에스티로더 해킹으로 드러난 기업 보안 취약점주민등록번호부터 급여까지 민감정보 위험 노출아모레퍼시픽·LG생활건강 등 대응 프로세스 집중
글로벌 화장품 기업 에스티로더의 임직원 개인정보가 그대로 노출되면서 업계가 예의 주시하고 있다. 지난해부터 수많은 기업들이 해킹과 개인정보 유출로 지금까지도 홍역을 치르고 있는 만큼 업계에서는 이번 사건이 확산되지 않을까 긴장하고 있다.
OpenAI의 기술을 활용해 기사를 한 입 크기로 간결하게 요약합니다.
전체 기사를 읽지 않아도 요약만으로 핵심 내용을 쉽게 파악할 수 있습니다.
에스티로더 임직원 개인정보 노출 사고로 화장품 업계가 보안 점검에 나섰다
최근 해킹과 개인정보 유출이 잇따르면서 업계 전반에 긴장감이 높아졌다
에스티로더 글로벌 본사 HR 자료가 노출된 것으로 확인됐다
권한 없는 제3자가 지난해 8월 시스템에 접근해 주민등록번호, 여권정보, 은행계좌, 급여·성과 등 민감한 정보에 접근한 것으로 전해졌다
아모레퍼시픽, LG생활건강 등은 글로벌 수준의 보안 체계를 강조했다
정기적인 취약점 점검, 다중인증, 접근 통제, 개인정보 암호화, 24시간 모니터링 등 다양한 보안 조치 시행 중
한국콜마, 에이피알 등도 정기 점검과 사고 대응 절차를 운영하고 있다
글로벌 ERP·클라우드 기반 HR 시스템 도입이 확산되며 임직원 정보 보호 중요성이 커지고 있다
해외 본사나 외부 솔루션에서 발생한 사고가 국내 법인으로 이어질 위험이 있어 공급망 전체 보안 관리가 필요하다는 분석이 나온다
업계 관계자는 "최근에는 고객정보보다 기업 내부 시스템을 표적으로 삼는 공격이 늘고 있다"며 "사이버 보안은 IT 부서만의 문제가 아니라 기업의 경영 리스크 차원에서 관리해야 할 과제가 되고 있다"고 말했다
2일 업계에 따르면 전날 에스티로더 글로벌 본사의 인사관리(HR) 자료가 노출된 것으로 알려졌다. 현재까지 확인된 것은 접근 권한이 없는 제3자가 지난해 8월 시스템에 접속한 것으로 전해진다. 제3자가 접근한 정보는 주민등록번호와 여권정보, 은행계좌, 급여·성과 등 민감한 정보도 적지 않은 것으로 추정된다.
이번 노출 사고 이후 화장품 업계도 발 빠르게 움직이는 중이다. 임직원 개인정보를 관리하는 HR·전사적자원관리(ERP) 시스템을 중심으로 보안 관리 체계 점검에 들어갔다. 현재 기업들은 정기적인 취약점 점검과 사고 대응 프로세스를 운용 중이다.
글로벌 사업 비중이 높은 아모레퍼시픽과 LG생활건강은 글로벌 수준의 높은 보안 체계를 운영하고 있다는 점을 강조했다. 아모레퍼시픽은 글로벌 서비스형 소프트웨어(SaaS) 기반 솔루션을 활용해 다중인증(MFA), 가상사설망(VPN) 기반 접근 통제, 개인정보 암호화, 24시간 상시 모니터링을 운영하고 있으며 해외 법인 직원 정보도 국가별 개인정보 보호 법령에 따라 분리 관리하고 있다고 설명했다.
회사 측은 "각 국가별 개인정보 보호 법령에 맞춰 해외 법인 직원의 정보는 국가 및 권역별로 분리하여 독립적으로 관리하고 있다"며 "임직원 및 고객 정보 유출에 있어 사고 인지 즉시 개인정보보호책임자(CPO)를 중심으로 침해사고 대응팀과 리스크관리위원회를 소집하며, 유출 경위와 규모에 따라 관련 법령이 정한 기한 내에 관계기관 신고 및 당사자 통지를 진행하도록 프로세스가 구축돼있다"고 말했다.
LG생활건강도 "정기적인 보안·취약점 점검을 실시하고 있으며 올해 상반기 인사·ERP 시스템 점검을 완료했다"고 밝혔다. 인사 시스템 보안 점검은 매년, 모의해킹은 3년 주기로 실시하고 있으며 개인정보 유출 사고 발생 시에는 대응 매뉴얼에 따라 조치한다는 설명도 덧붙였다.
한국콜마와 에이피알은 정기적인 취약점 점검과 접근 권한 관리 등 보안 체계를 들여다보고 있다. 한국콜마는 현재 외부 ERP·HR 솔루션을 활용해 주요 시스템을 대상으로 연 2회 취약점 점검을 실시하고 있으며, 사고 발생 시에는 신고와 확산 방지, 원인 조사, 복구, 재발 방지까지 이어지는 대응 절차를 마련해 운영하고 있다고 전했다.
에이피알은 국내 HR 솔루션을 사용하고 있으며 정보보호 관리체계(ISMS) 인증을 위한 연 1회 보안 점검과 주기적인 비밀번호 변경, 접근 권한 관리, 개인정보 암호화를 적용하고 있다고 설명했다. 올해 하반기부터는 외부 전문기관을 통한 모의해킹도 새롭게 도입할 계획이다.
업계에서는 글로벌 ERP와 클라우드 기반 HR 시스템 도입이 확산되면서 고객 정보뿐 아니라 임직원 정보를 포함한 기업 내부 시스템 전반의 보안 역량이 중요해지고 있다고 보고 있다. 특히 해외 본사나 외부 솔루션에서 발생한 사고가 국내 법인으로 이어질 가능성도 있는 만큼 공급망까지 포함한 보안 관리 체계 구축이 기업 경쟁력의 한 요소로 자리 잡을 것이라는 분석이다.
업계 관계자는 "최근에는 고객정보보다 기업 내부 시스템을 표적으로 삼는 공격이 늘고 있다"며 "사이버 보안은 IT 부서만의 문제가 아니라 기업의 경영 리스크 차원에서 관리해야 할 과제가 되고 있다"고 말했다.
뉴스웨이 양미정 기자
certain@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지







댓글