IT Compliance Management As A Service

중소기업 개인정보보호 보안이슈에 대한 방안

최근 개인정보 노출 사고에 대한 집단소송의 판례를 보면 전반적으로 개인정보처리자가 개인정보보호를 위해 취할 수 있는 관리적/기술적 보호조치를 얼마나 체계적으로 관리하기 위해 노력하는지 여부와 사업적 환경에 있어서 얼마나 중요성 있게 관리되고 있는지 등이 위법성 여부를 판단하는 핵심 사안이며 이를 효율적으로 입증하느냐가 소송 결과의 중대한 영향을 미치고 있기 때문에 관리적/운영적 사항이 이슈가 되고 있다.

김 봉 석

디에스앤텍 ITCMS사업부 과장 (kbs1@dsntech.com)

방송통신위원회와 KISA가 발표한 ‘2012년 정보보호 실태조사’에 따르면, 국내에서 5인 이하 소상공인을 제외한 사업체 중 컴퓨터를 1대 이상 보유하고, 네트워크가 구축된 사업체수가 약 41만 개에 이른다.

이 중 72.7%는 온·오프라인 통해 이용자의 개인정보를 수집하고 있다. ‘숙박 및 음식점업(80.7%)’이 타 업종에 비해 주로 온라인으로만 수집하고 ‘금융 및 보험업(93.9%)’은 온·오프라인 모두 수집하는 비율이 상대적으로 높다. 사업체 규모별로 보면 주민번호 수집 및 이용현황이 50인 이하 사업체에 집중되어 있는 것을 알 수 있다.

수집된 개인정보의 안전한 처리를 위해 사업체들이 취하고 있는 기술적 조치로는 ‘DB접근내역에 대한 로그저장(49.9%)’과 ‘보관하고 있는 개인정보의 암호화 저장(49.9%)’이 가장 높았고, ‘USB/이동형 저장장치 통제(47%)가 뒤를 이었다.

이러한 데이터 분석을 보면 주민번호의 수집이 중소기업에 일부 편중되어 있기 때문에 관리적/기술적 보호 조치에 대한 교육 및 지원 등의 중요도가 증가하고 있다.

IT 컴플라이언스에서의 개인정보보호

개인정보보호, 특히 국내법에서의 개인정보보호의 의미는 ‘개인정보보호법’, ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’ 등 관련 법령에서 규정하고 있는 각종 규정의 준수에 매우 집중되어 있다.

개인정보 침해 유형 및 피해

개인정보 침해의 원인은 기업 등 개인정보처리자의 사회적 책임이 부족한데서 기인한다. 특히, 대량의 개인정보를 취급하고 있는 통신사업자, 금융기관, 포탈 사업자, P2P 서비스 제공자들은 개인정보보호를 위한 선도적 역할을 담당해야 하지만 여전히 이들 사업자에 의한 대량 개인정보 유출사고가 끊이지 않고 있다.

사업자의 개인정보보호 인식 부족은 개인정보보호를 위한 관리적·기술적 보호조치를 제대로 취하지 않아 내부자에 의한 개인정보 유출 또는 해킹 등 사고의 원인이 되고 있다. 또한, 개인정보보호법 등 관련 법령을 알거나 알 수 있음에도 준법정신이 부족해 불법으로 개인정보를 수집하기도 하며, 관련 법령의 내용을 잘 알지 못해 개인정보보호 원칙 없이 제휴사 또는, 제3자 업체와 무제한적으로 개인정보를 공유하기도 한다.

기업 등 개인정보 처리자는 개인정보를 많이 보유할수록 무조건 영업에 이득이 될 것이라는 잘못된 인식을 가지고 있다. 이로 인해 기업 간 과다한 경쟁으로 불필요한 개인정보까지 수집하고 사용기간이 만료된 정보를 파기하지 않고 보유하고 있다가 이용하는 경우도 있다. 그리고 많은 기업들이 제휴사, 자회사, 계열사 등의 통합 사이트, 패밀리 사이트 등을 구축하여 통합회원 가입을 강제하며 이를 이용자가 동의하지 않을 경우에는 심지어 서비스 제공을 거부하는 일도 발생한다.

개인정보보호를 위한 기술적 동향

개인정보는 OECD에서 ‘프라이버시 보호 및 국제적 유통에 관한 가이드라인(Guidelines on the Protection of Privacy and Trans-border Flows of Personal Data)’을 제정할 정도로 중요성을 강조하고 있으며 기술적 사항으로써 안전성 확보 조치를 포함하고 있다.

국내에서는 지난 2011년 9월 30일 ‘개인정보보호법’의 전격시행에 따라 이른바 ‘개인정보의 안정성 확보조치’라 통칭되는 ‘개인정보의 안정성 확보조치 기준’을 같은 날 제정, 시행하면서 개인정보의 기술적·관리적 보호조치 기준이 강화되고, 법적용 대상자가 약 50만 사업자에서 약 360만 사업자로 확장 되었다.

국제적으로 통용되는 컴플라이언스로서의 개인정보보호법을 국가적으로 이행하는 것이 중요하지만 현실적으로 중소상공인에게는 적용이 어려운 점이 많다. 소상공인지원센터 조사에 따르면 전국 약 270만 명 소상공인 중 PC를 사용하는 소상공인이 48.9%정도 된다. 이에 대해 중소기업중앙회 소상공인지원단 관계자는 소상공인 중에서 해당 법을 모르는 사업자들도 있기 때문에 특별계도기간 동안 소상공인에게 어느 정도 정책을 알릴 수 있는 방법이 필요 하다고 말하고 있다. 결국, 시행법에 따르는 정확하고 일관적인 적용, 법 개정과 기술 오류·대응·보안에 신속한 대처 체계가 가능하도록 준비가 필요하다.

개인정보보호의 핵심 기술은 웹페이지(HTML 문서), 게시판 및 첨부파일에 대한 개인정보보호라는 3가지 형태가 대표적이다. 개인정보보호 솔루션은 웹 애플리케이션 방화벽의 웹 침해 대응 사항 중 특히 웹페이지의 게시판 및 웹서버 안에 페이지를 스캔하여 개인정보가 있는 게시물을 스캔하고 게시물의 첨부파일(한글, 오피스계열, 압축파일 및 Open Document Format)을 검사해 차단하거나 암호화함으로써 기술적 안정을 꾀하고 있다. 또한, HTTP/HTTPS에서 확대되어 SMTP, Messenger, FTP, IPX/SPX, UDT, Web Hard, 네트워크 공유 접근과 같은 네트워크 전반을 탐지하여 각 프로토콜을 이용하는 첨부파일 검사 및 차단은 물론 전송기록도 관리하는 기술까지도 국내외적으로 개발 중이거나 제품화 시도가 많은 보안 업체를 통해 이루어지고 있다.

국내의 정보보안 제품은 네트워크 보안, 시스템 보안, 콘텐츠/정보유출방지 보안, 암호/인증보안, 보안관리, 기타 제품으로 구분되고 정보보안 서비스는 보안컨설팅, 유지보수, 보안관제, 교육/훈련, 인증 서비스로 구분된다. 기업이나 공공, 금융에서는 보안영역에 맞는 각각의 솔루션을 도입·운영하고 있지만 개인정보보호법이 시행되면서 End-Point, Network, Server, DB에 필요한 기술들이 세분화 되어 적용되고 있다. 하지만 중소기업에서는 각각의 특화된 제품들을 적용하기 위해 필요한 비용 및 전문 인력의 보유가 여전히 부담감으로 남기 때문에 정보보호의 인식 확산 및 활성화를 위한 다양한 노력이 필요하다.

ITCMS(IT Compliance Management As A Service)

ITCMS는 솔루션 기반의 IT 컴플라이언스 시스템을 클라우드 컴퓨팅에 기반을 둔 서비스 플랫폼으로 구성, 고비용의 까다로운 운영 프로세스를 저비용의 간소화된 프로세스로 제공해 현재 기업이 직면한 컴플라이언스 과제 중 개인정보보호를 위한 기술적·관리적 보호조치 등의 세부사항을 효과적으로 적용해 정부와 중소기업간의 상생구조를 만들어 가는 서비스다.

ITCMS의 주요 기능

-개인정보의 안전한 처리를 위한 내부 관리계획 수립 및 이행

-개인정보에 대한 접근 통제 및 접근권한의 제한 조치

-개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

-개인정보 침해사고 발생에 대응하기 위한 접속기록을 보관 및 위변조 방지를 위한 조치

-개인정보에 대한 보안프로그램 설치 및 갱신

IT 컴플라이언스 준수를 위한 서비스, 오피스세이퍼

오피스세이퍼의 주요 기술은 다양한 패턴구조를 정규식으로 최적화해 검출률을 높이고 암호화된 파일을 내·외부에서 안전하게 복호화 하는 기술과 로그기록·수집·분석 기술 및 사용자에게 빠른 응답을 주는 캐시 기술 등을 들 수 있다. 특히, 개인정보가 포함된 데이터가 온라인 또는 오프라인으로 유출되는 것을 차단하기 위해 커널 레벨의 드라이버 기술과 에이전트 자체 보호를 위한 API 후킹 기술, 그리고 다양한 형식의 문서파일에서 해당 키워드 정보를 추출하는 포렌식 기술 및 추출된 데이터를 통제 목적으로 사용하기 위해 필요한 인덱싱 기술이 있다.

오피스세이퍼는 Cloud Computing System 환경의 플랫폼으로 Server Program, Web Program, Agent Program으로 기본 구성되어 있다. 이와 같은 플랫폼 구성으로 사용자 별로 보안 설정 및 관리를 할 수 있고, 이때 에이전트가 관리 대상이 되는 장치를 제어한다. 따라서 개인정보파일 암·복호화, 매체 제어, 방화벽 제어, 접근 제어, PC취약성 관리, 로그 관리 등의 기능들이 제공되고 웹을 통해 시간과 장소에 상관없이 실시간 관리를 할 수 있다.

ITCMS 기술 도입의 기대효과

전문 인력 없이 최소의 비용과 노력으로 규제준수체계를 보장 받도록 하여 기업이 사업을 영위함에 있어 규제 및 IT 위험으로부터 기업연속성을 보장하고 기업의 수용 가능한 기술서비스 제공으로 정부(감독기관)의 현실적인 법집행이 가능하기 때문에 정부와 중소기업간의 상생협력 관계를 유지 및 보강할 수 있다.

직관적인 UI, 웹 표준화 준수, 탁월한 웹 접근성 및 클라우딩 컴퓨팅 환경에 기반을 둔 플랫폼 보안성·안정성 보장 등의 서비스 특성을 보유하여 국내뿐 아닌 글로벌 서비스로 확대가 용이하다.

-기간산업, 공공기관 등 보안정보관리가 요구되는 개인정보보호 관련 사업자 약 360만 기업시장에 솔루션 및 서비스 제공으로 대규모 안정된 경제성 실현

-국내 IT 솔루션의 글로벌 브랜드 육성으로 지식정보 보안 산업의 미래 Blue Ocean 실현

-보안침해사고의 경감 및 클라우드 컴퓨팅 서비스의 안정성 보장으로 그린시큐리티 실현 및 범국가적 녹색성장에 기여

-글로벌시장 환경에 탄력적 적용

-탄탄한 수출 모델로서의 IT강국의 위상 증대

-국가경쟁력 성장 도모

<글 : 시큐리티월드 편집부>

[월간 시큐리티월드 통권 제196호(sw@infothe.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)