금융회사 대형 IT프로젝트 추진 시 외주직원에 대한 보안정책 적용 사례 연구 A Case Study on the Application of Security Policy for Outsourcing Personnel in case of Large-Scale Financial IT Projects원문보기
금융회사에서는 내부자에 의한 개인정보유출 방지 및 내부통제 강화를 위하여 출력물 보안, 인터넷 망 분리시스템, 고객정보분리보관, 개인정보 암호화, 개인정보검색, DLP(Data Loss Prevention), 출력물보안, 개인정보모니터링 시스템 등의 보안 솔루션을 도입 운영하고 있다. 아울러 금융회사는 금융 소비채널의 변화 및 금융상품의 패러다임 변화를 겪으며 무한경쟁시대로 진입하고 있다. 금융회사가 보유한 고객정보의 보안에 대한 필요성이 높아지고 있다. '2014년 1월 발생한 카드 3사 대량고객정보 유출 사고는 외주 직원 한 명이 주요 카드사의 고객 개인정보를 탈취하여 대출광고업자와 대출모집인에게 팔아 넘겨졌던 사례이다. 대형 보안사고가 발생한지 3년여의 시간이 흐른 지금도 IT 외주인력의 보안 위협은 여전하다. 정부 및 감독기관은 '금융분야 개인정보 유출 재발방지 종합대책' 이행 점검 및 개인정보유출에 대한 금융회사 제재수준 강화를 진행하고 있다. 본 논문은 금융회사 대형 IT프로젝트 추진 시에 외주직원에 대한 보안정책 적용 사례 분석을 통해 IT프로젝트 성공 및 효율적인 보안 준수를 위한 정책 설정을 연구함으로서 대형 IT프로젝트의 성공과 외주인력의 보안사고 위험도를 최소화할 수 있는 방안을 사례를 통해 제시해 보고자 한다.
금융회사에서는 내부자에 의한 개인정보유출 방지 및 내부통제 강화를 위하여 출력물 보안, 인터넷 망 분리시스템, 고객정보분리보관, 개인정보 암호화, 개인정보검색, DLP(Data Loss Prevention), 출력물보안, 개인정보모니터링 시스템 등의 보안 솔루션을 도입 운영하고 있다. 아울러 금융회사는 금융 소비채널의 변화 및 금융상품의 패러다임 변화를 겪으며 무한경쟁시대로 진입하고 있다. 금융회사가 보유한 고객정보의 보안에 대한 필요성이 높아지고 있다. '2014년 1월 발생한 카드 3사 대량고객정보 유출 사고는 외주 직원 한 명이 주요 카드사의 고객 개인정보를 탈취하여 대출광고업자와 대출모집인에게 팔아 넘겨졌던 사례이다. 대형 보안사고가 발생한지 3년여의 시간이 흐른 지금도 IT 외주인력의 보안 위협은 여전하다. 정부 및 감독기관은 '금융분야 개인정보 유출 재발방지 종합대책' 이행 점검 및 개인정보유출에 대한 금융회사 제재수준 강화를 진행하고 있다. 본 논문은 금융회사 대형 IT프로젝트 추진 시에 외주직원에 대한 보안정책 적용 사례 분석을 통해 IT프로젝트 성공 및 효율적인 보안 준수를 위한 정책 설정을 연구함으로서 대형 IT프로젝트의 성공과 외주인력의 보안사고 위험도를 최소화할 수 있는 방안을 사례를 통해 제시해 보고자 한다.
Financial firms strengthen to protect personal information from the leakage, introducing various security solutions such as print output security, internet network Isolation system, isolationg strorage of customer information, encrypting personal information, personal information detecting system, d...
Financial firms strengthen to protect personal information from the leakage, introducing various security solutions such as print output security, internet network Isolation system, isolationg strorage of customer information, encrypting personal information, personal information detecting system, data loss prevention, personal information monitoring system, and so on. Financial companies are also entering the era of cutthroat competition due to accept of the new channels and the paradigm shift of financial instruments. Accordingly, The needs for security for customer information held by financial firms are keep growing. The large security accidents from the three card companies on January 2014 were happened, the case in which one of the outsourcing personnel seized customer personal information from the system of the thress card companies and sold them illegally to a loan publisher and lender. Three years after the large security accidents had been passed, nevertheless the security threat of the IT outsourcing workforce still exists. The governments including the regulatory agency realted to the financail firms are conducting a review efforts to prevent the leakage of personal information as well as strengthening the extent of the sanction. Through the analysis on the application of security policy for outsourcing personnel in case of large-scale Financial IT projects and the case study of appropriate security policies for security compliance, the theis is proposing a solution for both successfully completing large-scale financial IT Project and so far as possible minizing the risk from the security accidents by the outsouring personnel.
Financial firms strengthen to protect personal information from the leakage, introducing various security solutions such as print output security, internet network Isolation system, isolationg strorage of customer information, encrypting personal information, personal information detecting system, data loss prevention, personal information monitoring system, and so on. Financial companies are also entering the era of cutthroat competition due to accept of the new channels and the paradigm shift of financial instruments. Accordingly, The needs for security for customer information held by financial firms are keep growing. The large security accidents from the three card companies on January 2014 were happened, the case in which one of the outsourcing personnel seized customer personal information from the system of the thress card companies and sold them illegally to a loan publisher and lender. Three years after the large security accidents had been passed, nevertheless the security threat of the IT outsourcing workforce still exists. The governments including the regulatory agency realted to the financail firms are conducting a review efforts to prevent the leakage of personal information as well as strengthening the extent of the sanction. Through the analysis on the application of security policy for outsourcing personnel in case of large-scale Financial IT projects and the case study of appropriate security policies for security compliance, the theis is proposing a solution for both successfully completing large-scale financial IT Project and so far as possible minizing the risk from the security accidents by the outsouring personnel.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
국가정보원(NIS) 2016년 국가정보보호백서에서 공공기관의 보안 인식이 어떠한지 살펴보았다. 공공기관에서 가장 취약한 정보보호 분야로는 ‘인적보안’이 50%를 넘기며 압도적 1위를 차지하여 있다.
금융회사 대형 IT프로젝트의 성공을 위하면서 적절한 수준의 보안 통제를 수행하는 몇가지 방안에 대하여 제안하고자 합니다.
본 논문은 금융회사 대형 IT프로젝트 추진 시에 외주직원의 행내 시스템 접근 등에 대한 보안 위협에 대하여 보안정책 적용 사례 분석을 통해 IT프로젝트 성공 및 효율적인 보안 준수를 위한 정책 설정을 연구함으로서 대형 IT프로젝트의 성공과 외주인력의 보안사고 위험도를 최소화할 수 있는 방안을 사례를 통해 제시해 보고자 한다.
그 결과 업계에서도 놀라울 정도로 성공적인 IT 프로젝트를 완수 하였으며 이로 인하여 H그룹 발전 및 고객 불편을 최소화 할 수 있었습니다. 본 논문을 통하여 금융기관의 대형 IT 프로젝트 추진 시 도움이 되었으면 합니다.
본 장에서는 금융회사 대형 IT프로젝트 추진현황을 살펴보고 대형 IT 프로젝트 성공의 기반이 되는 데이터 정합성 확보 방안 및 외주직원들의 리얼 데이터 접근 필요성에 대하여 살펴보고, IT프로젝트 성공과 외주직원들의 정보유출 방지를 위한 보안정책 적용에 대한 제안을 하고자 합니다.
가설 설정
첫째, 1,116명의 외주 직원들의 운영시스템 접근 불가. 둘째, 실 고객 정보 조회 불가. 셋째, 인터넷 접속불가.
셋째, 리얼 데이터를 활용하여 조직 전체 직원 대상 테스트가 필요합니다. 대국민에 대한 안전한 전자금융서비스 제공을 위해 조직 전체 직원들을 활용한 데이터 검증 테스트는 절대적으로 필요한 작업으로 모든 금융기관이 프로젝트 오픈전에 최소 3~4회 정도 수행하는 절차입니다.
첫째, 대형IT프로젝트에서 데이터 전환 작업은 반복적인 훈련으로 안정성 확보가 필수입니다. 즉 프로젝트 오픈일과 동일한 프로세스를 구현하여야 성공을 담보할 수 있습니다.
제안 방법
실패 원인이 경직된 보안 통제로 인하여 프로젝트 생산성 저하가 주된 원인은 아닐 수 있으나, 강력한 외주인력 통제와 더불어 프로젝트 생산성 향상에 기여할 수 있는 보안정책 수립은 프로젝트 성공의 열쇠라 할 수 있습니다. 금융기관의 대형 IT프로젝트 성공을 위한 외주직원에 대한 통제 방안 및 보안정책 수립을 본 논문에서 제안한 내용을 H은행의 실제 대형 IT 프로젝트에 적용하였다. 그 결과 업계에서도 놀라울 정도로 성공적인 IT 프로젝트를 완수 하였으며 이로 인하여 H그룹 발전 및 고객 불편을 최소화 할 수 있었습니다.
아울러 개인정보 데이터 변환없이 데이터 전환을 클린룸에서 수행하여 통합 운영DB를 구성하였으며, 데이터전환 개발자이외의 외주직원들이 활용할 테스트 및 개발 DB는 개인정보 데이터 변환 작업을 수행하여 데이터 정합성 향상 및 보안 강화에 중점을 두었다.[9]
이용자 정보의 조회·출력에 대한 통제를 하고 테스트 시 이용자 정보 사용 금지(다만, 부하 테스트 등 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다)” 는 규정을 준수할 경우 안전한 전자금융서비스 제공을 위해 사전 정합성 검증이 불가하고, 이행 당일과 동일한 이행 프로세스 구현이 불가하기에 때문이다. 이를 위한 기술적 통제 수단으로 클린룸을 설치하여 예외적으로 선별된 외주직원들이 운영시스템 접근을 허용하였으며, 영업점 테스트 수행 시 통합 H은행 객장내에서 고객정보를 변경하지않은 리얼 데이터를 활용하여 정합성 테스트를 수행하였다. 클린룸에서는 CCTV, CIO까지 출입통제를 하는 등 완벽한 물리적,관리적, 기술적 통제를 구비하였다.
대상 데이터
논문의 구성은 총 5장으로 구성되었다. 2장에서는 본 연구와 관련한 외주인력 보안과 정보 접근 통제 정책의 중요성 및 H사 정책 사례에 대하여 살펴보았다.
성능/효과
둘째, TO_BE 리얼 시스템은 현재 운영시스템과 동일한 수준의 보안 정책이 적용되어져야 합니다. TO_BE 리얼 시스템에는 현재 운영시스템에 있는 고객정보가 그대로 반영되어 있는 시스템입니다.
셋째, 대형 IT프로젝트에 맞는 추가 보안 정책 적용으로 안정성을 강화하는 것입니다. 예로 외주직원 역할에 따른 등급별 접근 권한 통제, 추가적인 기술적 통제 방안 마련, 외주 직원에 대하여 통상 반기 주기로 보안점검을 실시 하던 것을 프로젝트 기간내에 월 1회 정기 점검을 실시하고, 불시에 비정기적으로 보안 점검을 실시하며, 점검결과 위반자에 대하여는 제재할 수 있는 방안을 마련하는 등 강화된 보안 정책을 적용하는 방안입니다.
IT통합 프로젝트를 위하여 강화된 IT보안 정책의 원칙을 수립하여 운영하였습니다. 첫째, 1,116명의 외주 직원들의 운영시스템 접근 불가. 둘째, 실 고객 정보 조회 불가.
후속연구
첫째, 대형 IT 프로젝트 초창기에 외주 직원들에 대한 보안정책을 CIO 및 CISO가 협의하여 대형 IT프로젝트 예외 사항에 대한 정의가 필요하며, 필요 시 “비조치의견서 요청서” 등을 활용하여 사전에 감독기관의 승인을 받아는 것 필요합니다.
질의응답
핵심어
질문
논문에서 추출한 답변
대형IT프로젝트에서 데이터 전환 작업의 반복적인 훈련으로 안정성 확보가 필수인 이유는?
첫째, 대형IT프로젝트에서 데이터 전환 작업은 반복적인 훈련으로 안정성 확보가 필수입니다. 즉 프로젝트 오픈일과 동일한 프로세스를 구현하여야 성공을 담보할 수 있습니다. 앞 절에서 기술하였 듯이 테스트 수행 시 적용하였던 실명가공하여 데이터 전환 작업을 수행할 경우와 실제 당일 데이터 전환 작업절차가 다를 경우 프로젝트 실패 가능성은 가중될 수 있습니다.
금융회사에서는 내부자에 의한 개인정보유출 방지 및 내부통제 강화를 위해 무엇을 운영하나?
금융회사에서는 내부자에 의한 개인정보유출 방지 및 내부통제 강화를 위하여 출력물 보안, 인터넷 망 분리시스템, 고객정보분리보관, 개인정보 암호화, 개인정보검색, DLP(Data Loss Prevention), 개인정보모니터링 시스템 등의 보안 솔루션을 도입 운영하고 있다. 아울러 금융회사는 금융 소비채널의 변화 및 금융상품의 패러다임 변화를 겪으며 무한경쟁시대로 진입하고 있다.
데이터 이행 검증 절차는 어떤 과정으로 이루어지나?
데이터 이행 검증 절차는 추출검증, 매핑적재검증, 업무논리검증 3단계와 업무테스트 검증으로 데이터 이행검증을 수행합니다.
Wow Korea Economic News, http://www.sostv.co.kr/newcenter/news/view.asp?bcodeT30001000&artidA201
National Intelligence Service, "2016 National Information Protection White Paper"
Financial Supervisory Service, Financial Supervisory Service Infomation Disclosure System
Electronic Financial Supervisory Reguration.
Act on the Use and Protection of Credit Information Private Act.
Jae-yoon Sim, "A Study on Information Access Control Policy Based on Risk Level of Security Incidents about IT Human Resources in Financial Institutions" Graduate School of Koear University, 2015. DOI : http://dx.doi.org/10.13089/JKIISC.2015.25.2.343
Yeongjin Choi, "A Study on Data Security Control Model of the Test System in Financial Institutions" Graduate School of Koear University, 2014. DOI : hhttp://dx.doi.org/10.13089/JKIISC.2014.24.6.1293
※ AI-Helper는 부적절한 답변을 할 수 있습니다.