[보안뉴스 김태형] 서울시립대학교는 1918년 설립된 경성공립농업학교를 모체로 90여년의 역사를 가진 유서 깊은 대학이다. 지난 1974년 서울특별시가 운영주체가 되고 1987년 종합대학교로 승격한 이후 급격하게 성장한 국내 최초 공립대학교로서 서울시립대학교는 사회가 필요로 하는 인재양성과 대학 특성화를 통해 도시과학 교육·연구의 메카로 발전했다. 학교가 성장·발전하고 학생 규모가 늘어나면서 서울시립대학교는 관련 홈페이지도 많아져 이에 따른 개인정보보호에 대해서도 많은 관심을 갖고 지난 2006년에 이에 대한 대책을 마련하기 시작해 개인정보차단 솔루션을 구축·운영하고 했다. 

서울시립대학교 전산정보원은 학교 전체의 네트워크와 전산시스템, 그리고 홈페이지 관리와 보안시스템 운영과 관리 등의 업무를 주요 업무로 하고 있다. 특히 대학 메인 홈페이지와 각 학부, 연구소 홈페이지 등 총 56개의 홈페이지를 통한 개인정보의 보안 총괄 업무를 하고 있는 윤재흥 서울시립대학교 전산정보원 주무관은 “대학 특성상 각 학부와 연구소 관련 50여개가 넘는 홈페이지를 통한 개인정보 유출 위험이 높기 때문에 개인정보차단 솔루션을 구축하고 이를 통한 모리터링 등 개인정보보호 강화를 위해 노력하고 있다”고 말했다.

웹을 통한 개인정보 차단과 보안에 중점

개인정보 차단 솔루션을 구축하기 전까지만 해도 서울시립대학교는 개인정보보호에 큰 관심을 두지 않았다. 솔루션을 통한 관리보다는 관리자가 직접 모니터링하거나 각 부서별로 독자적인 홈페이지 관리를 하면서 개인정보도 관리하는 정도였기 때문에 개인정보보호와 관련한 정책인 시스템은 미흡한 편이었다. 윤재흥 주무관은 “아직도 입시철이 되면 대학 메인 홈페이지와 각 학부 홈페이지 게시판에는 사용자들이 본인의 주민번호 등을 직저 올려놓고 확인해달라는 요청을 하는 등 보안을 의식하지 않는 개인정보의 무분별한 공개가 많다”고 밝혔다. 그는 현재도 입시철만 되면 이러한 경우 많아 지난 2006년 구축된 개인정보 차단 솔루션을 통해서 주기적인 모니터링과 개인정보의 보안 관리로 필터링 하고 있다. 

특히 글로벌다윈에서 개발·공급하고 있는 개인정보 차단 솔루션을 선택하게 된 기준은 당시에는 거의 없었던 하드웨어 기반의 장비로 설치가 편리하다는 점이 부각되었다. 윤 주무관은 “2006년 당시에는 개인정보보호가 크게 이슈화되지는 않았던 만큼 당시의 업무 팀장이 필요성을 강조해 도입하게 되었다”면서 “하드웨어 기반의 초창기 솔루션인 글로벌다윈의 장비는 기존의 소프트웨어 모듈보다 설치와 정책 관리부분에서 타 제품에 비해 간편하고 쉽다는 점에서 도입하게 된 것”이라고 말했다.

▲ 윤재흥 주무관은 “서울시립대학교에 설치된 SmartXFilter는 웹 서버나 DB서버로부터 전송되는 콘텐츠에 대한 개인정보와 홈페이지 자체의 개인정보와 첨부파일 내의(HWP, MS OFFICE, 압축파일, HTML, HTM) 모든 개인정보의 차단이 가능하기 때문에 편리하다”고 말했다.

서울시립대학교에 구축된 글로벌다윈의 SmartXFilter는 하드웨어 일체형의 장비로 웹 서버 앞 단에만 설치하면 되는 아주 간단한 장비라는 것. 또 보안 서버도 이 장비에 보안 모듈을 탑재함으로서 간단히 보안서버 구축이 가능하다는 점이 장점이다. 아울러 개인정보의 차단 기능과 웹 가속기 기능을 동시에 한 장비에서 수행하는 일체형 제품이며 필요시 보안 모듈 탑재도 가능하다.

윤 주무관은 “이 SmartXFilter를 설치하고 운영해보니까 개인정보 차단 기능으로 웹 서버나 DB서버로부터 전송되는 콘텐츠에 대한 개인정보와 홈페이지 자체의 개인정보를 차단해주고 첨부파일 내의(HWP, MS OFFICE, 압축파일, HTML, HTM) 개인정보도 차단이 가능하기 때문에 편리하다”고 덧붙였다.

한편 최복희 글로벌다윈 솔루션사업부 이사는 “이 장비는 웹 가속기를 포함했기 때문에 콘텐츠의 개인정보를 검색한 후 데이터의 압축 전송 및 압축 캐싱의 지원으로 응답속도를 향상 시키고 한번 검색한 첨부 파일은 압축 전송을 한 후 압축된 파일을 캐싱하여 저장하고 재차 검색을 하지 않아 응답속도가 향상된다는 점은 타사와 차별되는 기능”이라고 설명했다.

장비의 부하없이 입·출력 정보 차단

개인정보의 유출을 최대한 줄이는 방법은 개인정보를 웹서버에 등록하지 않는 방법이 가장 좋은 방법이다. 그러나 이것은 아무리 담당자 교육을 강화하고 모니터링을 잘해도 담당자의 실수나 한계로 인해 불가능하다. 윤 주무관은 “개인정보가 있는 파일이나 글을 눈으로 확인해 차단하는 것도 있지만 엑셀로 만든 그래프 뒤에 숨어 있거나 숨김 쉬프트 안에 들어 있는 등 눈에 보이지 않는 것도 많기 때문에 담당자가 아무리 주의를 기울여도 시스템에 업로드할 수 있다”며 “이는 바로 인간의 한계이기에 완벽한 모니터링이 불가능하기에 이러한 문서에 대한 개인정보를 찾아내고 유출을 차단하기 위해 개인정보 차단 솔루션을 도입하게 된 것”이라고 밝혔다. 특히 그는 글로벌다윈의 제품은 입력과 출력을 동시에 차단할 수 있으며 이러한 기능은 개인정보를 차단하는 방법 중에서 가장 중요한 것이라고 덧붙였다.

입력차단은 클라이언트가 게시판에 글을 올릴 때 해당 콘텐츠에 대해 개인정보가 있는지 없는지를 검사한 후, 없으면 웹서버에 등록이 되고 있다면 차단되는 기능이다. 이 기능은 타 제품에서도 모두 지원되는 기능이다. 그리고 이러한 입력차단 보다 더 중요한 출력차단 기능이 있다. 이 출력차단 기능은 웹 서버에 전송될 콘텐츠에 대해 개인정보 차단 솔루션이 개인정보가 있는지 없는지를 검사한 후에 클라이언트에 전송할 수 있는 기능이다. 하지만 이러한 출력차단 기능은 대부분의 장비에서 지원되지 않는다. 또한 지원이 된다고 해도 장비의 부하발생으로 인해 설정을 하지 못하는 경우가 많은데 글로벌다윈의 제품은 이러한 출력차단 기능이 부하 없이 제공된다는 점이 차별화된다는 것.

그 이유는 대부분의 웹서버에 글을 올리는 사람보다 웹서버에 있는 콘텐츠를 읽는 사람이 훨씬 많기 때문에 부하도 많이 걸리기 마련인데 이러한 기능이 지원되었을 때 보다 완벽한 개인정보 차단의 기능을 구현할 수 있다. 이러한 출력차단 기능은 구글이나 네이버 등 포털사이트를 통해서 개인정보가 있는 콘텐츠가 보여질 때도 주민번호 뒷자리에 대해서 별표 처리가 되어 전송되거나 팝업창으로 알려주기 때문에 개인정보의 유출을 원천적으로 막을 수 있다. 이는 어떠한 기관에서 검사를 하든 개인정보의 유출을 최대한 막을 수 있는 기능으로 서울시립대학교에서는 이 솔루션 도입 이후 개인정보가 유출되어 문제가 된 적은 한 번도 없었다. 아울러 웹 가속기의 기능도 함께 구현한 하드웨어 제품이다 보니 기능적인 장애 시에도 바이패스 할 수 있는 기능은 또 하나의 장점이라고 할 수 있다. 하지만 게시판 부분의 관리에는 약간의 어려운 점도 있었다. 윤 주무관은 “게시판 부분은 프로그램의 방식에 따라 URL이 차이가 있을 수 있는데 이러한 부분에서 커스마이징이 좀 더 필요하다”고 말했다.

     ▲서울시립대학교에 설치된 SmartXFilter 개념도

교육기관의 보안, 중요한 것은 관심

서울시립대학교는 이와 같은 개인정보차단 솔루션을 구축한 2007년 부터는 관리자 페이지에서 관리하기가 훨씬 편리해졌고 URL 기반의 필터링 기능이 제공되기 때문에 설정도 쉬워졌다. URL 관련 하위 사이트까지 필터링되는 기능에 의해 관리자 페이지에서 각 홈페이지별로 모니터링하기가 쉽고 관리자가 파악하지 못한 부분도 필터링되어 팝업으로 알려주기 때문에 효율적인 개인정보를 관리하고 있다. 윤 주무관은 개인정보보호와 관련해서 향후 기존 장비의 업그레이드와 개인정보보호 솔루션의 확장을 고려하고 있다.

현재의 장비 하나로 커버하기가 어려워 업그레이드를 계획중이며 현재 서울시립대학교는 보안 SSL까지 가속기능이 동시에 작동되고 있지만 현재의 장비로는 모든 웹 페이지를 커버하기가 어렵기 때문에 업그레이드를 계획하고 있다.

윤 주무관은 교육기관에서 보안을 위해 가장 우선해야 할 것은 장비보다는 보안에 대한 관심이라고 말한다. 그는 “사실 보안 장비보다 더 중요한 것은 보안의식과 관심이다”며 “개인정보 담당자와 취급자들이 개인정보에 대해 소홀한 경향이 많기 때문에 내부적인 업무 담당자 교육을 통해 보안 의식 제고를 위해 더 많은 노력이 필요하다”고 강조했다. 한편 서울시립대학교는 1년에 두 차례 정도 직원들과 그로 장학생들을 대상으로 내부적인 보안 교육을 진행하고 있다. 실제로 개인정보의 유출 80% 이상이 내부자에 의한 정보유출이 차지하고 있기 때문에 특히 대학의 특성상 각 학과 조교들이 근로학생들에게 자신의 업무를 맡기면서 이들을 통한 개인정보의 유출에 대해서는 항상 보안을 의식하고 주의할 필요가 있다는 것이 그의 개인정보에 대한 생각이다.  

서울시립대학교에 도입된 SmartXFilter의 특징

·개인정보 유출방지 : 개인정보가 포함된 게시물이나 웹 서버 내에 존재하는 개인정보가 들어있는 모든 콘텐츠를 다운받을 때 실시간으로 차단하고 메시지를 전송한다.

·유해어 금칙어 방지 기능 : 게시판에 유해어나 금칙어를 관리자가 관리 툴에 등록한 게시판에 게시되지 않도록 차단한다.

·웹 가속 기능 : 웹 서버의 콘텐츠를 압축해서 클라이언트에 전송하기 때문에 전송속도를 빠르게 한다. 용량이 큰 첨부 파일 등을 검색하게 되면 부하와 전송속도 지연을 가져오게 되는데 Smart Filter의 웹 가속 기능은 캐싱과 압축전송 기술을 이용해 속도를 향상시켜 주고 웹 서버의 부하를 월등히 줄여준다.

·검색 에이전트로부터 개인정보 유출 차단 : 검색엔진이 웹 사이트로 부터 데이터를 가져갈 때 개인정보가 들어있으면 개인정보 방지 메시지만을 가져가게 되도록 해서 검색엔진으로부터 개인정보 유출을 방지한다.

·실시간 관리자 통보 기능 : 개인정보가 차단될 경우 차단된 정보가 실시간으로 관리자의 메일로 통보 된다.

·URL별 차단 기능 : 웹 사이트에서 차단하고 싶은 URL을 선별해서 필터링을 적용할 수 있다.

·로그 검색 및 통계 기능 : 차단된 정보를 로그로 남기고 관리 툴에서 검색이 가능하고 전체 차단된 정보에 대한 통계를 보여준다.

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>