세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
경북도청의 도민 개인정보 접속기록 관리를 위한 선택
  |  입력 : 2017-10-09 22:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
위즈디엔에스코리아, 개인정보보호법 준수와 개인정보 수준 진단을 위한 방안 제시

[보안뉴스 원병철 기자] 2011년 9월 30일에 개인정보보호법이 시행되면서 개인정보에 대한 중요성은 매년 증가하고 있다. 이로 인해 정부에서도 개인정보의 수집, 유출, 오남용으로부터 개인 사생활 등을 보호함으로써 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현하기 위해 많은 노력을 해왔다. 이에 따라 시장에서는 DB 암호화 제품을 시작으로 DB 접근제어, 홈페이지 게시판을 통한 개인정보 차단, PC의 개인정보 관리 솔루션 등이 있었고 마지막으로 개인정보 접속기록 관리 솔루션에 이목이 집중되고 있다.

▲ 개인정보 접속기록 관리 솔루션인 위즈블랙박스슈트[이미지=위즈디엔에스코리아]


관련 기관에서는 안전성 확보조치 기준을 발표했고 이에 따른 해설서를 발행하여 개인정보 보호에 대한 기준을 정립했다. 최근 몇 년 전부터는 개인정보 수준진단을 바탕으로 전국의 공공기관과 교육기관 평가를 진행하고 있는 상황이다.

개인정보보호 분야의 기술적 한계
한쪽에서 법적인 장치가 마련되는 동안 다른 한쪽에서는 기술적인 발전도 이루어졌다. 개인정보 유출을 방지하기 위한 DB 접근제어 솔루션이 대표적이다. DB 접근제어 솔루션은 기업 및 기관에서 운영하는 데이터베이스 관리 시스템(DBMS)을 접근권한에 따라 열람 범위를 구분하고, 접근기록을 남김으로써 중요·민감 데이터의 유출사고를 막기 위해 개발됐다.

그러나 DB 접근제어 솔루션과 이와 유사한 솔루션들은 신규 도입 시 기존 업무 시스템을 일일이 수정하거나 새로운 시스템을 개발해야 하기 때문에 시간적·비용적 부담과 서비스의 지속적 제공에 대해 고민할 수밖에 없었다. 더욱이 기존 시스템 구성 환경에 의해서도 많은 제약을 받았다.

또한, DB 접근제어 솔루션에서 검출된 기록을 바탕으로 분석하는 경우 네트워크 구조 측면에서 제약사항도 있었다. 애플리케이션 서버의 서비스를 통해 접근하는 경우 기록을 남기지 못한다는 점과 실제 해당 정보를 사용한 사람이 누군지 판별이 불가능하다는 한계가 있었기 때문이다. 이에 대한 해결책으로 나온 것이 바로 개인정보 접속기록관리 솔루션이다.

개인정보 접속기록관리 솔루션, ‘위즈블랙박스슈트’ 대표적
개인정보 접속기록관리 솔루션이란 내부 정보 열람 이력과 어플리케이션 조작 이력을 생성하고, 내부정보 부정사용 등 다양한 내부 사이버위협 및 이상 징후를 상시 감시하며, 부정행위자를 추적·적발할 수 있는 제반 기능을 제공하는 내부 정보보호 통합관제 시스템이다.

국내에 대표적인 개인정보 접속기록관리 전문기업인 위즈디엔에스코리아의 김기배 대표는 “통제·차단만으로는 해결할 수 없는 보안이슈들이 있었다. 이에 시스템에서 발생하는 개인정보 취급 행위에 대해 개인정보보호법을 준수하고, 개인정보 접속기록을 빠짐없이 생성·기록하며, 이를 체계적으로 보관·관리하기 위한 기술이 필요했다”고 해당 솔루션의 개발배경을 밝혔다. 이어 그는 “개인정보 접속기록관리 기술에서 한층 더 나아가 업무증적 수집·분석, 통합 감시·경보, 다차원적인 추적이 가능한 기술이 필요하다”고 덧붙였다.

위즈디엔에스코리아에서 개발한 개인정보 접속이력관리 솔루션인 위즈블랙박스슈트는 크게 두 가지 파트로 나뉘어 있다. 업무증적이나 감사증적을 생성하는 Trace Series와 생성된 업무증적을 수집하고 분석 및 모니터링 하는 블랙박스슈트로 구성되어 있다.

업무증적이나 감사증적을 생성하는 Trace Series는 시스템의 구성에 따라 WAS 서버에 설치하는 WAS Trace, C/S 환경일 경우 DB 서버에 설치하는 DB Trace, 이종 로그에 대한 업무 증적을 생성하는 X-Trace, 하드웨어 장비로 되어 있는 Transaction Trace 등이 있다. 이는 고객의 환경에 따라 적용이 가능하도록 되어 있다. 이런 특징이 타사와 차별성을 갖고 있는 요소이기도 하다.

‘와스-트레이스(WAS-Trace)’는 개인정보 취급자와 DB서버 사이의 개인정보처리 시스템에서 발생하는 기록에 대한 업무 증적을 생성하고, 이러한 업무 증적에 대해서는 ‘위즈블랙박스슈트(WEEDS BlackBox Suite)’에서 구조화 및 위험 분석, 통합 감시·경보, 추적, 이상행위 처리 등의 대응을 담당하게 된다.

DB Trace는 C/S 환경의 2-Tier일 경우 주로 적용을 하며 DB에 접속하는 사용자에 대한 업무 증적뿐 아니라 DB 직접 접속 사용자가 하는 콘솔작업, 배치 작업들까지도 로그를 남길 수 있는 장점이 있다. 이러한 다양한 Trace로 고객이 어떠한 환경에서도 업무 증적을 남길 수 있는 모듈을 개발해 보유하고 있다.

위즈블랙박스슈트의 적용사례
위즈블랙박스슈트는 현재 국내 최대의 레퍼런스를 보유하고 있는데, 중앙부처로는 행안부, 기획재정부, 국가보훈처, 외교부 등이 있고 지자체로는 경기도청, 충남도청, 경북도청, 안양시청, 순천시청, 춘천시청 등이 있다. 또한, 금융기관으로는 라이나생명, 동부화재, 서울신용보증재단, 농협손해보험, 한화손해보험 등이 있다. 이 외에도 근로복지공단, 보건복지정보개발원, 가스안전공사, 조폐공사, 일산병원, 한국수자원공사, 고려대학교, 경북대학교, 공무원연금공단 등 다양한 분야에 납품되어 있다.

개인정보 접속이력관리 시스템 도입으로 개인정보보호법 준수는 물론 현재 진행되고 있는 개인정보 수준진단과 개인정보 영향평가에도 좋은 점수를 받을 수 있어 기관에는 큰 이점이 있다.

▲ 경북도청 로고[이미지=경북도청]


이 가운데서도 경북도청은 개인정보의 접속기록에 대해 큰 관심을 가지고 오랜 기간 자체적으로 분석을 진행한 지자체라고 할 수 있다. 경북도청은 업체의 말만 들은 것이 아니라 국내의 개인정보 접속관리 솔루션들에 대해 일일이 분석하고, 도입한 기관에 전화해 사용상에 문제가 없는지, 운영에는 문제가 없는지, 패킷 로스로 인한 사용자 식별에 문제가 없는지 등등의 관점에서 내부적인 조사를 한 것으로 알려졌다.

물론 네트워크 미러링 방식과 WAS 서버에 모듈을 설치하는 방식에 대한 기술적인 자문도 전문가에게 의뢰하여 제품 선정의 기준으로 삼았다. 그렇기에 경북도청의 납품은 다른 지자체에 납품하는 것보다 특별한 의미가 있었다.

이에 위즈디엔에스코리아는 기존의 WAS 서버에 모듈을 설치하여 개인정보 취급행위 발생시 일체의 누락 없이 실제 개인정보 사용자를 100% 판별하는 것은 물론 자바, PHP, ASP, 등 웹 환경과 C/S 환경 등 다양한 개인정보처리 시스템 환경에도 완전한 개인정보 접속기록 생성이 가능해 개인정보보보호법의 철저한 이행을 보장할 수 있다는 것을 가장 큰 장점으로 제안했다.

물론 경북도청은 WAS 서버에 뭔가 모듈을 설치한다는 것에 큰 부담을 느꼈지만 타 기관의 운영 현황을 파악해 본 결과 특별히 CPU 부하 증가가 없고 응답속도의 저하도 없다는 것을 사전에 확인한 것으로 알려졌다.

현재 경북도청은 12개 업무 시스템에 적용하여 개인정보 접속기록을 관리하고 있다. 도청이라는 특수성 때문에 개인정보보호를 위한 더 큰 그림을 그려나가고 있다.

개인정보를 취급하는 모든 공공기관은 물론 금융권, 민간기업에 있어서도 개인정보 접속기록을 체계적으로 관리하고 점검하는 일은 더 이상 미룰 수 없는 필수과제가 됐다. 개인정보보호법상 개인정보의 안전성 확보조치 기준을 준수하는 것은 물론 효율적인 개인정보 처리 및 관리를 위해서도 각 기관·기업은 개인정보 접속기록관리 솔루션 도입을 서둘러야 할 것으로 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)