2008년 2월 중국발로 추정되는 웹해킹에 의해 옥션에서 1,081만건의 개인정보 유출사건 발생 이후 통신사, 정유사 등에서의 개인정보 유출이 계속되면서 개인정보보호 이슈는 관심을 넘어 관련업계에는 심각한 문제로 제기되고 있다.

세계 보안사고 공유 사이트인 datalossdb.org에 의하면 2008년 9월 발생한 GS칼텍스 개인정보유출 사건이 역대 8위 랭크되어 있고, 유출된 정보 유형은 SSN(주민등록번호), NAA(이름과 주소), EMA(이메일)로 표시되어 있다.(datalossdb.org 참조)

정보사회의 발전에 따라 ┖생존하는 개인에 관한 정보┖인 기존의 개인정보의 의미는 인격권과 재산권이 혼재된 새로운 의미로 그 범위가 확대되고 있다. 개인정보의 범위에는 SMS, 음성통화 내역, 사진, 영상 등 개인을 식별해 프라이버시를 침해할 수 있는 정보를 비롯해 마케팅에 활용 가능한 주민등록번호, 계좌번호, 카드번호, 거래내역, 신용정보 즉 경제적인 효용(편익)을 얻기 위해 기업에게 제공하는 식별정보 등이 모두 개인정보에 포함된다.

최근 발생한 일련의 개인정보 유출사고와 법적 공방은 개인과 관련된 다양한 정보를 보호하기 위해 기업이 추가적인 조치가 필요하다는 것을 의미한다. 하지만 기업이 개인정보를 보호하기 위해서는 기존 방화벽으로 대표되는 외부와 내부를 차단하는 보안에 대한 관점 및 체계로는 한계를 지닌다. 따라서 개인정보보호에 소홀한 기업은 현재보다 훨씬 많은 대가를 치뤄야할 것으로 예상되며 유출된 주민번호 등의 개인정보는 피싱과 같은 금융사기와 각종 범죄에 이용될 것이다.

개인정보보호의 중요성을 인식한 정부에서는 2008년부터 개인정보보호 관련 법률을 정비하면서 이에 대비하는 기업들의 움직임도 바빠지고 있다. 과거 ┖정보통신망 이용 촉진 및 정보보호 등에 관한 법률┖ 시행규칙에서는 유/무선 통신, 초고속 인터넷 등 정보통신 서비스 제공자와 휴양 콘도미니엄, 백화점, 대형마트 등의 사업자만을 적용 대상으로 규정하고 있었다.

하지만 정부는 이 법으로 GS칼텍스와 같은 사고를 대처하는 데에는 이 법률의 적용 범위가 미비점을 갖고 있다고 판단, 적용 범위를 회원제 형태로 다량의 개인정보를 취급하는 정유사, 결혼정보회사 등 14개 업종 22만여개 업체로 확대했다(2009년 7월 1일부터 시행).

뿐만 아니라, ┖공공기관의 개인정보보호에 관한 법률┖, ┖신용정보의 이용 및 보호에 관한 법률┖, ┖방송통신위원회고시 제 2008-3호 개인정보의 기술적/관리적 보호조치┖ 등의 각종 법률을 통해 개인정보의 관리 및 이용에 대한 기업의 법적 요구 및 책임을 강화하고 있으며, 2008년 11월 국회에 제출된 ┖개인정보보호법┖ 제정 작업도 지속적으로 진행되고 있다.

이처럼 개인정보와 각종 기술의 유출에 대처하기 위하여 새롭게 제·개정되는 법률 상의 핵심은 내부 정보 유출에 따른 사전 위협을 제거하는 예방적인 개념의 정보보호 체계라고 규정지을 수 있다.

SK인포섹이 출시한 개인정보보호 솔루션인 "이글아이"는 기술적/관리적 결함으로 발생할 수 있는 개인정보의 유출경로를 탐지하고 근본적으로 각 PC 내에 보유하고 있는 개인정보를 검색하고 관리함으로써 사전에 개인정보 유출을 방지하는 솔루션으로, 최근 기업이 지켜야 할 개인정보보호 조치를 취하게 한다.

이글아이의 출시 배경은 명확히 개인정보 유출 방지 솔루션을 통해 개인정보보호와 관련된 법적 요건을 충족할 수 있도록 하자는 것이다. 실제로, 개인정보보호 담당자는 이글아이를 통해 기업 내 불필요한 개인정보의 저장 내역을 원격으로 검사할 수 있으며, 이를 감사 자료로도 활용할 수 있다. 또한 최근 문제가 되고 있는 협력사에 제공된 개인정보의 관리 및 폐기, 그리고 일반 사용자의 PC 내 저장된 개인정보 내역을 검사하고 삭제 처리할 수 있는 기능을 제공하고 있다.

이글아이는 위 구성도처럼 서버와 클라이언트로 구성된 이글아이-E와 클라이언트만으로 구성돼 서버와 연계 없이 단독으로 사용되는 감사용 버전인 이글아이-P로 나뉜다. 이글아이-E 제품의 경우 관리자는 Flex로 만들어진 페이지를 이용해 동적으로 다양한 정보를 조회할 수 있으며, 이글아이-P 제품은 감사용 제품으로 USB에 설치돼 사무실을 출입하는 외부 직원들의 PC나 노트북의 개인정보 보유 현황을 검색할 수 있다. 두 제품 모두 아래와 같은 기능을 제공함으로써 개인정보보호와 관련된 법적 요건을 충족시키는 것은 물론, 기업이 보유한 개인정보를 안전하게 관리하도록 한다.

먼저 이글아이는 전문 검색엔진을 채용해 초기 Full Indexing 후에는 Incremental Indexing을 통해 시스템 부하를 최소화하며 사용자가 PC 작업을 하지 않을 때 Idle Time 모드로 색인 작업 수행해 업무에 최대한 영향을 받지 않도록 했다. 특히 강제적으로 사용자가 PC 작업 중에도 색인 작업 수행할 수 있으며, 이때 CPU 점유율은 평균 50% 이하로 작동한다는 점이 특징이다.

두번째는 형태소 분석을 통하여 검색의 정확성을 개선시켜 주민등록번호, 신용카드번호, 이메일, 핸드폰(전화)번호, 계좌번호, 여권번호, 의료보험번호 등의 개인정보 패턴과 관리자가 설정한 임계치(예를 들어 주민등록번호 5개 이상 또는 계좌번호 10개 이상 보유 문서 검색)를 적용할 수 있으며, 각종 문서 파일과 이메일, 이미지, 음악, OLE, MSN 메신저 대화기록 저장파일, 방문한 웹, 압축파일 등에 포함된 고객정보까지도 검색이 가능하다.

세번째는 관리기능을 강화하여 관리자가 관리대상 PC들을 등록하고 클라이언트들의 현황 및 접속 상태를 확인할 수 있는 기능을 제공한다. 또한 현재 검색 중인 회차에 대한 검색 상태, 검색된 개인정보 건수, 시작 시간 등의 현황 정보와 개인정보 유형별 통계 그래프 및 상세정보(TOP N Person/Group별 개인정보 건수) 제공한다. 관리자가 원하는 시점에 즉시검색 기능을 이용하여 개인의 개인정보 현황 수집 가능 검색된 개인정보 포함 문서에 대한 결과 내 검색어 재 검색 기능도 제공한다.

[SK 인포섹 솔루션사업본부 김학범 박사 (jhjang@skinfosec.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>