문서 유통까지 통제해야 진짜 보호... 기관의 마스킹 의무화 논의 필요

[보안뉴스= 원찬영 엘세븐시큐리티 상무] 최근 보안 업계에서는 공공 분야의 개인정보 유출 사고가 구조적으로 반복되고 있다는 지적이 이어지고 있다. 외부 해킹뿐 아니라 내부 관리 미흡, 문서 보관 체계의 부실 등이 복합적으로 작용하고 있다는 분석이다. 특히 공공·금융·기업을 막론하고 서버와 파일 스토리지에 대량의 개인정보가 ‘평문’ 상태로 저장되어 있는 관행은 여전히 개선되지 않은 리스크로 꼽힌다.


공공기관은 시민의 신분증 사본, 민원 신청서, 계약 및 증빙서류 등 대량의 개인정보 문서를 보유하고 있다. 금융권과 일반 기업 역시 고객 계약서, 인사 서류, 거래 자료 등을 파일 서버에 축적하고 있다. 그러나 상당수 문서가 평문 상태로 저장되어 있거나, 마스킹 없이 내부·외부로 유통되고 있는 것이 현실이다. 비대면 업무 확산으로 문서 보관량은 급증했지만, 문서 단위 보호 체계는 이에 상응하게 발전하지 못했다.

실제 현장에서는 ISMS-P 인증 준비 과정에서 이러한 문제가 드러나는 경우가 많다. 인증 심사 과정에서 보관 문서 내 개인정보의 암호화 또는 마스킹 필요성이 지적되면서 대응 방안을 문의하는 사례가 증가하고 있다. 그러나 문의와 달리 실제로 문서 단위 마스킹 시스템을 구축하는 사례는 제한적이다. 접근통제 강화나 저장구간 암호화 등으로 보완 조치를 설명하고 심사를 통과하는 경우도 적지 않다.

이 과정에서 발생하는 한계는 명확하다. 암호화는 저장 구간 보호에는 효과적이지만, 업무 활용 과정에서 문서를 열람·제출하는 순간 정보는 복호화된다. 주민등록증 사본, 가족관계증명서, 주민등록등초본, 금융거래 서류 등은 외부 제출 시 원문 형태로 제공되며, 이 단계에서의 유출 위험은 별도로 통제되지 않는다.

현재 침해사고 분석 역시 데이터베이스(DB) 유출 중심으로 이뤄지고 있다. DB가 유출돼 주민등록번호, 이름, 주소, 연락처 등 어떤 것이 유출됐고, 몇 건이 유출되었는지만 중요하게 본다. 어떤 것은 암호화돼 있어 유출됐어도 문제가 없다는 식의 기사가 나온다. 반면 기관이 보유한 대량의 문서 파일에 대한 유출 여부는 탐지와 추적이 쉽지 않다. 문서 기반 유출은 사고 발생 후 피해 범위를 특정하기도 어렵지만, 관리 우선순위에서는 상대적으로 뒤로 밀려 있는 것이 현실이다.


이에 따라 보안 업계에서는 ‘문서 단위 개인정보 마스킹’의 실효성을 강조하고 있다. 이는 DB 필드의 암호화와 달리 한글(HWP), MS Office, PDF, 압축파일 등 다양한 문서 형식 내 텍스트와 이미지 영역을 분석해 개인정보를 탐지하고 비가역적으로 가리는 기술이다.

문서 내 텍스트와 이미지, 스캔 문서에 대한 OCR 분석을 통해 정형·비정형 개인정보 식별과 마스킹, 보관본·유통본 분리 관리, 대용량 파일 서버 일괄 스캔 등의 체계가 결합해야 실질적인 보호가 가능하다는 설명이다.

전문가들은 ISMS 및 ISMS-P 인증의 실효성 강화를 위해 문서 영역에 대한 검증 절차 보완이 필요하다고 지적한다. 단순 정책 수립 여부가 아니라 △평문 문서 보관 실태 △마스킹 적용 대상 식별 △실제 적용 여부 확인 △마스킹 후 유통 프로세스 점검 등 구체적 검증이 병행되어야 한다는 것이다.

개인정보 보호는 더 이상 저장 보안에 국한되지 않는다. 암호화가 기본 통제라면, 마스킹은 활용 단계의 위험을 줄이는 보완 장치다. 보관 문서와 외부 제출 문서를 구분하고 최소 정보만 유통하는 체계가 정착되어야 사고 가능성을 실질적으로 낮출 수 있다.

때문에 문서 내 텍스트와 이미지 영역을 동시에 분석해 개인정보를 자동 탐지하고, 한글·오피스·PDF·압축파일까지 통합적으로 마스킹하는 체계가 필요하다. 대규모 파일 서버를 대상으로 한 일괄 스캔과 자동 마스킹이 병행될 때 문서 기반 개인정보보호의 실효성을 확보할 수 있다.

인증은 기준일뿐 안전을 보장하지 않는다. 문서 영역까지 포함한 실질적 보호체계 점검이 병행될 때, 공공기관 개인정보 보호의 신뢰도 역시 높아질 것으로 보인다.

[글_ 원찬영 엘세븐시큐리티 상무]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>