개인정보규제 강화, 어떻게 관리해야 할까

업무처리 시스템 관점의 개인정보 접속기록 관리

개인정보 유출 사고를 분석해보면 대부분의 경우가 내부 직원 등 인가된 전산 시스템 사용자에 의한 비율이 약 80% 이상을 차지하고 있다. 최근까지도 지속적으로 발생하고 있는 인가된 사용자에 의한 정보유출사고는 보안교육 강화를 통한 직원 개개인의 정보관리 의식 향상도 중요하지만, 시스템적으로 개인정보의 접속상황을 완벽하게 관리해 오남용 및 유출에 완벽하게 대응할 수 있는 시스템을 구축할 필요가 있다.

[시큐리티월드=엔소프테크놀러지 BCSO 정연오 기술이사(yo.jung@ensof.co.kr)] 현재 국내에서는 전자금융감독규정과 개인정보보호법에 의해 보안시스템에 대한 감독 기능을 수행하고 있지만, 일반적으로 글로벌 금융기관은 본사 차원의 보안정책과 한국 감독기관의 보안정책을 모두 만족하는 시스템을 구축해야 한다.

따라서 글로벌 기업의 경우 국내 기업의 보안기준보다 더욱 엄격한 시스템 구축이 필요하게 된다. 에이스생명은 2014년 초까지 진행한 개인정보 접속기록 관리 시스템 구축 프로젝트를 통해 인가된 사용자에 의한 개인정보접속 내역을 완벽하게 관리할 수 있는 시스템을 구축해 개인정보보호를 위한 활동을 더욱 강화했다.

개인정보보호 정책하의 기술적 요구사항

에이스생명은 분산 서버 환경에서 인가된 내부사용자에 의한 개인정보접속을 관리하기 위해 감독기관의 지침보다 한 단계 고도화한 기술적 요구사항을 다음과 같이 정의했다.

개인정보 접속거래는 시작 시점에서부터 완료 시점까지 서버 구간별 어플리케이션 처리 흐름이 Full Path로 기록돼야 하며 모든 거래는 처리 구간별로 연계돼야 한다.

개인정보 업무처리 시스템에서 수행되는 모든 DBMS 처리내역이 기록돼야 한다.

소스프로그램의 수정이나 Network 장비의 추가도입이 없는 Server Agent 방식이어야 한다.

거래관점에서 개인정보접속 관리체계 구축방법

인가된 내부 및 외부의 업무시스템 사용자에 의한 개인정보접속내역 실시간 관리체계 구축내부 및 외부 개발자의 악의적 프로그램 개발에 의한 개인정보유출 관리체계 구축 감독기관 및 고객의 개인정보보호법 요구에 대응할 수 있는 관리체계 구축

거래관점에서 개인정보접속 관리체계를 구축하기 위해서는 개인정보에 접속하는 모든 거래에 대해 각 서버에서 운영 중인 Application 정보를 자동으로 추출해야 하며, 추출된 각각의 애플리케이션(Application) 정보는 하나의 거래에 다수의 애플리케이션(Application) 정보를 매핑할 수 있는 KEY 값을 자동 생성해 관리할 방안이 제시돼야 한다. 또한, 시스템 운영 중 발생할 수 있는 장애에 대비해 각각의 에이전트(Agent)에 대한 One-Stop Kill & Restart 기능 등 완벽한 관리자 기능이 제공돼야 한다.

이상의 목표를 만족하는 제품을 도입하기 위해 국내외 여러 제품을 조사한 결과 TScan가 요건을 충족시킬 수 있었으며, PoC를 통해 그 적용 가능성에 대해 확신을 갖게 되었다. 구축과정에서 어떠한 소스의 변경도 필요 없었으며, 운영환경에서의 시스템 리소스 및 성능(Performance) 변화가 적용 전과 비교해 큰 차이가 없었다.

개인정보 접근 관리체계 구축의 기대효과

①개인정보보호법 및 전자금융감독규정 등 관련 법규 완벽 충족

②내외 개발자에 의해 악의적으로 개발된 프로그램에 의한 개인정보유출 관리체계 구축

③User ID 및 IP Address 기준으로 개인정보 오남용 의심거래 감시체계 구축

④User ID 유출에 의한 악의적 외부 사용자 감시체계 구축

⑤개인정보처리 업무의 거래기준 감시체계 구축

[월간 시큐리티월드 통권 215호 (sw@infothe.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)