Home > 전체기사 > 기획특집

[2024 개인정보보호 솔루션 리포트] 개보법 및 시행령 개정으로 물 만난 개인정보보호 솔루션

입력 : 2024-05-31 17:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보 관련 각종 사건·사고들 연이어 발생...개인정보의 안전한 활용은 언제쯤?
카카오, 개인정보 과징금 유출 사고 최고가 경신...개인정보위는 소송예산 증액
개인정보의 안전한 활용과 보호 위해 전면 개정된 개인정보보호법 및 시행령이 미칠 영향
국내외 대표 개인정보보호 솔루션 기업 : 안랩, 데이티스바넷, 시큐어링크, 지란지교데이터, 삼오씨엔에스, 위즈코리아, 피앤피시큐어


[보안뉴스 원병철 기자] 최근 카카오가 개인정보 유출로 개인정보보호위원회로부터 151억원이라는 높은 과징금을 부과받으면서 개인정보보호에 대한 관심이 다시금 높아지고 있다. 이번 사건에서 카카오가 받은 벌금은 한국기업이 개인정보보호법 위반으로 받은 벌금 중 가장 높은 금액이기 때문이다. 아울러 지난 3월에는 개인정보보호법 시행령 2차 개정이 완료되면서 이에 대한 고민도 깊어지고 있다. 아울러 오는 6월 4일 개인정보보호 관련 최대 행사인 ‘제13회 개인정보보호페어 & CPO 워크숍’도 개최를 앞두고 있어 개인정보보호와 솔루션에 대한 관심이 최고조인 이때 <보안뉴스>와 <시큐리티월드>는 최근 개인정보보호 분야 상황을 짚어보는 시간을 마련했다.

[이미지=gettyimagesbank]


카카오, 국내 기업 중 최고 높은 과징금 151억원 부과받아
개인정보보호위원회(이하, 개인정보위)는 지난 5월 22일 전체회의를 열고 개인정보보호법을 위반한 카카오에 총 151억 4,196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분결과를 공표했다. 개인정보위는 카카오가 카카오톡 서비스를 제공하는 과정에서 ‘안전조치 의무’, ‘유출 신고·통지 의무’ 위반 사실을 확인했다.

개인정보위는 2023년 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다. 조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했다. 카카오톡 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했으며, 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다.

이번 카카오 사례의 경우는 크게 두 가지 의미가 있다. 첫 번째는 카카오는 지난해 개정된(2023년 3월 14일 개정, 9월 15일 시행) 개인정보보호법 개정안 중 ‘과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향하고, 비례성이 확보되도록 과징금 산정시 위반행위와 관련 없는 매출액을 제외한다(제64조의2)’가 실질적으로 적용된 사례였다.

두 번째는 카카오가 부과받은 과징금이 역대 한국 기업이 개인정보보호법 위반으로 받은 벌금 중 최고 금액이라는 사실이다. 이는 앞서 설명한 것처럼 개인정보보호법이 개정되면서 ‘전체 매출액의 3%’를 과징금으로 매길 수 있게 되면서 발생한 일이기도 하지만, 그동안 정체됐던 벌금의 액수가 높아지고 있다는 것을 보여준다. 실제로 <보안뉴스>에서 조사한 바에 따르면 2020년 이후 개인정보보호법 위반 관련 과징금은 많아지고 있다. 벌금 TOP 10에 2020년 이후 부과된 벌금이 8건이나 포함됐기 때문이다.

가장 많은 벌금을 부과받은 곳은 글로벌 기업인 구글과 메타로, 각각 692억원과 308억원이라는 천문학적인 금액이다. 세 번째가 한국 기업 중 최고로 높은 금액인 44억 8,000만원의 인터파크였는데, 이번에 골프존과 카카오가 연달아 갱신했다. 이어 위메프(18억 5,200만원)와 메가스터디(9억 5,400만원), 천재교과서(9억 335만원) 등이 뒤를 이었다.

개인정보보호법 주무 부처인 개인정보위도 최근 2년간 개인정보 정책 성과 중 하나로 ‘엄정한 법집행으로 안전한 개인정보 처리 유도’를 꼽고 과징금 77건 1,263억원과 과태료 375건 18억원, 시정명령 225건과 시정권고 22건 등을 강조했다. 아울러 개인정보위는 2024년 행정소송 수행예산으로 전년 대비 2배 이상 증액한 4억 2,000만원을 확보했다. 이는 연도별 과징금 등 부과금액/소송 제기 건수가 2020년 29억/5건, 2021년 91억/4건, 2022년 1,025억/1건, 2023년 233억/8건 등 늘어났기 때문이다. 실제로 우리나라에서 가장 높은 과징금을 부과받은 구글과 메타는 2023년 2월 행정소송을 제기해 현재 1심이 진행중이다.

개인정보보호법 및 시행령 개정이 업계에 미칠 영향
개인정보보호법 개정과 시행령 개정은 개인정보를 취급하는 기관과 기업은 물론 개인정보보호 솔루션을 개발하고 유통하는 보안기업들에게도 큰 영향을 미친다. 특히 업계에서는 지난 3월 시행된 개정안의 ‘공공기관 개인정보 보호수준 평가(법 제11조의2, 시행령 제13조의2)’에 주목하고 있다.

이 항목은 종전 ‘공공기관 관리수준 진단’이 평가대상 선정, 평가절차, 진단결과 및 개선·이행조치 등에 대한 명확한 법적 근거가 없는 것을 해결하기 위해 개정됐다. 특히 개인정보 보호수준 평가의 대상이 중앙행정기관과 소속기관, 지방자치단체는 물론 공공기관과 지방공사, 지방공단에 공공기관의 개인정보 처리 업무의 특성 등을 고려해 개인정보위가 고시하는 기준에 해당하는 기관까지 포함된다. 실제로 업계는 개인정보 보호수준 평가대상을 약 1,400여개로 예측했으며, 새롭게 평가대상이 된 공공기관은 이를 위해 개인정보보호 체계를 강화할 것으로 기대하고 있다.

개인정보보호법 개정과 관련해 개인정보위는 공공부문에서 계속되어 온 개인정보 침해사고 근절을 위해 공공부문 안전조치 의무 강화와 개인정보 파일 등록 대상 확대, 그리고 개인정보 영향평가 강화 등을 위해 개정했다고 설명했다. 2019년 n번방 사건과 2021년 송파 살인사건, 2022년 9월 신당동 역무원 살인사건 등에서 발생한 공공부문 개인정보 유출을 방지하기 위한 후속 입법이 필요했다는 것이다. 때문에 이번에 개정된 시행령에서 국민의 개인정보를 대규모로 처리하고 있는 공공기관에 대해 공공시스템 안전조치 강화, 개인정보 파일 등록 정비, 개인정보 영향평가 결과 공개 등을 통해 안전성과 투명성을 강화하겠다는 방침이다.

실제로 이번 공공시스템 운영기관에 대한 안전조치 특례에는 ①내부 관리계획 ②접근 권한 부여 ③접속기록(접속기록의 저장·분석, 점검·관리 등) ④정보주체 통지(비정상 개인정보 접근시 정보주체에 통지) ⑤전담부서·인력배치 ⑥관리책임자 지정 ⑦공공시스템 협의회 등의 내용이 담겼다.

아울러 개인정보보호법 시행령 제30조의2, 개인정보의 안전성 확보조치 기준 제14조제1항에 따라 공공시스템 126종이 지정된 것도 업계에서는 호재로 보고 있다. 개인정보위는 지정된 126종 시스템에 대한 개발기관, 운영기관 및 이용기관은 2024년 9월 15일부터 시행령 제30조의2, 기준 제14조부터 제17조까지를 준수할 의무를 지게 된다고 밝혔다. 특히, 표준배포패키지 8종을 배부받아 구축·운영 중인 지방자치단체도 상기 규정들이 적용된다는 것도 강조했다. 즉 워크넷 등 단일접속시스템 78개, 검찰청 형사사법정보시스템 등 개별시스템 40개, 교육행정지원시스템(나이스) 등 표준배포시스템 8개 패키지 등은 개인정보 강화를 위한 시스템 확장에 나설 수밖에 없다는 설명이다.

일부 기업들은 2023년 9월 일부 개정된 ‘개인정보의 안전성 확보조치 기준’ 제16조 공공 시스템 운영기관의 접근 권한의 관리와 제17조 공공시스템 운영기관의 접속기록 보관 및 점검에서 언급한 개인정보 접속기록 관리가 주목받을 것으로 봤다.

성장하는 개인정보보호 솔루션 시장
개인정보보호 솔루션이 필요한 이유는 궁극적으로 국민의 자산을 보호하기 위함이며, 개인정보보호법은 물론 다양한 컴플라이언스를 준수하기 위함이다. 특히 데이터 경제 시대가 오면서 개인정보가 단순히 정보를 넘어 경제적 부가가치를 창출할 수 있는 자산이 됐고, 이를 노리는 각종 범죄의 손길이 늘어나면서 개인정보보호 솔루션에 대한 니즈가 폭발적으로 증가하게 됐다.

아울러 EU의 GDPR을 시작으로 일본의 개인정보보호법, 미국의 연방 개인정보보호법(APRA) 등 전 세계적으로 개인정보를 보호하기 위한 규정이 제정되면서 이를 위한 솔루션 역시 크게 증가할 것으로 보고 있다.

우리나라 역시 2011년 최초로 개인정보보호법을 제정한 이후 여러 번의 개정을 거쳐 오늘날의 모습을 하게 됐다. 특히 법 제29조 안전조치의무에 따라 개인정보 처리자는 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 내부 관리계획 수립과 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 취해야 한다.

이에 따라 보안업계에서는 2011년을 기준으로 다양한 개인정보보호 솔루션을 선보이게 됐다. 물론 그 이전에도 개인정보를 포함한 데이터 보호를 위한 여러 솔루션이 존재했지만, 컴플라이언스라는 핵심 이슈에 맞춰 산업이 새롭게 태동했다고 볼 수 있는 것이다.

포춘 비즈니스 인사이트(Fortune Business Insights)에 따르면 2023년 전 세계 개인정보보호 소프트웨어 시장은 27억 6,000만 달러, 한화 약 3조 7,668억원 규모로 추정되며, 2032년까지 연평균 37% 성장해 482억 달러, 한화 약 65조 8,074억원 규모에 달할 것으로 전망된다.

그렇다면 개인정보보호 솔루션은 어떤 것들이 있을까? 이는 목적에 따라 크게 두 가지로 나눌 수 있다. 우선 조직이 갖고 있는 개인정보를 식별하고 보호하기 위한 솔루션이 있다. 그리고 개인정보의 안전한 활용을 위한 개인정보 접속기록과 개인정보 비식별화 등의 솔루션이 있다.

사실 개인정보 자체는 기존 데이터의 한 종류이기 때문에 데이터 보안 솔루션을 그대로 사용하는 경우도 많으며, 몇몇 개인정보에 특화된 보안 솔루션이 추가됐기 때문에 논란이 있긴 하다. 대표적인 개인정보보호 솔루션은 △개인정보 데이터 관리(검출, 격리, 삭제) △개인정보 비식별화 △개인정보 암호화 △개인정보 접속기록관리 △DRM(디지털 권리 관리) △명의도용 차단 △이미지 스캔 OCR △DLP(정보유출방지 솔루션)(가나다순) 등이다.

상황이 이렇자, 전통의 개인정보보호 솔루션 기업이 아닌 데이터 보안 등 기존 보안전문기업에서 개인정보보호 솔루션 시장에 뛰어드는 일도 늘어나고 있다. 국내 대표 보안기업인 안랩 역시 최근 고객들의 니즈를 통해 개인정보보호 솔루션의 필요성을 공감하고, 개발을 통해 올해부터 본격적으로 퍼블리싱에 나선 것으로 알려졌다.

한편 CCTV 등 영상보안 분야에서도 개인정보보호를 위한 솔루션을 주목하고 있다. 개인영상정보도 개인정보에 포함되기 때문이다. 공공기관의 160만대 CCTV는 물론 다양한 민간영역에서 CCTV를 사용하고 있으며, 최근 이슈인 수술실 CCTV 등 새로운 환경에서의 CCTV 활용이 늘면서 CCTV 영상을 보호하기 위한 움직임이 늘고 있다.

국내외 대표 개인정보보호 솔루션
그렇다면 국내외 보안기업들이 선보인 개인정보보호 솔루션은 어떤 것들이 있을까? 현재 보안시장에 나온 개인정보보호 솔루션은 다음과 같다.

데이티스바넷의 개인정보 분리파기 솔루션 ‘DataGenor PDS’는 각기 다른 업무영역에 개인정보들을 통합해, 전사적 관점에서의 고속선정 추출 및 분리, 파기작업을 체계적으로 자동화할 수 있는 솔루션이다. 사전 정의된 정책에 따라 대상 고객을 자동 식별하고 결재·파기·분리·보관·모니터링·결과확인 등 작업 전 과정을 제어할 수 있다. 직관적인 UI를 적용해 조작이 간편하다는 장점이 있다. 분리보관 시스템을 보다 효율적으로 운영할 수 있도록 업무영역별 키 관리 기법도 제공한다.

삼오씨엔에스의 주력 제품인 ‘파르고스 v3.0’은 중소벤처기업부에서 혁신제품으로 인정받았으며, 지난 3년 동안 40여개 공공기관에 성공적으로 도입됐다. 파르고스 v3.0은 △접속기록 관리 △이상 행위 탐지 △소명 관리 기능이 통합 관리되는 개인정보 통합관제 시스템으로 자리매김하고 있다. 강화된 개인정보 보호조치 기준에 따라 공공 시스템(집중관리 시스템)은 조직 기반으로 접속기록 관리 및 이상 행위를 탐지하고, 이에 대해 사유를 받는 소명 관리 기능이 중시되는 경향을 보이는데, 파르고스 v3.0은 이러한 기능을 충족한다.

시큐어링크‘SPK(Safe. Privacy Keeper)’는 PC내 다양한 파일에서 개인정보를 실시간으로 검출하고 관리하는 솔루션이다. 이 제품은 문서 및 이미지 파일 내 개인정보를 감지해 암호화하거나 삭제하는 기능을 제공한다. 추가로 감사 추적 기능을 통해 데이터 처리 과정을 모니터링하고 필요한 보안 조치를 즉시 실행할 수 있다. 이 기능들은 조직이 데이터 보안 요구사항을 충족하고 법적 요구사항을 효과적으로 준수할 수 있다.

안랩‘AhnLab Data Security’는 클라우드 환경을 고려해 설계되어 명확한 테넌트 분리와 브로드 네트워크 지원을 위한 보안 설계를 충족하는 안랩의 데이터 보안 서비스다. AhnLab Data Security는 WAF와 같은 게이트웨이 형태의 서비스로, 서비스 재개발 없이도 이용 가능한 것이 특징이다. 조직의 보안 담당자가 직접 조직의 상황에 맞게 개인정보보호 관리 대상을 선택하고, 적용할 수 있는 형태로, 보안 담당자는 개인정보보호 관련 업무 효율성을 높이고, 보호 대상의 누락, 상태 관리 등의 위험요소를 빈틈없이 관리할 수 있다.

우경정보기술의 지능형 영상정보보안 솔루션 ‘시큐워처(SECUWATCHER)’는 CCTV 통합관제센터 등에서 촬영된 영상정보를 암호화해 보관하고, 외부 반출시 반출 관리, 위변조 방지, 유출 탐지 등을 통해 개인영상정보를 보호할 수 있는 영상정보보안 솔루션이다. 개인정보보호법에 기반한 개인 프라이버시를 완벽하게 보호하고 고화질 대용량 영상의 고속 암/복호화 기능을 갖추고 있으며, 영상 위변조 방지 및 안전한 영상반출관리를 지원한다. 이 외에도 Human & Face Detection 자동 및 수동객체 추적기능과 전용 플레이어를 이용한 영상접근제어가 가능하다.

데이터 보호 전문기업 지란지교데이터는 ‘보편적이고 실용적인 프라이버시 케어 서비스 및 데이터 보호 솔루션 제공’을 목표로, 개인정보 및 데이터 보호 솔루션 ‘필터 시리즈’를 개발·공급하고 있다. 필터 시리즈는 △PC DLP 및 개인정보보호 솔루션 ‘피씨필터(PCFILTER)’ △개인정보 및 불건전 게시물 필터링 솔루션 ‘웹필터(WEBFILTER)’ △서버 개인정보 진단 솔루션 ‘서버필터(SERVERFILTER)’ △개인정보 비식별화 솔루션 ‘아이디필터(IDFILTER)’ △인공지능 기반 데이터 보호 솔루션 ‘AI필터(AIFILTER)’로 구성됐다. 이를 통해 PC, 서버, 웹사이트 등을 아우르는 개인정보보호 체계를 구축할 수 있으며, 안전한 데이터 활용을 위한 체계도 구현할 수 있다.

컴트루테크놀로지‘셜록홈즈 시리즈’는 자체 개발한 AI OCR 신경망을 적용한 개인정보보호 검출 및 후처리 솔루션이다. AI OCR 신경망을 자체 개발했기 때문에 상대적으로 넓은 분야에 연동이 가능하다. 최근 기술의 발전으로, 개인정보가 저장된 서버·매체 등이 많아지며 다양한 채널의 개인정보보호를 원하는 목소리가 커지고 있다. 이런 상황에서 컴트루테크놀로지는 자체 개발한 AI OCR 신경망을 활용해 PC·웹서버·파일서버를 포함해 DMZ, 온-나라, ERP, 이메일 시스템 등 다양한 분야에 개인정보보호 솔루션을 접목할 수 있다. 또한 내부 R&D 인력의 지속적 신경망 업그레이드로, 더 우수한 알고리즘 개발 시 해당 기능으로 업그레이드까지 가능하다.

파수‘파수 데이터 레이더(Fasoo Data Radar, FDR)’는 데이터 식별 및 분류 솔루션으로 Windows, Mac, 파일서버 등 모든 저장소의 데이터 보유 현황을 파악하고 자동 분류한다. 개인정보와 같은 민감정보를 실시간 검출하고 암호화/분류/격리하거나 일정 기간 후 권한 회수 및 파기할 수 있는 다양한 후처리 기능을 제공해 개인정보 관리 컴플라이언스 대응 등에 많이 활용되고있다. ‘AI-R Privacy(AI Radar Privacy)’는 비정형 파일에 포함된 개인정보를 검출 및 마스킹하는 솔루션으로, AI 기반의 자연어 처리(NLP) 기술과 광학식 문자판독장치(OCR) 기술, 파수 자체 딥러닝 기술을 활용해 머신러닝 평가지표(F1 Score) 93.1%를 기록하는 등 뛰어난 개인정보 검출 정확도를 자랑한다.

피앤피시큐어의 개인정보 접속기록 관리 솔루션인 ‘INFOSAFER’는 WAS를 통해 접속하는 업무 사용자와 개인정보처리시스템(DB)에 다양한 경로로 직접 접속해 개인정보를 조회/사용한 기록을 로깅하고, 실시간 모니터링 및 관리한다. INFOSAFER는 WAS 등 3tier 환경에서의 정보 조회 시, 여러 패턴으로 개인정보 조회 여부를 모니터링하며, 확인된 개인정보는 소명 시스템을 통해 사용자에게 소명을 요구할 수 있고, 소명 데이터를 승인/결재해 관리할 수 있다. DBSAFER와 함께 사용할 경우, 2tier 접속자(DB 직접 접속자) 로그 연동을 통해 INFOSAFER에서 통합 관리 및 모니터링이 가능하다.

하이젠이 공급하는 ‘스톤플라이(Secure Storage)’는 언제 어디서나 사용 가능한 시큐어 스토리지 솔루션을 제공해 일반적인 SAN, NAS 스토리지 기능 및 데이터 삭제 방지 및 Air-Gap 백업 기술을 적용함으로써 랜섬웨어와 악의적인 공격으로부터 데이터를 보호하고 복구하는 보안 스토리지다.

현장에서 발생하는 개인정보 이슈의 절반은 ‘관리 실수’
개인정보와 관련된 사건·사고가 연이어 발생하고 이에 대응하기 위한 개인정보보호법 및 시행령이 계속 개정되면서 개인정보보호 솔루션 기업은 물론 개인정보보호 담당자들도 촉각을 곤두세우고 있다. 특히 기업과 기관의 고객 및 회원 개인정보 이슈에서 최근 내부 임직원 개인정보 이슈로 옮겨가면서 더욱 고민이 깊어가고 있는 상황이다.

▲개인정보보호 솔루션 인식 설문조사[자료=보안뉴스]


이와 관련 <보안뉴스>와 <시큐리티월드>는 2024년 5월 14일부터 17일까지 4일간 약 10만여명의 보안 담당자에게 ‘개인정보보호 솔루션 인식 및 선호도 조사’를 실시했다. 이번 설문조사에는 공공(32.3%)과 민간(67.7%)의 보안 담당자 2,261명이 답했다.

우선 생각보다 응답자들이 보유한 개인정보가 많았다. 1명~1만명의 개인정보를 보유한 응답자가 39.4%로 1등이었지만, 100만명 이상의 개인정보를 보유한 응답자도 26.1%로 2위에 올랐다. 이어 1만~5만명 미만이 13.3%, 30만~100만명 미만이 7.9%, 5만~10만명 미만이 7.5%, 10만~30만명 미만이 5.8%로 뒤를 이었다.

이어 이들에게 개인정보의 유출·노출 사고를 당한 적이 있는지 물어봤다. 상당수가 없다(79.6%)고 답했지만, 20.4%는 사고를 당한 경험이 있다고 답했다. 주목할 점은 해당 사고에서 원인으로 꼽힌 것이 내부 관리상 실수(51.7%)가 압도적으로 많았던 점이었다. 외부 해킹(28.8%)과 내부자 유출(19.5%) 등을 합해도 관리상 실수가 더 많았다.

▲개인정보보호 솔루션 인식 설문조사[자료=보안뉴스]


그렇다면 보안 담당자들이 개인정보보호를 위해 사용하는 솔루션은 무엇일까? 복수 선택이 가능한 답변에서 가장 많은 선택을 받은 것은 개인정보 암호화(61.5%)였다. 이어 DLP(정보유출방지) 43.8%, 개인정보 접속기록관리 39.8%, 개인정보 데이터 관리(검출, 격리, 삭제) 38.9%, DRM(디지털권리관리) 24.8%, 개인정보 비식별화(18.6%), 이미지 스캔 OCR 8.4%, 명의도용 차단 3.5%, 기타 1.3% 순으로 선택받았다.

이어 앞으로 추가하고 싶은 개인정보보호 솔루션을 물어봤다. 응답자들이 가장 추가하고 싶은 솔루션(복수 선택)은 개인정보 데이터 관리(검출, 격리, 삭제)로 32.7%의 선택을 받았다. 이어 개인정보 접속기록관리 26.1%, 개인정보 비식별화 25.7%, DLP 23.5%, 개인정보 암호화 19.9%, 이미지 스캔 OCR 19.9%, DRM 16.8%, 명의도용 차단 12.8%, 기타 2.2% 순으로 나왔다.

개인정보보호 솔루션, 성장의 모멘텀 보여
2011년 개인정보보호법이 제정되면서 규제를 준수하기 위한 방편으로 본격적인 성장의 길을 걸어온 개인정보보호 솔루션은 컴플라이언스와의 연계를 바탕으로 움직이고 있는 것이 사실이다. 게다가 개인정보의 중요성이 부각되고 반대로 개인정보 활용의 중요성도 함께 떠오르면서 개인정보보호 솔루션에 대한 니즈도 폭발적으로 늘어나고 있다.

하지만 근본적으로 개인정보보호 솔루션은 말 그대로 개인정보를 보호하기 위한 솔루션이다. 다른 데이터와 달리 개인정보는 유출될 경우 다양한 문제가 발생할 수도 있고, 특히 생체정보처럼 바꿀 수 없는 고유의 개인정보도 있기 때문에 그 어떤 데이터보다도 중요하게 생각하고 보호해야 할 대상이라 할 수 있다. 데이터 활용 사회의 기본은 데이터, 더 나아가 개인정보가 보호되는 환경에서만 가능한 일이기 때문이다.

때문에 전 세계적으로 개인정보를 잘 보호하면서도 잘 활용할 수 있는 방법에 대한 고민이 끊이지 않았고, 이후 EU GDPR이나 미국 캘리포니아주 소비자 개인정보보호법 등이 연이어 나오면서 개인정보보호와 관리에 대한 기틀을 마련했다. 그리고 이번에 우리나라 개인정보보호법과 시행령도 잘 정비가 됐다.

이렇게 개인정보보호 솔루션이 다시금 한 단계 성장할 수 있는 발판이 마련됐다. 개인정보보호와 활용을 위한 컴플라이언스가 정비된 가운데 개인정보의 중요성을 공공기관과 민간기업 모두 무겁게 느끼고 있다. 기관과 기업의 보안전문가들 역시 개인정보보호를 위해 새로운 개인정보보호 솔루션 도입을 고민하는 등 성장의 모멘텀을 보여주고 있다.

[자료=안랩]


[개인정보보호 솔루션 집중분석-1]
민감정보 노출 차단, 접속기록 관리, 데이터 암호화 등 통합 데이터 보안 서비스 제공
안랩의 AhnLab Data Security, 개인정보 보호를 SaaS로 간편하고 안전하게


AhnLab Data Security는 민감정보 노출 차단(AhnLab Privacy Filter for Web), 개인정보 접속기록 관리(AhnLab Access Log Manager), 데이터 및 데이터베이스 암호화(AhnLab Data Encryption) 등 서비스형 소프트웨어(Software-as-a-Service, SaaS) 중심의 통합 개인정보 보호 제품군이다. AhnLab Data Security는 고객들로 하여금 강력한 개인정보 보호 체계를 편리하게 구현할 수 있도록 하며, 관련 컴플라이언스 역시 효과적으로 준수할 수 있도록 한다.

민감정보 노출 및 비속어 차단 최적화 ‘AhnLab Privacy Filter for Web’
AhnLab Privacy Filter for Web은 클라우드 환경에 최적화된 대외 서비스 개인정보 노출 방지 및 비속어 차단을 수행하는 솔루션이다. 대외 서비스에 사용되는 게시물 및 첨부파일에 개인정보 혹은 금칙어가 포함되어 있는지 여부를 탐지하며, 설정에 따라 각 개인정보 및 금칙어에 대한 등록 차단 혹은 마스킹 처리도 가능하다. 이를 통해, 각 기업 및 기관 환경의 특수성을 고려하여 개인정보 노출을 방지할 수 있다.

개인정보 접속기록 관리 ‘AhnLab Access Log Manager’
AhnLab Access Log Manager는 개인정보에 대한 접근 이력을 기록, 불법적인 접근 혹은 개인정보 오남용 가능성을 최소화하며, 이슈 발생 시 빠른 대응을 수행할 수 있는 원동력이 된다. 관련 법령에 따라, 육하원칙(5W1H) 형태의 기록을 남기며, 생성된 접속 기록은 위·변조 및 도난·분실에 대비해 격리 스토리지에 안전하게 보관된다. 또한, 별도 보고서 제공 및 접속기록 내려받기를 지원해 컴플라이언스, 행정 감사 등에 효과적으로 대응할 수 있도록 한다.

암호화로 구현하는 강력한 데이터 보안 ‘AhnLab Data Encryption’
AhnLab Data Encryption은 데이터 및 데이터베이스 암호화를 통해 중요 데이터가 외부에 유출되더라도 개인정보를 이용할 수 없도록 안전하게 보호한다. 별도 개발 및 수정을 최소화하는 암호화 방식을 통해 쉽고 빠르게 데이터 암호화를 적용할 수 있으며, 반복 작업 및 담당자 변경 등으로 인해 누락될 수 있는 보안 코딩을 자동화해 효율성을 강화한다

[자료=데이티스바넷]


[개인정보보호 솔루션 집중분석-2]
주목받는 DB 개인정보 라이프사이클 관리과 테스트 데이터 변환 관리 솔루션
데이티스바넷, ‘DataGenor PDS’와 ‘DataGenor TDM’으로 개인정보 규제 대응


데이티스바넷은 공공과 일반기업을 상대로 개인정보보호 시스템 구축 및 유지보수 기업으로 성장하고 있으며, 개인정보보호 솔루션 분야에서 ‘DataGenor PDS’와 ‘DataGenor TDM’ 등으로 국내 정보보호 시장을 선도하고 있는 SW 전문기업이다. 지속적인 변화와 혁신을 추구하며 많은 고객사에서 신뢰받는 회사로 성장해 가고 있다. 최근 개인정보 라이프사이클 관리 솔루션에 많은 국내 기업들이 관심을 보이고 있다. 솔루션 도입 후 업무 효율을 획기적으로 개선해 고객 만족도가 매우 높은 제품으로 선보이고 있다. 엄격한 규제에 철저하게 대응하기 위한 IT컴플라이언스의 중요성이 더욱 커졌다.

복잡한 분리보관 및 파기를 손쉽게! DataGenor PDS
‘DataGenor PDS’는 엔터프라이즈 시스템에 분산 저장되어 있는 개인정보의 분리보관과 파기를 자동화하기 위한 솔루션이다. 기관이나 기업이 직면한 개인정보 파기의 어려움을 ‘DataGenor PDS’가 풀어줄 것으로 기대한다. 관련 규제가 강화되면서 해지 등 수집 목적이 달성된 개인정보를 파기나 분리보관 하는데 사용된다. 법령에 따르면 개인정보 보호법 제21조 개인정보 파기, 신용정보법 제20조의 2(개인신용정보의 보유기간) 등의 국내법과 유럽 GDPR 본문제 5조(Storage limitaion), 제17조(Right to erasure)에 대응할 수 있다. 또한 2015년 개인정보 보호법 개정으로 개인정보 파기 조항에 탁월하게 대응할 수 있도록 설계됐다.

이 제품은 이기종 DB 간 분리보관 및 복원을 지원한다. 분산된 DB 내의 개인에 대한 거래종료 여부를 In Memory DB에서 고속으로 선정한다. 고유의 주제영역 관리 기법을 통해 테이블 별 SQL을 자동으로 생성하므로 개발 및 유지보수 비용을 절감할 수 있다.

안정적인 처리를 위해 검증 후 삭제해 오류 발생 시 재작업이 가능하다. 또한, 임의의 Key로 데이터 복원, 분리보관 데이터 완전파기, 결재 프로세스, 내장 스케줄러, 개인정보 검출, 감사보고서 및 통합 모니터링, 업무Key 추출 SQL 관리 등 다양한 기능을 WEB 관리콘솔을 통해 제공한다.

민감한 정보를 가상의 데이터로 손쉽게 변환! DataGenor TDM
‘DataGenor TDM’은 국내 시장 점유율 1위의 테스트데이터 변환 솔루션으로 운영데이터를 추출해 개인정보만 가상데이터로 변환한 후 테스트 DB에 고속으로 이관해 개인정보 유출 위험이 없는 안전한 테스트 데이터를 신속하게 구축할 수 있게 한다. 또한 전자금융감독규정, 정보보호관리체계(ISMS) 인증 등 테스트 데이터에 대한 개인정보보호 규제에 완벽하게 대응할 수 있다. 통합테스트 등 필요 시 대용량의 운영 데이터를 몇 번의 클릭만으로 쉽게 테스트 환경으로 이관할 수 있어 기업 내 소프트웨어의 품질 향상 및 운영 효율을 개선해 준다. 뛰어난 성능과 관리의 편리성 및 접근성이 좋은 웹 기반 인터페이스를 토대로 많은 고객사에서 만족하며 사용하고 있다.

이 제품은 20여 가지 다양한 DBMS와 이기종 DB간 데이터 이관을 지원한다. 데이터 이관 시 추출과 변환, 적재를 동시에 처리해 대용량 데이터를 고속으로 전송한다. 개인정보 변환 시 고유의 데이터 형식과 길이가 유지되며 RI 관계를 보장한다. 개인정보가 저장된 컬럼 검출변환정책관리, 암호화된 데이터 변환, 변환작업 사전결재, 내장스케줄러, 감사보고서 및 실시간 작업 모니터링 등 다양한 관리 기능을 제공한다. On premise 환경의 RDBMS 외에도 AWS, Google, MS Azure 등 CLOUD DB 확장팩과 KUDU/Impala, HiveSQL 등 빅데이터 플랫폼 확장팩을 통하여 통합관리가 가능하다.

DB보안에 전문화된 솔루션을 갖춘 ‘DATISBANET’
데이티스바넷은 금융, 공공 및 일반기업에 당면한 개인정보 관리에 대한 어려움을 해결해 주고자 하는 DB 개인정보 보호 솔루션 전문 업체다. 데이티스바넷은 솔루션에 기반해 개인정보보호법, 신용정보법 그리고 유럽 개인정보보호법(GDPR)에 맞춰 이에 대응하고 데이터 거버넌스 체계 수립을 지원하기 위한 DB솔루션 제품군 DataGenor 시리즈를 선 보이고 있다.

앞서 설명한 2015년 개인정보보호법 개정으로 급부상한 개인정보 파기 조항에 대응하기 위해 개인정보 분리보관과 파기, 복원 라이프사이클 관리를 자동화해 주는 ‘DataGenor PDS’, 시장 점유율 1위로 운영데이터의 민감 정보만 실데이터 형식으로 변환해 테스트 시스템에 고속으로 이관해 운영과 같은 수준의 안전한 테스트 데이터를 구축해 주는 ‘DataGenor TDM’, 데이터 수명 주기에 따라 보관 방식을 다르게해 인프라 비용 절감에 필수적인 ‘DataGenor ILM’ 그리고 DB원장변경 사전 승인과 감사를 위한 Web 기반의 데이터 변경 솔루션 ‘DBinside’도 소개하고 있다.

급변하는 4차 산업혁명 시대에 맞춰 발돋움하는 데이티스바넷은 정보보안 솔루션 분야에서 자체적인 솔루션을 통해 국내 정보보안 시장을 선도할 것으로 보인다.

[이미지=시큐어링크]


[개인정보보호 솔루션 집중분석-3]
기존 방식으로는 대응이 어려운 보안 환경을 이제 통합 AI 솔루션으로 모두 해결
시큐어링크, AI 개인정보보호 통합관리 솔루션 SPK 서버필터 출시


데이터 폭증과 디지털화 기술 발전으로 개인정보는 더 많은 형태로 수집, 저장되며 최근에는 정보공개와 비대면서비스의 증가로 개인정보 관리의 중요성이 커지고 있다. 초기에는 텍스트기반의 개인정보보호 제품들이 있었으며 근래에는 이미지OCR을 이용한 개인정보보호 기술들이 소개되고 있다. 시큐어링크는 자체 AI딥러닝 기술을 탑재한 AI-OCR기술로 기존에 있었던 한계와 단점을 모두 해결할 수 있는 개인정보보호 AI 통합솔루션을 출시하여 기존 업계에 새 변혁을 일으키고 있다.

SPK 개인정보 서버필터: 고객 데이터 안전을 선도하는 차세대 패러다임 창출
AI 딥러닝 기술이 도입된 개인정보 보호 서비스가 혁신을 이루고 있다. 최신 기술을 활용함으로써 서비스의 성능이 크게 향상되고 있고, 특히 이미지 OCR 기술을 활용해 복잡한 문서의 개인정보를 신속하게 식별할 수 있게 됐다. 이를 통해 통합 제어 관리 시스템의 보안 정책을 더욱 강화하고 있다. 기업들은 신기술의 AI 모델을 적용해 더욱 고성능, 고효율의 시스템을 원하고 있고, 많은 보안 업체들도 변혁의 디지털 시대 보안 요구에 적극 대응하는 등의 노력을 하고 있는 상황이다. 시큐어링크는 그동안 축적된 개인정보보호 통합 솔루션에 자체 개발한 AI 모듈을 탑재시켜 혁신적인 시대 요구에 선도적으로 대응할 수 있게 됐다. 이번 출시 제품은 서버에 API로 제공되는 인터페이스 구성 방식과 에이전트를 각 대상 서버에 설치해 강력하고 경량화된 에이전트 엔진을 가동해 효율적으로 개인정보의 문서나 이미지를 검색 및 관리하는 하이브리드 방식이다. 이를 통해 사이버 위협과 정보 유출로부터 더욱 강력한 보호를 받아 기업과 개인 고객 모두 신뢰와 명예 안전을 최상으로 유지하도록 지원한다.

획기적인 혁신 기술로 더욱 강력해진 개인정보보호 시스템
시큐어링크는 장기간 학습되고 진화한 딥러닝 AI 기술을 채용해 새롭게 개발·출시한 제품으로 국내 개인정보 및 데이터 보호 기술 시장에서 새로운 이정표를 세웠다. 이번에 선보인 제품은 대용량 서버 환경에서 다양한 문서 및 이미지 파일 포맷을 지원하며, 한글 문서, Office 문서, 압축 파일, PDF 파일 등에서 이미지 내부의 개인정보를 정확하고 신속하게 추출할 수 있는 기능을 갖췄다. 특히 AI 기반의 고성능 이미지 처리 기술을 통해 이미지 파일 내 개인정보를 검출하는 것은 물론, 사용자의 필요에 따라 정보를 마스킹하거나 언마스킹 할 수 있는 기능을 제공해 개인정보 보호는 물론, 필요에 따른 정보 접근성도 강화했다.

또한 사용자가 직접 패턴과 키워드를 설정할 수 있도록 더욱 세밀하고 효율적인 데이터 관리가 가능하며, 다양한 설정과 통계를 제공해 관리자가 데이터 보안을 강화할 수 있는 효과적인 도구가 되어 준다.

시큐어링크는 그동안 오랜 시간의 AI 툴킷 개발 노력으로 2023년 글로벌 AI 보안 컨퍼런스의 AI+ SECURITY 행사에서 과기정통부 대상을 차지해 그 기술력을 검증받았고, 이번 출시 제품의 국내 최고 수준의 신속 정확한 성능을 토대로 기업의 민감한 정보를 안전하게 처리할 수 있도록 지원하는 혁신적인 통합 AI 방식으로 업계에 새로운 패러다임을 제시할 것이다.

[자료=지란지교데이터]


[개인정보보호 솔루션 집중분석-4]
AI 기술 적용으로 개인정보 탐지 및 보호 체계 확장
지란지교데이터, ‘AI필터’ 기반 데이터 시너지 전략으로 개인정보 보호 고도화


데이터 보호 전문 기업 지란지교데이터(대표 유병완)가 인공지능 기반 데이터 필터 솔루션 ‘AI필터(AIFILTER)’를 기반으로 ‘필터’ 시리즈 간 연계를 강화하는 데이터 시너지 전략을 수립, 추진한다고 밝혔다. PC, 서버, 홈페이지 등 다양한 영역에 인공지능 기반 개인정보 보호 기술을 연동해 보호 체계를 더욱 고도화할 수 있도록 지원한다는 것이 핵심이다.

개인정보 보호 체계 고도화하는 데이터 시너지 전략
‘데이터 시너지 전략’은 지란지교데이터의 데이터 보호 제품군 ‘필터’ 시리즈 간 연계와 상호작용을 강화해 데이터 보호 체계를 더욱 공고히 한다는 게 핵심이다. 데이터 시너지 전략의 기틀은 ‘AI필터’로, 지란지교데이터는 제품 간 연계 및 상호작용할 수 있도록 고도화하는 작업을 추진하고 있다.

‘AI필터’ 기반의 데이터 시너지 전략을 구현하면, PC·서버·홈페이지 등 다양한 영역에서 인공지능 기술을 기반으로 데이터 분석 및 보호 체계를 강화할 수 있다. ‘AI필터’의 인공지능 기술을 활용해 이미지, 영상, 텍스트 등 비정형 데이터 내 개인정보 및 기밀정보 탐지율 및 정확도를 높일 수 있다는 설명이다.

지란지교데이터는 향후 데이터 시너지 전략을 더욱 강화한다는 계획이다. ‘AI필터’ 외에도 피씨필터, 웹필터, 서버필터 등 필터 시리즈 간의 시너지를 통해 확장된 데이터 보호 기능을 제공한다. 예를 들어 PC에서 기밀정보가 USB 매체로 복사되는 경우 ‘AI필터’의 인공지능 기술과 연계되어 더욱 강화된 콘텐츠 분석 및 유출 방지 기능을 적용하는 방식이다.

데이터 시너지 전략의 중심, ‘AI필터’
‘AI필터’는 인공지능 기술을 기반으로 이미지, 영상, 문서 등 비정형 데이터 내 개인정보 및 기밀정보를 검출해 마스킹 등 보호조치를 적용하는 인공지능 기반 데이터 필터 솔루션이다. ‘AI필터’는 OCR(광학 문자 인식), NER(개체명 인식) 등 인공지능 기반 기술을 활용해 비정형 데이터를 분석하고, 포함된 개인정보 및 기밀정보를 식별한다. 식별된 개인정보 및 기밀정보에 대해서는 마스킹, 암호화, 완전삭제 등 보호조치를 통해 안전하게 보호한다.

또 ‘AI필터’는 생성형 인공지능 서비스를 통한 정보 유출도 방지할 수 있는 기능을 제공한다. 생성형 인공지능 서비스에 대한 접속 제어부터 프롬프트 입력을 통한 정보 유출을 방지해, 개인정보 침해 없이 안전한 인공지능 서비스 활용 환경을 구현할 수 있도록 돕는다.

[자료=삼오씨엔에스]


[개인정보보호 솔루션 집중분석-5]
AI이상행위탐지 및 소명사유 관리까지 지원
삼오씨엔에스 파르고스 v3.0, 이용기관에서 직접 접속기록 점검관리 가능


개인정보보호위원회는 2024년 개정 시행중인 개인정보보호법 제29조 안전조치 의무 및 시행령 제30조 개인정보의 안전성 확보조치 기준에 따라 개인정보 접속기록 보관 및 점검 활동을 강화하고 있다. 삼오씨엔에스 파르고스 v3.0 제품은 고객사의 대내외 개인정보처리시스템에 적용되어 개인정보 접속기록관리 및 지능형 이상징후 관리시스템으로 활용되고 있다.

2022년 7월 공공부문 개인정보유출방지 대책부터는 고객사의 대내 개인정보처리시스템 외에 대외 개인정보처리시스템에도 안전성 확보조치 기준을 적용하고 있다. 최근 개정된 기준에는 내부직원 인사정보를 포함하는 정보보안 제품에도 접속기록의 보관 및 점검이 적용되도록 하고 있다.

파르고스 제품은 2023년 9월 시행되고 있는 개인정보의 안전성 확보조치 기준을 확고하게 지원하고 있다. 먼저 안전조치 추가사항으로 법 제29조 및 영 제30조에 따라 집중관리시스템(이하, 공공시스템) 제17조 접속기록의 보관 및 점검 활동 시행(2024.09.15) 예정으로 공공시스템 이용기관이 소관 개인정보취급자의 접속기록을 직접 점검관리 할 수 있는 기능을 제공하고 있다. 공공시스템에 접속한 자의 접속기록을 자동화된 방식으로 분석해 불법적인 개인정보 유출 및 오남용 시도를 탐지하고, 그 내용에 대해 사유 소명 등 필요한 조치를 이행하는 기능이 구현되어 있다.

파르고스 제품은 2020년 11월부터 2021년 12월말까지 서울시에서 지능형 개인정보 접속기록관리 및 안전성 확보조치 고시 이행점검시스템 실증 사업을 성공적으로 마무리했다. 제품은 AI딥러닝 분석 기능으로 지도학습 및 비지도학습 알고리즘을 적용했다.

또한, 취급자의 여러 행동 패턴 탐지를 위한 분석기능으로 접속계정, 접속시간, 수행업무 등에 대해 룰 분석 기능이 포함되어 있다. 2023년 9월 개정 시행되는 개인정보위의 안전성 확보조치 기준 준수를 위해 파르고스 v3.0은 △접속기록 관리 △이상행위 탐지 △소명처리 관리 기능이 되도록 개인정보 통합관제시스템에 활용하고 있다. 이 기능을 통해 공공기관 개인정보 관리수준 진단 계획 중 ‘신기술 환경에서의 데이터의 안전한 활용 및 안전조치 적절성’에 대해 최대 10점의 가점을 받을 수 있다.

파르고스 제품은 접속기록의 생성시 업무시스템의 부하를 최소화하고 다양한 개인정보 유형정보 혹은 정보주체정보 중 ID와 같이 최소 수집 기술, 월 1,000만건 이상 접속기록 및 취급자 50만명 고객사에 적용된 빅데이터 플랫폼으로 분산병렬처리 관리하고 있다.

또한 개인정보취급자에 대한 접근권한 관리 및 접근권한 관리대장 기능을 제공한다. 제품에서 제공하는 API모듈을 활용하게 되면 취급자의 인사정보 연동, 다운로드 사유 연계 건도 손쉽게 파르고스를 활용 관리할 수 있다.

파르고스 제품으로 대내 개인정보처리시스템 접속기록관리 및 점검 활동 중인 한국수력원자력은 차세대 ERP시스템, SAP시스템을 통합관리하고 있다. 제품 구성은 물리적인 서버 장비 3대로 분산병렬처리하고, AI분석 서버 장비로 구성하여, 20여개 이상의 내부 업무시스템에서 접속기록 수집, 인사정보, 다운로드 사유 등을 연계하고 있다. 업무시스템의 개인정보 관리자는 파르고스 제품에 접근해서 이상행위 탐지를 위해 일간/주간/월간 등 수시로 점검 활동을 진행하고, 사유를 소명할 경우 사내 메일로 소명처리 점검활동을 하고 있다. 파르고스 제품의 △접속기록 생성·수집 기능 △검색엔진이 탑재된 빅데이터 플랫폼 기능 △이상행위 탐지를 위한 룰/패턴/AI분석 기능 △hwpx를 지원하는 보고서 기능 △소명관리 기능을 모두 사용하고 있다.

파르고스 제품으로 업무시스템에 접근권한 관리 연계를 사용 중인 서울신용보증재단은 파르고스의 접근권한 신청(변경)서, 휴·퇴직자 정보, 부서 정보, 취급권한 만료일 등을 추가하여 점검 관리중이다.

또 다른 고객사는 파르고스의 개인정보처리시스템 화면별 CRUD를 관리 기능까지 연계를 추진하고 있고, 다운로드 확인시 URL로 표기되어 식별을 손쉽게 할 수 있도록 메뉴명을 업로드하는 기능까지 제공하고 있다.

삼오씨엔에스 김현철 대표는 공공기관 고객사는 “공공시스템의 운영기관 관리자, 이용기관 관리자가 접속기록 점검 관리를 파르고스 기능으로 손쉽게 관리할 수 있어 만족감을 표하고 있다”고 했다.

삼오씨엔에스는 올 하반기에 공공시스템을 사용 중인 여러 정부부처에 납품 설치 일정이 예정되어 있다.

[이미지=위즈코리아]


[개인정보보호 솔루션 집중분석-6]
공공시스템 접속기록의 사유 관리 위한 통합 소명 관리 솔루션에 대한 관심 필요
위즈코리아, 개인정보의 안전한 보호를 위한 접속기록 1위 전문가의 제언


2024년 현재 국민의 개인정보가 안전하게 관리되고 있을까? 유감스럽지만 우리는 오늘도 뉴스에서 개인정보 유출사고에 대한 기사를 접하고 있다. 공공기관, 법인 등 개인정보취급자의 부주의 혹은 과실로 인한 대량의 개인정보 유출사고가 발생하고 이렇게 유출된 개인정보가 2차 범죄에 악용되어 국민의 불안이 가중되고 있다. 2023년 개인정보보호법이 강화되면서 개인정보 유출사고 발생 시 과징금 상한이 높아졌고, 개인정보취급자의 소명이 필수가 된 만큼, 자연스럽게 개인정보 접속기록 관리 솔루션뿐만 아니라 통합 소명 관리 솔루션에 대한 관심도 높아지고 있다.

개인정보 접속기록의 법규가 강화된 히스토리를 보면, 2018년 서대문구 유권자 정보 유출 사건이 기사화된 이후 2019년에 개인정보의 안전성 확보조치 기준이 강화된다. 이때부터 정보주체 정보(누구)를 포함해 접속기록을 5가지 항목으로 기록되게 되었고, 개인정보 다운로드시 사유확인, 접속기록의 보관 기간이 최대 2년으로 확대됐다. 이어 2019년 n번방 사건, 2021년 송파구 세모녀 살인사건이 사회적인 이슈가 됐고, 2022년에 개인정보보호위원회에서 공공부문 개인정보 유출 방지대책을 발표하고, 2023년 개인정보보호법, 개인정보보호 시행령이 강화, 개인정보의 기술적·관리적 보호조치 기준과 개인정보의 안전성 확보조치 기준이 통폐합됐다. 강화된 개인정보의 안전성 확보조치 기준에서는 접속기록과 다운로드 사유관리 이외에 공공시스템 운영기관 특례도 신설(제3장 제14조~17조)됐다. 올해 2024년에는 공공기관 관리수준 진단에서 보호수준 평가로 강화되면서 대상기관은 1,600여개로 2배로 확대됐고, 제재조치에 대한 기준도 마련되어 미준수 기관에 과태료를 부과할 수 있게 되었다.

개인정보 접속기록 관리의 핵심
접속기록 생성의 첫 번째 기본원칙은 누가(식별자), 누구의(처리한 정보주체 정보), 언제(접속일시), 어디서(접속지 정보), 업무내역(수행업무), 조회된 사람의 명수 등 개인정보처리시스템에 접속해 수행한 모든 업무내역이 기록돼야 한다. 두 번째 기본원칙은 유실 및 누락되지 않도록 기록돼야 한다. NW 방식은 서버에 부하가 발생하거나 트래픽 증가에 따른 처리속도 문제 발생시에 유실이 발생할 수 있으며 유실이 발생하더라도 확인이 불가능하게 된다. 따라서 개인정보 접속기록 관리 솔루션 도입 시 혹은 도입된 솔루션에서 두 가지 원칙을 준수할 수 있는지가 중요하다.

직접 생성하는 접속기록의 다운로드 사유 관리(개인정보의 안전성 확보조치 기준 제2장 제8조 2항)와 공공시스템에서 소명 등 필요한 조치(개인정보의 안전성 확보조치 기준 제3장 제17조 1항)에 따라 개인정보취급자는 자신의 행위를 확인하고 위험성을 인지해 자신의 행위를 스스로 소명할 수 있는 보안체계가 필요하다. 때문에 개인정보 취급자가 직접 사유를 작성하고 부서의 책임자 혹은 시스템의 운영자가 사유가 적정한지 판정하는 자동화된 통합 소명 관리 시스템을 도입해야 한다. 특히 공공시스템 접속기록은 이용기관에서 점검을 수행해야 한다. 접속기록을 관리하는 부서가 개인정보담당자와 다른 경우에는 접속기록의 점검과 적정한 사유관리가 어려워지고 업무 부하가 발생하게 된다. 따라서 통합 소명 관리 솔루션을 도입하여 공공시스템 접속기록의 사유도 효율적으로 운영할 수 있다.

[이미지=피앤피시큐어]


[개인정보보호 솔루션 집중분석-7]
‘이상행위 탐지’와 ‘소명 관리’를 통한 안전한 개인정보보호
피앤피시큐어, ‘INFOSAFER’를 통한 안전한 개인정보보호


개인정보 유출 사고는 유출 자체도 문제지만, 2차 피해로 이어질 수 있는 위험성이 크기 때문에 개인정보보호에 대한 중요성은 IT 서비스가 고도화됨에 따라 관련 법규 또한 계속 강화되고 있다. 2022년 한국인터넷진흥원 자료에 따르면 개인정보 유출 사고의 약 66%가 안전조치 소홀로 발생했고, 그외 유출 통지, 미파기, 동의, 열람 등의 순으로 확인됐다.

이상행위 탐지와 소명관리
개인정보 접속기록은 라이프 사이클인 자산식별, 접속기록 생성, 이상행위탐지, 소명 처리, 통합 감사 5단계에 따른 라이프 사이클을 기본으로 충실히 그 역할을 수행해야 한다. 만일, 전체 라이프 사이클 중 하나라도 미진할 경우 개인정보의 완벽한 보호조치는 기대하기 어려우며, 지속적으로 강화되고 있는 개인정보보호 컴플라이언스의 필요조건을 만족시킬 수 없는 불완전한 시스템으로 비용은 지출이 되었으나, 오히려 관리자의 투입 리소스는 증가하는 기형적인 상황을 초래할 수 있다.

이러한 관리 사이클에서 특히 중요한 부분은 ‘이상행위 탐지’와 ‘소명 관리’다. 앞서 말한 ‘자산식별’, ‘접속기록 생성’, ‘통합 감사’에서 개인정보 자산이 어디에 산재해 있는지 파악하고, 다양한 업무시스템 환경에 맞춰 접속기록을 생성하고, 서로 다른 형태의 로그를 통합해 감사해야 한다. 하지만 이는 유출을 방지하기에는 충분하지 않다. 해당 내용은 개인정보보호 담당자 뿐만 아니라, 개인정보를 유출하려는 사람도 모두 아는 내용이기 때문이다.

그렇다면 우리는 우리의 개인정보와 중요 정보자산을 보호하기 위해 어떠한 무기를 가지고 있어야 할까? 개인정보 취급자의 발자취를 모두 파악하고 감시해야 한다. 평소에 얼만큼의 정보를 취급하는지, 월말에 더 많은 정보를 취급하는지, 어떠한 시간대에 더 많은 정보를 취급하는지와 같은 개인의 프로파일링 정보가 바로 그 열쇠다. 월평균 100건 정도의 개인정보를 취급하던 사람이 10만건의 데이터를 보았다면 이상한 징후로 볼 수 있을 것이다.

하지만 수동으로 이상징후를 감시하는 것에는 한계가 있다. 예를 들어 1만건의 데이터를 유출하더라도 100건씩 100일에 걸쳐 유출하는 등 점점 더 지능적인 방법으로 진화하고 있기 때문이다. 유출하는 양이 임계치보다 낮기 때문에 쉽게 알아채기 어려운 부분이다.

이러한 위험에 대응하기 위해 INFOSAFER의 위험탐지 기능을 활용할 수 있다. ‘자산식별’과 ‘접속기록 생성’ 단계를 지나고 나면, 감사가 필요한 업무에서 이루어지는 개인정보 유통은 모두 INFOSAFER에 기록된다. 생성된 접속기록 데이터는 INFOSAFER 빅데이터 분석을 통해 업무별, 사용자별, 부서별 등 각종 키워드를 기준으로 분류되며 임계치를 추천해준다. 수많은 개인정보 처리 시스템을 관리하는 보안 담당자 입장에서 가장 어렵고 까다로운 절차를 INFOSAFER를 통해 손쉽게 해결할 수 있다. A업무에서 개인정보를 과도하게 조회하고 있지 않는지, B사용자의 6개월간 데이터 사용 추이를 봤을 때 이상징후가 있는지, C부서에서 불필요하게 개인정보가 더 많이 조회되고 있지 않는지 등을 파악해 개인정보 보호 오남용을 사전에 방지할 수 있다.

INFOSAFER의 이상행위 탐지 데이터와 분석결과를 통해 ‘소명 관리’를 진행하고, 조직에 따라 소명 내역에 대한 결재까지 이어지게 된다. 개인정보 취급자의 조회 행위, 또는 악의적인 유출이나 오남용 시도에 대해 ‘소명하라’는 알람이 전달되었을 때, 본인의 행위가 모두 기록되고 있다는 것을 인지하게 된다. 이후 개인정보 사용에 대한 경각심과 보안의식 고취는 자연스럽게 따라오게 될 것이다.

도입사례, A기관
A기관은 정부 중앙부처로 대국민 서비스를 제공하며 5천만 국민의 개인정보를 취급하고 있으며, 안전한 개인정보 보호를 위해 INFOSAFER를 도입했다. 다양한 보안 솔루션을 통해 개인정보 보호에 앞장서고 있는 A기관이었지만, 접근 차단/통제를 통해 해결하지 못한 숙제가 바로 개인정보 접속기록이었다. A기관의 업무 특성상 주요 업무는 본부에서 서비스를 제공하지만, 실제 이용자는 A기관 본부 인력 뿐만이 아닌 각 기초지자체의 담당 공무원들이기 때문이었다. 매우 광범위한 지역과 부서에서 개인정보를 어떻게 취급하고 있는지 파악하기란 매우 어려운 일이었다.

하지만 INFOSAFER 도입을 통해 빅데이터 분석이 가능해졌고, 이상행위 탐지 기술을 통해 각 시도별, 부처별 개인정보 사용량 및 각 주요 담당 공무원들의 개인정보 사용량 등을 파악할 수 있게 되었다. 이를 통해 정부 대국민 서비스를 이용하는 5천만 국민의 개인정보를 취급하는 공무원들의 비정상적인 개인정보 조회 또는 다운로드 등의 행위를 파악하고 소명을 요청해 후속조치를 넘어서 선제적인 억제력을 발휘할 수 있게 되었다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)