산재된 데이터 격리보다 문서 중앙화 후 시스템 접근관리가 효율적

[보안뉴스=전수근 넷아이디 이사] 이제 공공기관은 개인정보보호법 제33조에 의해 개인정보 침해를 사전에 차단하기 위한 의무적인 영향평가를 받아야 한다. 최근 개인정보 영향평가기관으로 18개 기관이 선정됨에 따라 공공기관 보안담당자들의 주목을 받기 위한 이들 기관의 경쟁도 심화될 것으로 예상된다.

동일 법률에 의하여 기업들 또한 원칙적으로 주민번호와 같은 개인정보의 수집이 금지되어 있으며, 올 12월까지는 수집한 주민번호, 패스워드와 같은 정보를 암호화하여 보관해야 한다.

최근 각 기관의 개인정보보호 관련 주요 대책을 보면 주로 PC 파일의 스캔이나 DB 암호화 등에 의존하는 경향이 있어 보인다. 하지만 개인정보의 유출 경로는 디스크, 매체, 네트워크, 메일, 메신저 등을 비롯해 다양하다.

그러므로 개인정보의 보호는 PC 에 산재된 데이터의 선별적인 강제 격리보다는 일괄적인 PC 문서의 중앙화를 통해 시스템적 접근을 하는 것이 더욱 효과적이다.

PC 에 존재하는 주민번호, 신용카드 정보 등과 같이 민감한 자료들을 담고 있는 자료가 압축되어 있거나, 해독 가능한 암호화 파일로 존재한다면 개인 정보의 유출을 효과적으로 차단할 수 없기 때문이다.

또한, 문서중앙화 솔루션의 경우 민감한 기업 정보보호를 목적으로 설계한 것이기 때문에 그 도입만으로도 개인 정보유출 방지를 위한 많은 기본 조건을 만족시킨다.

실제로 문서중앙화 솔루션은 개인 정보를 보호하기 위한 내부 관리체계의 수립, 접근 권한의 제한 및 통제, 암호화된 전송과 저장, 사용자 인증, 접속기록의 보관 및 위변조 방지 조치 등의 기본적인 사항을 지원하기 위한 기능을 포함하고 있다.

또한, 개인정보를 비롯하여 중앙화된 문서의 반출을 위해서는 내부 승인 시스템의 결재 절차를 득해야 하며, 반출한 문서는 사본을 복사하여 일정 기간 보관하게 된다. 이로 인해 문서중앙화에 의한 효과의 범위는 하드디스크, 매체, 메일, 메신저 등에 대한 보안통제는 물론 중앙화된 문서의 효과적 활용에 이르기까지 일거양득의 효과를 거둘 수 있다.

지금까지 기업의 노하우를 보호하기 위해 가장 효과적으로 사용되었던 문서 중앙화 솔루션이 이제는 개인정보 보호에도 효과가 있다는 것을 이용자들이 인지하기 시작했다.

한 예로 화장품 회사인 고객사에서 자사 고객들의 개인 정보를 보호할 목적으로 문서중앙화 솔루션이 효과적이라고 판단하고 적극적으로 도입을 검토 중이다. 문서중앙화 방식은 PC 의 파일을 스캔하여 선별적으로 보호하는 방식 대신 로컬 디스크에 대한 저장금지 방식을 취하고 있어 관리가 단순하고 정확한 효과를 발휘할 수 있기 때문이다.

다수의 금융회사 고객들 또한 직원들 PC 에 저장된 고객정보를 중앙화해 보호하기 위한 의도로 솔루션을 도입하여 사용 중이다. 금융회사 임직원 PC 에서 주요 업무에 사용하는 각종 어플리케이션의 자료에 대해 중앙으로 저장을 유도하여 직원 개인에 의한 자료 유출을 원천 차단하는 것이다.

문서를 중앙화 하고 중앙의 문서에 대해 접근 가능한 어플리케이션 종류를 제한하는 경우, 다양한 바이러스나 해킹 시도로부터 기업의 주요 문서를 보호하는 것 또한 가능하다.

기업 정보보호 시장의 고객들은 PC 에 저장된 문서를 스캔하여 격리하는 것만으로는 부족하다고 판단하여 직원 PC의 모든 문서를 중앙화하고 있다. 이제부터는 ‘개인 정보보호’ 시장 고객의 경우 역시 PC에 문서를 저장하면서 스캔 및 격리하는 것 보다는 문서중앙화를 통한 철저한 개인 정보보호 방법을 선택하는 추세가 될 전망이다.

이것은 문서중앙화가 전체 보호 대상 중에서 단순하게 일부 부분에 대해 보완을 시도하는 것이 아니고 보호의 대상을 전반적으로 규정하고 체계적으로 보호정책을 세울 수 있기 때문이다.

[글_ 전수근 넷아이디 이사(queen@net-id.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>