세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
개인영상정보 보호 위한 기술적 필수요건 4가지
  |  입력 : 2016-12-24 11:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CCTV 영상정보 보안의 끝...데이터 암호화, 위변조 방지 등 기술적 필수요건

[보안뉴스= 장연태 우경정보기술 이사] 개인정보 중 영상의 중요성은 기존 텍스트 정보와 비슷하거나 그 우위에 있다. 다만 개인을 촬영한 영상이 개인정보가 되려면 개인을 특정할 수 있어야 한다. 장소, 시간, 소리, 주위 환경 등의 상황을 결합해 특정할 수 있다면 개인정보로 봐야 한다. 이런 의미에서 개인을 촬영한 영상은 개인 영상정보로 볼 수 있다. 개인정보보호법은 영상정보 처리기기에서 생성된 영상 중 개인 영상정보를 보호하고 있다.

지난 번에는 ‘영상정보 보안의 시작’이라는 부제를 통해 ‘CCTV 증가로 인한 개인 영상정보 유출 위협에 따른 사회적 문제점과 대책’에 대해서 알아봤다. 이번에는 기술적 필수요건에 대해서 ‘영상정보 보안의 끝’을 부제로 알아보도록 한다.


개인영상보호 기술
개인 영상정보는 텍스트 기반으로 수집되는 일반적인 개인정보와는 다르게 몇 가지 특징을 갖고 있다. 시각적 정보로 이해가 빠르고 인식성이 높아 전파력이 좋으며, 개인의 초성, 성별, 신체상의 특징, 행동습관 등이 기록된다는 점이다. 영상정보처리기기 설치 위치 및 촬영 각도, 촬영 내용 중의 배경 등과 결합해 개인의 사생활이 밀도 높게 노출될 수도 있다는 단점도 갖고 있다.

CCTV 영상에서 개인의 프라이버시를 침해할 수 있는 소지가 가장 큰 것은 얼굴 영상이다. 이에 영상감시 분야에서는 개인 식별이 되지 않도록 객체 검출(Human & Face Detection) 기술과 추적 기술을 적용해 불특정 다수 보행자의 얼굴 영역에 자동 추적 마스킹(Masking) 기법을 적용하고 있다. 또 긴급 상황에 따라 마스킹 해지 기법을 적용해 목표 추적 인물의 얼굴을 인지한 후, 자동 객체추적 기술로 프라이버시 보호 해제 영상을 생성할 수도 있다.

객체 검출 기술을 적용하면 영상 속 인물에 대해 일일이 수작업으로 모자이크 처리하던 기존 기술보다 작업시간을 크게 단축할 수 있다. CCTV 영상에서 인물의 객체 검출을 위해서는 보행자 검출 알고리즘과 얼굴인식 알고리즘을 동시에 사용해야 한다. 하지만 보행자 검출 알고리즘의 경우 CCTV 영상에서 보행자의 일부분이 나오거나 근거리 촬영된 경우 객체를 검출하지 못하는 경우가 발생할 수 있다. 얼굴인식 알고리즘의 경우 근거리 촬영보다 원거리 촬영 객체 검출이 더 어렵기 때문이다. 때문에 CCTV 영상에서의 객체 검출 기술은 보행자 검출 알고리즘과 얼굴인식 알고리즘을 동시에 사용해야 한다.

영상 데이터 암호화
일반적으로 CCTV는 ‘녹화→저장→전송→출력’의 순서로 작업을 진행하는데, 전송 시 암호화 전송방법이 사용되지 않는 경우가 많아 보안상 취약한 부분이 많다. 통신구간에 대한 암호화는 VPN(가상사설망 서비스)을 이용하면 전송구간 암호화가 가능하나 암호화 시 용량 증가에 따른 전송 트래픽 증가와 암·복호화 수행 시 성능 저하 등의 문제점이 있다.

현재 CCTV 시스템은 초당 30프레임의 고화질 영상을 인코딩, 전송, 저장하는데 자원 대부분을 활용하고 있다. 데이터 채널 보안을 위해서 설계된 SSL 암호는 CCTV와 서버에 처리 속도 저하, 대역폭 감소 등 부담을 가중할 수 있어 거의 사용하지 않고 있다.

이 때문에 최근 CCTV와 같은 비정형 데이터 수집 시스템 암호화와 관련한 시장의 요구사항이 증가하고 있다. 수집된 원본 영상 데이터에 대한 암호화를 통해 원본 데이터의 보안 강화와 원본 영상 데이터에 대한 접근통제도 강화되고 있다. 고화질 대용량의 영상파일 처리를 위해서는 고속의 암·복호화 기능이 전제돼야 하나 기존의 암호 알고리즘은 고화질 대용량의 영상데이터를 암호화하기 위해서는 효율성이 떨어지는 단점이 있다. 이를 위해 경량 암호화 모듈을 이용한 암호화 처리가 필요하다.

그러나 스트림 암호나 XOR(eXclusive OR, 배타적 논리합)과 같은 단순 연산으로는 고속의 암호화는 구현할 수 있지만 기존의 암호화 모듈 같은 암호 레벨은 보장할 수 없다. 하지만 최근에 기존의 암호 기법과 동일한 강도를 가지면서 속도는 3배 이상 빠른 경량 암호화 모듈이 개발되고 있다. 경량 암호화 모듈은 기존 암호화 모듈과 같은 키 길이를 사용함으로 동일 레벨의 보안을 제공하면서 알고리즘 단순화로 기존의 DES와 AES 알고리즘보다 3배 정도 속도가 빠르다.

영상 위변조 방지기술
매년 증가하는 영상정보의 위변조로 인한 사건사고에 대비한 영상 데이터 위변조의 경우 영상 데이터 무결성을 검증할 수 있어야 하고, 무결성 위반이 탐지되면 경보가 전달돼야 한다. 영상정보에는 무결성 검증을 위해 일반적으로 워터마크(Watermark) 기술을 적용한다. 워터마크란 지폐나 컴퓨터 등의 분야에서 불법복제를 막기 위해 개발된 복제방지 기술을 말한다.

워터마크를 영상 등의 콘텐츠에 삽입하는 기술을 워터마킹(Watermarking)이라고 한다. CCTV 영상과 같은 디지털 영상의 경우 시각적으로 인지할 수 있는 워터마크를 삽입하게 되면 영상 처리 프로그램을 이용해 삽입된 워터마크를 쉽게 제거할 수 있다. 때문에 동영상 보호를 위해서는 시각적으로 인지할 수 없도록 워터마크를 삽입해야 한다.

기존에 사용된 워터마킹 기법은 영상의 픽셀을 변경하기 때문에 영상의 왜곡이나 열화현상이 발생할 수 있다. CCTV 영상의 무결성 확보를 위해서는 영상의 픽셀을 변경하지 않고 워터마크를 삽입하거나 추출할 수 있어야 한다. CCTV 영상을 한 프레임씩 호출해 특징점을 추출하고 추출된 특징점의 영상정보와 삽입할 워터마크의 데이터를 이용해 인증키를 생성하고, 해당 인증키를 DB에 저장한 후 저장된 인증키를 이용해 CCTV 영상의 무결성을 증명할 수 있다.

▲ 프라이버시 보호기능이 적용된 CCTV 영상(자료 : 우경정보기술)


접근통제
개인정보보호법에서는 개인정보 유출 및 오·남용 방지를 위한 내부통제 시스템 구축을 의무로 하고 있다. 그러나 인가된 내부자에 대한 통제는 전혀 안 되고 있다. 확실한 영상 관리를 위해서는 영상정보 처리기기에 대한 설치·제어와 영상정보의 수집·이용에 대해 관리가 잘 되고 있는지 객관적으로 증명 가능한 기술적 조치가 필요하다.

운용 중인 영상정보가 잘 관리되고 있는지 행위 직후 내용을 관리책임자가 알 수 있고, 적법한 운영을 증명할 수 있도록 영상정보와 영상정보 처리기기에 대한 접속 및 처리기록을 관련 설비에서 자동으로 생성하고 안전하게 보관할 수 있는 기술적 조치가 필요하다. 또한, CCTV 영상자료 반출시 보안관리를 위한 모든 사용 이력 현황이 기록돼야 하고, 비정상적인 유출시 사후추적을 통해 CCTV 영상 파일을 안전하게 보호할 수 있어야 한다.

CCTV 영상 데이터에 대한 접근통제는 영상정보의 열람을 제한하고, 이에 대한 기록을 모두 로그로 남기는 것이 주요 기능이다. 영상정보의 가장 심각한 문제가 권한을 가진 사람들의 개인정보 오남용이다. 영상정보의 무단 열람과 복제, 영상정보의 위변조 등을 제한할 수 있도록 접근통제 기능이 설계돼야 한다. 보안규정에 맞지 않는 행동을 사전에 차단하고, 사고 발생 시 이를 즉각적으로 해결할 수 있도록 포렌식 개념도 도입돼야 한다.
[글_ 장연태 우경정보기술 이사(ytjang@wkit.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)