외부파트너사 등의 효율적관리를 위한 내부통제 설계 방안

1

“개인정보 및 정보 유출 중심으로”

2013.03.20

신동혁 (쿠팡 )

본 세션은 본사의 내부 통제 및 외부 파트너사, 수탁 업체 등을 효율적으로 관리할 수 있는 통제 방안(관리체계 수립 등)에 대해서 고민해보고자 한다. 특히 개인정보보호 및 정보유출 관점에서 협력 업체 (파트너사, 수탁업체 등)을효율적으로 관리할 수 있는 업무 프로세스 수립 방안에 대해서 고민해보고, 이를 관리할 수 있는 통제 모델링 방안은어떤 것들이 있는지 관리 체계 중심으로 고민해보고자 한다

목차

Ⅰ. 기업의 비니지스 환경과 내부 통제

Ⅱ. 파트너사 내부 통제 구현 모델링 방법론

A. 기업의 비즈니스 환경과 정보보안 현실

B. 최근 사고 사례 분석

C. 이슈 분석과 원인 및 시사점

D. 내부 통제 기본 및 활용 방안

2

A. 비즈니스 트렌드 및 정보 유출 통제 요소

B. 내부 통제 “구성” 방법론 1- 정책적 구성 (1)

C. 내부 통제 “구성” 방법론 1- 정책적 구성 (2)

D. 내부 통제 “구성” 방법론 2- 기술적 구성 (DLP 솔루션 도입 등)

E. 내부 통제 “운영” 방법론

F. 내부 통제 “모니터링” 방법론

G. 내부통제 고도화 : 기업의 일반 아웃소싱의 관리 방법론

H. 시사점 및 맺음말

Ⅰ. 기업의 비니지스 환경과 내부 통제

3

개인정보 침해 신고

개인정보보호 관련각종 소송 증가

기업의 책임 강화컴플라이언스 변화

물리적 범위 확장

파트너 및 협력업체증가

비즈니스 환경 변화

다양한 통제 항목 존재

업계 및 대상에따른 다양한 환경

통제 환경 구성 어려움

개인정보보호법

정보통신망법

기업의 비즈니스 환경과 컴플라이언스는 지속적으로 변화하고 있고, 이에 대한내부 통제 모델링 및 운영은 더욱 복잡해지고 다양화되고 있음

A. 기업의 비즈니스 환경과 정보보안 현실

vs

4

“거버넌스, 컴플라이언스, 리스크 감소 등 고려해야 될 사항은 없는가?”“본사, 지사, 외부협력사에 해당되는 통제 모델은 동일하게 적용이 가능할까?”“우리회사에 최적화된 내부통제 모형은 없을까?”“조직의 규모가 커질수록 내부자 위협은 점점 증가하는데 대응책은 없을까?”“통제 모델 적용과 컴플라이언스 관리를 별도로 가져가지 않고 통합된 모델링 방법은 없을까?

조직은 복잡해지고, 적용해야될 통제 항목과 대상 많다! 최적화는 어떻게?어떤 프로세스와 어떤 기술을 적용할 것인가?

보안 담당자의 고민

처벌 기준 강화 스마트 업무 환경 변화최적화된 통제항목

구성 어려움각종 기관 이행 점검

국내 기업 8곳 중 1곳이 최근 3년간 기술유출 경험 최근 3년간 기술유출 경험이 있는 기업 비율 : 12.6% 평균 기술유출 횟수는 1.6건으로 조사됨 기업 유형별 : 벤처기업 13.9%, 대기업 13.0%,

중소기업 11.9% 기술유출 사고 1건당 평균 피해금액 : 약 16억원

※ 대기업 27여억 원, 벤처기업 22여억 원,

주요 보안 사고 동향

지속되는 기술 유출 사고

지속적 기술적 투자에도 불구하고 끊이지 않고 발생하고 있는 개인정보 유출사고, 기술 유출 사고는 기업에 막대한 피해를 줄 수 있는 상황임

B. 최근 사고 사례 분석

5

※ 대기업 27여억 원, 벤처기업 22여억 원, 중소기업 11여억 원 등(출처 : 중소기업청 자료 분석 결과)

지속되는 개인정보 유출 사고

지속적인 개인정보 사고 발생기업의 개인정보보호 책임이 더욱 강화사고 발생시 기업의 사회적 책무 강화

A사 B사

C. 이슈 분석과 원인 및 시사점

솔루션 등의 기술투자가 부족했는가?

정보보호관련통제가 없는가?

No!!!No!!!작은 회사인가?

No!!!No!!!

No!!!No!!! “업무를 가장 잘 아는 사람에 의해 정보 유출 등의사고 우려가 높다!”

지능화되는 공격이 급증은 하고 있지만, 해킹으로 인한 정보유출 사고는 15% 내외에 불과함

기업에게 가장 큰 피해를 입히는 것은 내부직원혹은 퇴직 직원에 의한 정보유출 사고임

대부분의 정보유출 사고는 직원에 의한 것임

외부 해킹으로 No!!!No!!!

이슈 원인 중요성

6

외부 해킹으로인한 것인가? No!!!No!!!

통제 시스템 등 기술적 의존의 한계업무프로세스 리스크 분석 필요개인정보 활용 등에 대한 사전 검수 필요리스크 예방을 위한 통제 활동 설계 필요사고 징후에 대한 모니터링 필요보안 조직 강화 및 지속적 투자 필요

시사점

내부 통제 구성을 위한 GRC 고려

개념

1. 조직내 각종 부정 또는 오류 등 사전 방지해 조직의

비즈니스 목표를 달성할 수 있도록 해줌

2. 각종 문제점에 대해서 스스로 발견하고 이를 개선,

모니터링할 수 있는 일련의 개선 사이클의 기회를

제공함

조직내 위험을 경감시키기 위해 이행되고 있는 정책,

절차,실무 관행, 조직 구조를 의미함

※ 위험을 최소화 위한 절차 및 장치를 의미

※ COSO : RISK는 기업에 부정적 영향을 미칠

가능성을 말함

중요성

구현과 지속적인 개선

D. 내부 통제 기본 및 활용 방안

7

내부 통제 구성을 위한 고려

Governance

Risk

management

Compliance

조직의 목표 수준 설정목표와 정책에 따른 통제 관리

업무 프로세스 분석을 통한잠재적 리스크 팩터 식별위험 해결 과제 도출 및 관리사람? 프로세스? 기술?

각종 법규에 대한 준거성 확보법규 준수할 수 있는 프로세스 운영

PLAN

DO

CHECK

구현 및검증

지속적운영을

통한 개선도출

ACT

Ⅱ. 파트너사 내부 통제 구현 방법론

8

회사의 물리적 범위 확대! 회사 연계 회사 수량 확대! 개인정보보호 등 컴플라이언스 강화! 중요 기술 정보 유출 우려 증가!

콜센터, 배송업체 통제

외부 아웃소싱 업체 통제

내부통제 모델링 방안비즈니스 트렌드 분석 정보 유출 방지를 위한 통제 요소

통제대상 (예)

USB 등 매체 통제

메일,메신저 등통제

정책 수립 통한허용 여부 결정

통제방법

A. 비즈니스 트렌드 및 정보 유출 통제 요소

9

외부 파트너사 통제

본사 이외 브랜치 통제

정보 유출 방지를 위한 최적화된내부 통제 모델은 무엇인가?

PC내 개인정보저장 통제

개인정보출력 및 팩스 통제

개인정보외부제공 통제

DLP 등 솔루션 도입통한 통제 여부 결정

예외 케이스는어떻게 처리할것인가?

기업에기업에 맞게맞게, , 최적화되고최적화되고 융합된융합된 모델을모델을 고민고민

콜센터 업무 특성

정보 유출 우려 (USB 등 매체제어)

업무상 불필요한 개인정보 파일 보관

Process & Risk factor 식별

B. 내부 통제 “구성” 방법론 1- 정책적 구성

내부통제 대상은 무엇인가? 수탁업체 (콜센터)중점 통제 대상은 무엇인가? 정보 유출※ 회사Governance와 compliance를 고려 구성

예) MiniPims 활용시

통제 항목 구성 및 최적화

예시) 실제 상담사 업무를 인터뷰 해보니다음과 같은 업무 프로세스와 리스크 식별

10

입사시 퇴사시 서약서 징구 현황 파악

상담원 PC의 주기적인 암호 변경

상담원 관리 시스템 접속 여부

침입차단 시스템 룰 관리 여부

최신 보안 패치 등 수행 여부 확인

잦은 퇴사로 인한 권한 관리 어려움

센터장 등 관리자급의 업무 형태 상이함

예) MiniPims 활용시- PIMS 통제 항목을 내부에 최적화 하여 구성※ PIMS 등 통제 항목 중 자산분류, 상담사 PC

보안 유사 항목을 기업 맞도록 재구성 활용

통제 항목 구성을 위한 Risk catalog 구성 Target에 적합한 통제 항목 추출 및 구성

최적화된 통제 항목을 구성

C. 내부 통제 “구성” 방법론 1- 정책적 구성

11

각종 컴플라이언스 효율적 대응 가능

PIMS 등 외부 인증 준비 시에 리소스 절약

웹메일, 메신저, P2P 등 차단 정책 수립 DLP 등 통합 모니터링 솔루션 검토 및 도입

※ 다양한 솔루션 벤더가 존재하며, 기업에 맞게선택 (특정 솔루션에 대한 언급은 생략)

네트워크 차단 엔드 포인트 차단

USB, HDD, CD 등에 대한 내부 통제가 필요※ 출력은 허용해줄것인지? 허용은 최소화매체 접근 최소화 및 접근 로그에 대한 증적

감사 관리

D. 내부 통제 “구성” 방법론 2- 기술적 구성 (솔루션 도입 등)

내부통제의 효율성을 위해서는 네트워크 차단 및 엔드 포인트 차단이 통합적으로이루어져야 함

12

※ 실제 운영시 Human or system erreor 발생 가능함

※ 유사시 대비 2중 대응 필요(예) 업무상 불필요한 상담사 등은 물리적 차단을 수행함

솔루션솔루션 도입을도입을 통한통한 통제통제

예예) ) 매체매체 사용사용원천원천 불허불허!!

형식적인 SLA 내용 지양하라!!

E. 내부 통제 “운영” 방법론

운영 방법론 (1) 운영 방법론 (2)

파트너사파트너사전담 통제

인력

본사본사전담 통제

인력

전담인력 배치 및 커뮤니케이션일원화/이슈 체크1

13

예) 매월 불시 또는 사전 안내 점검을 통한16개 통제 항목 점검 후 SLA 지표 점수화예) 정보 유출 관련 통제 항목 미준수 시 비용

삭감 또는 삼진아웃제도 등

형식적인 SLA가 아닌 실제 페널티SLA 적용

협력 A사 협력 B사

이행내용이행내용 이행내용이행내용

업무 이행에 대한 증적은 문서 확보(공식 공문 등)

협력 C사

이행내용이행내용

2

보안 감사 체계 수립 및 모니터링

파트너사의 자가진단 역량을 확보하라!

업무 예시)파트너사 정기 점검 계획 수립- 주기 : 년 2회 이상 (예)- 통제 항목 기준 : Mini Pims 기반 총 65개 통제 항목 운영 (예)

정기정기정보보안정보보안

감감사사

보안 감사 체계 수립 및 모니터링

F. 내부 통제 “모니터링” 방법론

파트너사파트너사자체점검자체점검

업무 예시)파트너사 자체 점검 (분기별 1회) 운영 현황 보고서 송부※ 해당 운영 현황 보고서를 통한이슈 체크 및 기존 통제 항목 보완

C레벨 보고 및 개선 계획 도출 이행

※ 내부 통제가 Governance 측면에서 전사 전략과 정책 일관될수 있도록 지속적인 C 레벨 보고와피드백을 통한 보완

수시 SLA 및 정기 보안 감사를재계약시 반영을 통한 통제 지속

G. 내부통제 고도화 : 기업의 일반 아웃소싱의 관리 방법론

Outsourcing Management System 기업 자체적 아웃소싱 발주 관리 시스템 구현을 통한 고도화 가능

따라서, 외부 파트너 효율적 관리를 위한 오프라인의 통제를 안정화하고고도화를 한다면 최종적으로 내부통제 GRC 관점의 OMS 시스템도 운영이 가능함

법무 주관부서

발주부서

내부통제

예시일부)

관계사인가?

사내 접근 시스템 또는 네트워크에 접근하는가?

사내에서 근무하는가?

개인정보보호 제 3자제공인가? 수탁인가?

업무 협업을 위한 정보 공유는 어떻게 하는가?

…등등

디자인 주관부서

보안 주관부서

인프라 주관부서

내부통제고도화

H. 시사점 및 맺음말

기술적 관리적 내부 통제 균형의 필요

업무 현황 반영한 통제 정책 필요

컴플라이언스, 내부 리소스 중복을 고려한 최적화된 통제 항목 도출

기술적 솔루션의 예외 케이스 분석을 통한 지속적 정책 보완 필요

맺음말

감사합니다.