GS건설이 PC DRM(Digital Rights Management)을 구축해 사용자PC에 보관되는 모든 원본 문서에 대해 자동 암호화를 적용시켜 정보의 외부 유출을 원천적으로 차단하고 있다. 작년 9월부터 시행된 개인정보보호법 시행으로 인한 고객과 채용, 임직원, 협력사들의 개인정보 안전성 확보 측면에서 적극 고려된 사업이다.
GS건설은 업무 사용자의 PC 내 전자파일에 대한 전자문서 외부 유출 방지, 무단사용 방지, 외부자의 임의 접근 보안을 지원하는 전자문서보안시스템 구축으로 보다 안전한 디지털 업무 환경을 지향한다는 방침이다. GS건설의 PC DRM에 대한 구축 배경과 향후 기대효과에 대해 알아봤다. 

이지혜 팀장 jh_lee@ciociso.com

GS건설은 작년 9월 개인정보보호법 시행으로 인한 고객, 채용, 임직원, 협력사 개인정보의 안전성 확보 및 대상 확대 등 컴플라이언스 통제의 보안 인프라 고도화를 위해 정보보호 컨설팅을 수행한 바 있다.
또한 2004년부터 중요 업무시스템에 대한 문서보안(서버DRM)운영뿐 아니라 본사와 현장의 PC자산 및 모바일 기기의 원천적인 정보 유출을 차단하고자 PC내 문서 암호화를 확대 적용했다.
GS건설 PC DRM은 사용자가 MS-Office, 한글 파일 등을 저장하는 시점에 암호화 해, 암호화 상태로 유출되는 경우에도 열람 및 편집 등의 사용을 차단하게 한다.
이는 주요 정보 유출사고 피해가 사회 이슈화로 떠오르고 있는 요즘, 정보 유출로 인한 기업 경쟁력 저하에 대한 대비와 함께 GS건설 임직원들의 보안 수준 인식 제고를 이루는데 기여하고 있다.

업무환경 분석 통한 보안강화
GS건설은 PC가상화, 문서 중앙화 등 국내 문서 보안 관련 솔루션 등을 검토해 PC DRM을 구축했으며 모바일 등의 신기술에 근본적인 대응 및 시스템 구축에 대한 비용대비 효과를 함께 고려했다.
특히 PC DRM보안 시스템 구축은 임직원들의 개인 PC를 암호화해야 하기 때문에 사전 주택/건축/토목/플랜트 등 다양한 업무 환경 분석을 통해 보안강화로 인한 업무 불편해소를 최대한 축소시킨다는 방침이었다.
특히 기업 문화적 변화나 사용자 인식에 대한 변화 차원에 따라 단계별로 접근했으며, 플랜트의 경우 대부분 엔지니어링이기 때문에 발주처와 협력사의 협업 과정이 강조됐다.
이에 따라 다양한 아이디어들의 도출됐으며 예를 들어 임원결제 전 사전 등록·허용된 메일들은 복구화되어 나가거나 내부기간계 시스템과 같은 협업시스템에서 파일 다운로드 시 관리 팀장의 부재 시에는 한 단계 아래 관리자인 리드엔지니어가 담당할 수 있게끔 조정하는 과정이 이뤄졌다.
이러한 사용자 편의성을 극대화하기 위해 GS건설은 로그관리 추적과 임직원 정보보안을 위한 의식 고취와 적용 전 파일럿 테스트 및 각 본부별 외부 협력사와의 자료전달 보안지침을 만들어 점진적 보안정책 적용과 함께 다양한 설명회 기간을 진행했다.
GS건설 관계자에 따르면 약 8개월에 걸쳐 본사 및 현장 전 사업장에 적용된 GS건설의 PC DRM은 국내 벤더 기업인 마크애니의 ‘DocomentSAFER’이 선정됐으며 특히 건설업 구축 경험 및 플랜트 엔지니어링 업계의 현실을 발 반영했다는 점에서 높은 점수를 얻었다.

모바일기기 변화에 따른 대응 가능
GS건설은 PC DRM으로 임직원들이 내부 자산을 기업 자산으로 인식하도록 유도하면서 외부 유출 방지와 개인정보보호법 시행에 따른 기술·관리 강화를 기대하고 있다.
인터넷과 웹하드, N드라이브 등 다양한 경로를 통한 중요정보 유출에 대한 근본적 차단을 이루고 모바일 기기의 최신 기술 업그레이드에 대한 효율적 대응도 또 다른 기대효과다.
이는 신규 모바일 기기가 출시될 때마다 각 디바이스 별로 각각의 보안 프로그램을 설치해야 했던 점을 해결해준다는 점에서 의미가 크다.
또한 PC DRM으로 PC전자 문서의 암·복호문서 사용이력 관리가 이뤄지면서 첨부파일을 대상으로 다운로드 시 암호화와 서버저장 후 복호화가 시행된다.   
GS건설은 건설 뿐 아니라 플랜트 등의 사업 분야 역량강화와 IT정보보안 차원에 있어 PC DRM의 중요성을 강조하며 정보유출 사고를 최대한 방지한다는 입장이다.
 

▲ 박준규 GS건설 IT기획팀 부장 ● 박준규 GS건설 IT기획팀 부장이 전하는 구축 필요성 & 레슨 “기술 관리적 보안뿐 아니라 인식 변화 우선돼야” 보안솔루션을 도임함에 있어 항상 그렇듯이 목표 대상에 대한 명확한 정의와 면밀한 취약점 분석이 필요하다. 같은 솔루션을 구축하더라도 기업 인프라의 구조와 조직문화에 따라 효율성이 다른 것이 큰 이유다. 보안은 회사의 중요정보가 유출될 시 기업 이미지에 치명적 약점으로 작용할 수 있으며 이에 따라 정보보안을 책임지고 있는 부서에서는 기술 발전에 따른 선제적 대응이 중요하다. 한편 정보보안이 솔루션으로 모두 해결된다는 판단은 착오로 궁극적인 정보보안을 이루기 위해서는 임직원 개개인의 보안인식 생활화뿐 아니라 기업 CEO 및 경영진의 강력한 의지가 뒷받침돼야 한다. GS건설 역시 개인정보보호법의 준수뿐 아니라 시스템 보안 강화와 사용자 인식 전환을 위한 교육 등을 상시 개최하고 있으며 올해 하반기까지 사내 보안현황과 정보보안 가이드 및 프로세스에 대해 전반적인 정보보안 포털 구축을 추진중에 있다. 아울러 기존 DB암호화 운영뿐 아니라 데이터베이스의 접근권한 제어 및 정보보호 성과평가 정책 수립의 고도화가 병행된다.