[아이티데일리] 연세대학교(총장 서승환)가 안전한 캠퍼스 환경을 위한 혁신에 박차를 가하고 있다. 혁신의 첫 번째 발걸음은 학술정보원에 정보보안팀을 신설한 것이다. 연세대 정보보안팀은 교내 각 부서에 혼재돼 있던 정보보안 업무와 개인정보보호 업무를 통합하고, 전문성과 효율성을 높이기 위해 설립됐다.

연세대 정보보안팀은 2018년 9월 설립 이후 캠퍼스 정보보안 및 개인정보보호 발전계획 수립은 물론, 관련 내부 규정과 컴플라이언스 검토, ISMS-P 인증, 홈페이지 개인정보 노출 방지 등 다양한 프로젝트를 수행하고 있다. 정희정 연세대학교 학술정보원 정보보안팀장은 “설립 후 약 2년간 많은 업무를 수행해 왔지만, 아직 갈 길은 멀다. 연세대 정보보안팀은 안전한 캠퍼스 환경을 구현하는 것은 물론, 모든 캠퍼스 구성원들이 쉽게 이용할 수 있는 정보보안 서비스를 선보이는 것이 목표”라고 강조했다. 정희정 팀장 및 김민철 차장과 인터뷰를 통해 연세대학교의 정보보안 혁신을 살펴본다.

정보보안 및 개인정보보호 업무 통합 관리

연세대학교는 최근 4차 산업혁명에 대응해 AI대학원을 신설하는 등 혁신에 박차를 가하고 있다.

특히 보안과 관련해 융합화·고도화되는 정보 침해 위협에 대응하고, 개인정보보호를 강화하기 위해 2018년 9월 학술정보원 내 정보보안팀을 신설했다. 정보보안팀은 교내 각 부서에 흩어져 있던 중요정보 및 개인정보 관리를 중앙화하고, 정보보안과 개인정보보호를 통합 관리하기 위한 전담조직으로 마련됐다.

정희정 연세대학교 학술정보원 정보보안팀장은 “2016년 대학들의 정보보호관리체계(ISMS) 인증이 의무화되고 2018년 개인정보 관련 이슈들이 늘어남에 따라 개인정보보호에 대한 관심이 높아지고 있었다. 연세대학교는 ISMS 인증을 준비하면서 개인정보보호와 정보보안을 통합할 필요성을 느꼈고, 전담 조직인 정보보안팀을 신설했다”고 설명했다.

정보보안팀은 ▲정보보안 및 개인정보보호 규정 제·개정 ▲정보보안시스템 운영 ▲정보보안 및 개인정보보호 인증 관리 ▲정보보안 침해사고 대응 ▲교내 정보보안 및 개인정보보호를 위해 필요한 관리적·기술적 조치 ▲정보보안 및 개인정보보호사업 계획 수립/시행 ▲개인정보 처리실태 관리 및 감독 ▲정보보안 및 개인정보보호교육 계획 수립/실시 등의 업무를 수행하고 있다.

정희정 팀장과 김민철 차장은 정보보안팀이 신설되면서 업무 효율성이 증가했다고 강조했다. 이전에는 정보보안 및 개인정보보호 업무가 많은 업무 중 하나에 불과해, 효율성이 떨어졌다. 또한 개인정보보호와 정보보안이 다른 부서로 편성돼 있어 협력 요청 등 추가적인 조치도 필요했다.

정보보안팀으로 업무가 통합된 이후, 정보보안 및 개인정보보호 관련 업무에서 관리적인 부분과 함께 기술적인 부분까지 포괄해 계획하고 추진하다보니 업무효율성이 높아졌다고 말했다. 또한 프로젝트 추진에 있어서도 일관된 방향성을 유지해 추진력을 높이고 있으며, 직원들간의 시너지도 빛을 발하고 있다고 덧붙였다.

다음은 정희정 팀장 및 김민철 차장과의 인터뷰를 문답식으로 정리한 것이다.

Q. 정보보안팀의 현황은?
정희정 팀장: 현재 정보보안팀은 팀장 1명, 개인정보보호 담당자 1명, 시스템 정보보안 담당자 2명으로 구성돼 있다. 여기에 더불어 파견 보안 관제 인력이 1명 추가된다. 이외에도 최고책임자인 정보보호최고책임자(CISO, Chief Information Security Officer)와 개인정보보호최고책임자(CPO, Chief Privacy Officer)가 임명돼 있다.

김민철 차장: 운영 중인 정보보안 시스템에는 대부분의 보안 솔루션이 구축돼 있다. 방화벽, 침입방지시스템(IPS), 웹애플리케이션방화벽(WAF), 시스템 접근 통제 등 다양한 솔루션을 활용하고 있다. 이외에도 서버 접근 통제, DB 암호화, 패치관리시스템(PMS), 안티바이러스(백신) 등도 도입해 사용하고 있다.

보안관제 프로젝트 및 개인정보 노출 진단 프로젝트 진행

Q. 정보보안팀의 업무에 대해 소개해달라.
정희정 팀장: 정보보안팀은 ▲정보보안 및 개인정보보호 규정 제·개정 ▲정보보안시스템 운영 ▲정보보안 및 개인정보보호 인증 관리 ▲정보보안 침해사고 대응 ▲교내 정보보안 및 개인정보보호를 위해 필요한 관리적·기술적 조치 ▲정보보안 및 개인정보보호사업 계획 수립/시행 ▲개인정보 처리실태 관리 및 감독 ▲정보보안 및 개인정보보호교육 계획 수립/실시 등의 업무를 수행하고 있다.

김민철 차장: 가장 중요한 업무는 연세대학교의 정보보안 및 개인정보보호 발전 계획을 수립하는 것이다. 정보보안 및 개인정보보호에 대한 로드맵을 그리고, 추진하는 부서다. 이와 더불어 관련 컴플라이언스 관리, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 관리, 내부 규정 관리 및 감사, 점검 등의 업무도 수행하고 있다.

정희정 팀장: 정보보안팀이 처음 신설됐을 때, 교내 개인정보보호 현황과 관련 이슈 등을 조사한 적이 있다. 전체적인 점검을 진행했으며, 법률 자문도 받았다. 각팀에 분산돼 중복되던 업무를 효율화했으며, 컴플라이언 점검 및 개선도 진행했다. 이를 통해 대학교 최초로 ISMS-P 인증을 획득했다.

ISMS-P 인증 획득은 정보보안팀 신설 이후 첫 번째 성과다. 대학교는 정보보호관리체계(ISMS) 인증 의무대상자에 포함된다. 이에 따라 연세대학교는 ISMS 인증을 준비하는 과정에서, 한발 더 나아가 개인정보보호 관리체계 영역까지 추가해 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받았다. ISMS-P 인증으로 쉽게 전환할 수 있었던 이유는 정보보안팀이 개인정보 관련 법률자문 및 컴플라이언스 이슈 점검 등을 진행하고 있었기 때문이다. 규정상 ISMS 인증만 받아도 되지만, 개인정보보호 강화라는 측면에서 ISMS-P 인증으로 진행했다.

Q. 최근 추진 중인 프로젝트를 소개한다면.
정희정 팀장: 최근 추진 중인 프로젝트는 크게 3가지다. 먼저 ISMS-P 인증 유지를 위한 심사 프로젝트를 진행하고 있다. ISMS-P 인증을 획득하면 1년마다 관리체계가 지속적으로 유지되고 있는지 확인하는 ‘사후심사’를 진행해야 한다. 현재 정보보안팀의 업무는 사후심사에 중점을 두고 있다.

두 번째로 진행하고 있는 프로젝트는 ‘보안 관제 고도화’다. 일반적으로 대학의 경우 교육부의 통합 SIEM과 연동해 관제업무를 수행하고 있다. 연세대학교는 자체적으로 관제 시스템을 구축하고 있으며, 이를 고도화하기 위한 프로젝트를 추진하고 있다. 이 프로젝트의 목표는 보안 솔루션뿐만 아니라, 모든 네트워크 장비 및 서버까지 모니터링할 수 있는 환경을 구축하는 것이다.

마지막으로 진행하고 있는 프로젝트는 ‘홈페이지 개인정보 노출 방지 강화’다. 연세대학교 도메인을 사용하는 홈페이지에서 개인정보가 노출되지 않도록 프로젝트를 추진하고 있다. 노출 진단을 중앙에서 관리하기 위해 개인정보 노출 방지 솔루션도 도입했다. 이 시스템은 연세대 도메인을 사용하는 홈페이지에 적용돼 개인정보 노출을 진단하고 있다. 현재는 시스템 도입 초기단계로 정확성을 높이는데 주력하고 있다.

대학 특성 상 사용자 영역에서 사이버 위협 많아

Q. 대학을 겨냥한 사이버 위협의 특성은 무엇인가?
정희정 팀장: 대학 특성상 교내에는 다양한 디바이스들이 존재하며 이를 전체적으로 파악하고 관리하는데 어려움이 있다. 이런 특성 때문에 대학의 시스템을 직접적으로 공격하는 것보다 사용자를 통해 들어오는 공격이 많으며, 이를 통해 전파될 위험성이 존재한다. 외부 디바이스에 대해서는 통제하기 어려운 것이 현실이지만, 교내에 설치된 PC의 경우 PMS 등을 통해 관리 및 보호하고 있으며 보안 관제 등을 통해 발견 즉시 조치되도록 최선을 다하고 있다.

김민철 차장: 또 다른 애로사항은 교내 교수 또는 학생의 컴퓨터가 악성코드에 감염됐을 때, 정보가 보안팀에게 신고하지 않고 처리하는 경우가 많다는 것이다. 예를 들어 한 교수 컴퓨터가 랜섬웨어에 감염됐다면, 조교를 담당하고 있는 학생을 불러 포맷하는 경우가 많다. 최근 스팸메일, 악성 피싱 메일 공격이 늘어나고 있는 시점에서 우려되는 부분이다.

이런 관점에서 캠퍼스 구성원들의 보안 인식에 대한 문제를 이야기할 수 있다. 대학교 특성상 이용자 군이 다양하고 변화도 많다. 매번 안내메일을 발송하는 등 보안 교육을 진행하고 있지만 모든 구성원의 인식을 높이기엔 한계가 있다.

Q. 최근 사이버 강의 및 원격근무 증가에 따른 보안 이슈는 없었는지.
김민철 차장: 사이버 강의 분야의 시스템은 처음 설계부터 보안 정책을 강력하게 설정했다. 이번 코로나19(COVID-19) 이슈로 사이버 강의 이용률이 증가했지만, 보안 이슈는 없었다. 사용자 트래픽 증가에 대한 우려는 있었지만, 큰 이슈 없이 원활한 서비스가 이뤄졌다.

정희정 팀장: 원격근무와 관련해서는 주요 시스템에 원격으로 접근이 불가능하도록 설정돼 있다. 원격지에서 접근할 때는 관리자의 승인이 있어야 한다. 원격근무는 주요 업무시스템에 다중 인증을 적용해 원격근무 환경에서도 큰 보안 이슈는 없었으며, 혹시 모를 개인정보보호 이슈에 대비해 개인정보 접속이력관리와 사용자 인증, 모니터링을 강화했다.

캠퍼스 구성원 모두 이용할 수 있는 정보보안 포털 만들 것

Q. 향후 정보보안팀의 목표는 무엇인가
정희정 팀장: 정보보안팀이 신설되고 나서 많은 일을 해왔다. 연세대 전체적인 개인정보 컴플라이언스 관리와 더불어 관련 규정 전면 검토 등의 업무를 해왔는데, 이제 첫걸음을 뗀 상황이라고 평가하고 싶다. 올해는 기존 역량을 바탕으로 내실을 다질 수 있도록 프로젝트를 추진할 계획이다. 더불어 개인정보 노출 진단 및 보안 관제 범위 확대와 이기종 보안장비들 간 상관분석 강화를 통해 관리 체계도 고도화해 나갈 방침이다.

또한 최근 4차 산업혁명으로 인공지능, 빅데이터 등이 강조되고 있으며, 학교에서도 관련된 다양한 시도를 추진하고 있다. 트렌드에 쫓아가기 위해서는 전문성을 강화해야 하며, 정보보안팀은 정보보안 및 개인정보보호 전문성을 강화하는데 중점 둘 계획이다.

최종적인 목표는 캠퍼스 구성원 모두가 정보보안 및 개인정보보호 관련 정보를 쉽게 확인할 수 있는 ‘정보보안 포털’을 만드는 것이다. 캠퍼스 구성원 누구나 정보보안과 개인정보보호에 대해 문의하고 확인할 수 있는 장을 마련하고 싶다. 이를 통해 정보보안 매뉴얼, 개인정보보호 컴플라이언스 등 정보를 제공해 사용자의 보안 인식을 높이는 데 기여하는 것이 목표다.

김민철 차장: 사실 정보보안 포털은 보안 인식을 높이는데 중요한 역할을 할 수 있다. 교직원의 경우 그룹웨어로 보안 관련 정보를 전달할 수 있지만, 학생이나 교수에게 전달하기는 쉽지 않다. 구성원 누구나 확인할 수 있는 정보보안 포털이 있다면 보안 인식을 높이는 데 많은 도움이 될 것이다.