방법을 알려줘 보다 안전하게 업무를 수행할 수 있도록 하는 것이다”며 “지능화되는 공격을 막기 위해 전 임직원의 관심과 노력이 필요하다. 보안을 강화한다는 것이 모든 것을 모니터링 하는 것은 절대 아니다. 감시·모니터링 솔루션이나 보안 솔루션도 해당 시스템이 어떠한 역할을 하고 있으며, 정책에 위반되는 행동이 어떤 것인지 분명하게 알려줘서 보안 사고를 예방할 수 있어야 한다”고 강조했다.
