| <편집자주> SK텔레콤의 유심 정보 유출 사건으로 보안 이슈에 대한 경각심이 커지고 있다. FETV에서는 통신사 뿐만이 아니라 수많은 개인정보를 보유하고 있는 게임사와 네이버·카카오와 같은 IT 기업들의 정보보호 및 보안체계에 대해 살펴보고자 한다. |
[FETV=신동현 기자] 카카오는 카카오톡 메시지 암호화와 프라이버시 센터 운영 등을 통한 개인정보 관리에 대한 투명성을 높이는 등 정보보호 강화에 꾸준히 투자를 늘려왔다. 또 3년간 정보보호와 기술 부문 투자를 늘리고 캠페인 등을 통해 정보보호 인식 제고 활동의 범위를 확대했다.
카카오는 정보보호와 개인정보보호 체계를 전방위적으로 강화하며 사용자 개인정보 보호와 보안 체계를 정비했다. 카카오가 2020년에 발간한 ESG 보고서에 따르면 카카오는 정보보호 최고책임자(CISO)와 개인정보보호 책임자(CPO)를 분리해 각각의 분야에서 전문적인 관리 체계를 운영했고 정보보호위원회를 통해 정보보호 관련 이슈를 심의하고 의결했다.
또 프라이버시 정책 자문위원회를 운영하며 개인정보 보호 정책에 대해 법조계, 학계 등 다양한 분야의 전문가들로부터 정기적으로 자문을 받고 국내외 개인정보 보호 규제에 대응했다.
카카오는 정보보호 국제 표준 인증도 꾸준히 유지했다. 2006년 업계 최초로 ISO/IEC 27001(국제 표준 정보보호 인증)을 취득한 이후 서비스 개발 영역으로 인증 범위를 확대했으며 국내 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P도 매년 심사를 거쳐 유지했다.
보안 활동으로는 24시간 보안 관제를 통해 기술·관리 부문에서의 보호 조치를 진행하며 개인정보보호 점검 관리 시스템을 통해 서비스의 기획부터 종료까지 개인정보 영향평가를 도입해 개인정보 보호 수준을 강화했다.
직접 운영하는 서비스 보안의 강화도 이뤄졌다. 카카오톡의 '비밀 채팅(End-to-End Encryption)' 기능을 통해 이용자 메시지의 보안을 강화했으며 카카오워크에서는 E3(Enterprise Endpoint Encryption) 시스템을 활용했다.
비밀 채팅(End-to-End Encryption) 기능은 이용자 간 대화 내용을 암호화해 제3자가 대화 내용을 확인할 수 없도록 보호하는 기능을 갖췄으며 E3 시스템은 기업 메시지를 사용자 단말기에서 암호화하고, 암호화된 상태로 서버로 전송해 수발신자 외에는 메시지를 열람할 수 없게 했다.
또 카카오는 프라이버시센터를 통해 이용자가 자신의 개인정보 처리 현황을 직접 확인하고 관리할 수 있도록 했으며 정보 유출 발생 시 즉시 신고 및 피해 구제 절차를 안내하는 시스템을 갖추며 이용자들에게 개인정보에 대한 투명도를 높였다.
회사 내부 보안 의식 제고를 위해 카카오는 내부 임직원을 대상으로 개인정보보호 교육을 정기적으로 실시했으며 외부 취약점 신고 제도인 버그바운티 프로그램도 한국인터넷진흥원(KISA)과 함께 운영하며 외부에서 취약점을 제보할 수 있는 체계를 마련했다.
카카오는 2021년부터 정보보호활동에 대한 의무 공시를 시작했다. 2022년 카카오가 KISA에 공시한 자료에 따르면 카카오는 정보기술 부문에 약 3599억원, 정보보호 부문에 140억원의 금액을 집행했다. 정보보호 활동 전담 인력의 경우 60명으로 구성됐다.
새로운 조직을 정비하며 정보보호 거버넌스에 변화를 줬다. 카카오는 이사회 산하 ESG위원회를 신설했는데 ESG위원회는 정보보호 리스크를 관리하고 프라이버시 정책 자문위원회는 외부 전문가의 자문을 받아 개인정보보호 정책의 방향성을 논의하는 역할을 했다.
정보보호 인증으로는 정보보호 관리체계 인증(ISMS-P), ISO/IEC 27001, 27701, 27017 국내외 표준을 충족하는 보안 체계 운영을 유지하며 2021년 6월 공공 CSAP 보안 인증을 추가로 획득했다.
CSAP(Cloud Security Assurance Program, 클라우드 서비스 보안인증)는 KISA에서 주관하는 클라우드 보안 인증 제도로, 클라우드 서비스 제공자가 보안 요건을 충족했음을 검증하는 제도다.
보안활동으로는 버그바운티 제도와 24시간 보안관제 체계를 유지하면서 듀얼 모니터링 시스템을 도입해 내부 모니터링과 외부 보안 전문업체의 모니터링을 병행했다.
전사 차원의 교육 활동을 전년보다 확대했다. 총 6회에 걸쳐 2742명이 정보보호 교육을 이수했는데 2020년의 1231명에 비해 2배 이상 늘어난 수치다. 또 '정보보호의 날'을 지정하고 정보보호 매거진을 발간하며 보안 의식을 높이는 캠페인을 진행했다.
개인정보 유출 사고에 대비한 대응 체계도 정비했다. APT(지능형 지속 공격) 대응 훈련, 서버 해킹 대응 훈련, 디도스(DDoS, 서비스거부공격) 대응 훈련 등 다양한 모의 훈련을 통해 임직원들의 보안 위협 대응 능력을 강화했다.
2022년에 카카오는 정보기술과 보호부문에 대해 더 많은 예산을 투입했다. 정보기술 부문에는 5475억원, 정보보호에는 209억원을 투자하며 전년 대비 50% 증가했다. 정보보호 전담 인력도 102명으로 70%를 늘렸다.
조직의 실권도 강화했다. CISO와 CPO를 각각 실장급 임원으로 지정하며 정보보호와 개인정보보호 업무의 지위를 높혔다.
2022년부터 'Privacy by Design' 원칙 도입을 시작했는데 Privacy by Design이란 서비스나 시스템을 기획할 때부터 개인정보 보호를 우선적으로 고려하는 방식으로 개발 단계부터 개인정보 보호 조치를 통합해 보안성을 확보한다. 이를 통해 개인정보 유출 위험을 사전에 차단하고 사용자 데이터의 안전성을 높일 수 있다.
정보보호 교육 대상과 범위를 확대했다. 2022년에는 3247명의 임직원이 정보보호 교육을 수강했으며 파트너사 구성원 379명도 교육 대상으로 포함해 교육을 진행했다. 또 어린이와 청소년 보호를 위한 청소년 자문단을 구성해 프라이버시 보호 가이드라인을 정비했다.
2023년 카카오는 정보기술 부문에 6629억원, 정보보호 부문에 256억원으로 투자하며 2022년보다 투자를 더 확대했다. 다만 정보보호인력은 90명으로 전년 대비 10명 감소했지만 금융보안원, 한국 CISO 협의회, 한국 침해사고대응협의회 등과 같은 외부 단체들과의 협력을 강화했다.
정보보호 인식 제고 활동의 대상 범위를 확대했다. 카카오는 어르신을 위한 개인정보 보호 가이드라인 영상을 제작해 디지털 환경에 익숙하지 않은 고령층도 개인정보 보호의 중요성을 쉽게 이해할 수 있도록 지원했다. 또한 소상공인과 청소년을 위한 개인정보 보호 교육도 강화해 다양한 이용자 층의 개인정보 보호 인식 제고 활동을 이어갔다.
ASM(Attack Surface Management) 시스템을 새롭게 도입했다. 이 시스템은 카카오의 모든 자산(서버, 애플리케이션, 네트워크 장치 등)을 지속적으로 모니터링하고 불필요한 자산 노출을 찾아내 제거하는 시스템이다. 2023년에는 이 시스템을 통해 외부 취약점 109건, 피싱 도메인 28건을 식별하고 조치했으며 공개된 보안 취약점(CVE) 58건에 대해 대응하는 성과를 거뒀다.
