BYOD 환경으로 관리포인트 증대...보안관리자들을 위한 EPP 주목   

[보안뉴스=강서일 닉스테크 공학박사] 개인정보보호법 시행으로 인해 많은 기업관리자들이 개인정보보호 솔루션 도입을 위해 고민하고 있다. 이에 여기서는 개인정보보호를 위한 보안 솔루션과 PC, 노트북, 태블릿 등 사용자 단말에 대한 향후 보안방향에 대하여 알아보도록 한다.

개인정보보호법 제정·공포로 인해 그 어느 때보다 개인정보에 대한 관심이 높아졌고, 수많은 기업들이 개인정보보호에 대해 고민하고 보안 솔루션 도입에 대해 검토를 진행해 왔고, 실제 도입도 활발하게 이루어지고 있다.

우선 개인정보보호를 한다는 것은 매우 어려운 일이라는 것을 알아야 한다. 개인정보의 라이프사이클 즉, 수집부터 폐기까지의 일련의 과정에 대한 보안을 요구하고 있는데 개인정보 수집에는 문서 혹은 웹페이지 입력을 통한 수집 방안이 있고, 이러한 수집 정보는 웹 서버 혹은 개인정보관리 시스템을 통해서 입력되어 데이터베이스에 저장된다.

이를 활용하는 업무부서에서는 개인정보에 권한을 가지고 접근하여 해당 정보를 활용, 재생산 등을 통해 다양하게 사용하고 목적이나 일정기간이 지나면 최종적으로 법령 혹은 회사 정책에 따라 폐기가 이루어진다. 이와 같이 하나의 개인정보는 다양한 방안으로 여러 사람이 연관된 관리가 필요하기 때문에 이를 보호하는 솔루션 도입이나 정책을 수립하는데 많은 어려움이 따른다.

이로 인해 보안관리자들은 개인정보보호를 위한 방안을 고민하고 있는데, 닉스테크는 개인정보보호 세미나에 참석한 보안관리자들을 대상으로 한 설문조사를 통해 관심 있는 보안 솔루션과 요구사항 그리고 향후 방향에 대하여 조사를 진행했다. 다음 자료는 2012년 5월 보안관리자들을 대상으로 설문 조사한 통계자료이다.

기업보안담당자들이 개인정보보호 위해 도입·고려 중인 보안 솔루션

응답자 중 40%가 DB보안, 그 다음으로 응답자의 21%는 사용자 단말 내부정보 유출방지(DLP)를 선택했다. 앞서 설명한 개인정보 라이프 사이클을 보면 개인정보가 수집·저장되어 있는 곳은 DB가 되며, 유출사고가 발생한 경우 다량의 개인정보가 한 번에 유출되는 사고가 발생할 수 있는 위험 리스크가 가장 큰 영역이 바로 DB이다. 또한 사건사례로도 DB의 계정 탈취 및 웹 사이트 취약점을 통한 공격이 소개되고 있다.

그 다음으로 고려하는 사용자 단말에 대한 내부정보 유출방지 솔루션은 사용자가 악의적인 목적으로 개인정보를 유출하거나 자신이 의도하지 않은 악성코드 및 관리적 실수를 통해서 자신도 모르게 유출될 수 있는 상황이 발생하는 것에 대하여 경고 및 차단할 수 있는 방안을 제공한다.

이러한 솔루션 도입이 없는 경우 내부자가 외부에 회원정보를 판매하거나 실수로 유출 혹은 노출시킨 사례에 대한 보안사고 기사를 볼 수 있다. DB보안과 사용자 단말 내부정보 유출방지 솔루션은 목적이나 목표가 매우 다른 보안 솔루션으로써 기업은 개인정보보호를 위하여 2가지 솔루션 모두 도입을 고려해야 한다.

사용자 단말 대상의 개인정보보호 솔루션은 크게 2가지 방식으로 분류할 수 있는데 이는 서버/클라이언트 솔루션과 개인이 설치·활용하는 독립 솔루션으로 나누어진다. 2가지 솔루션 중 서버/클라이언트 모델이 독립 설치 솔루션보다 보안관리자의 정책, 감사 로그 등 보다 많은 보안 서비스를 제공하며, 기업에서 정책적으로 관리하는데 편리성을 제공한다.

사용자 단말 대상의 개인정보보호 솔루션은 개인정보보호법에 따라 개인정보를 식별하여 암호화 및 완전 삭제를 제공해야 하는데 이는 개인정보보호법의 24조 3항과 21조에 해당된다.

그 외에도 사용자 단말의 경우 개인정보 유출을 보다 강력하게 방지하기 위해서는 여러 유출 경로에 대하여 고려해야 하는데 다음 그림의 예처럼 악성코드, 이동형 디바이스, 네트워크 통신 등 PC가 가지고 있는 다양한 하드웨어 장치 및 기능을 통해서 외부에 유출할 수 있는 방안이 존재하므로 이를 차단하기 위해서는 사용자 단말에 대한 외부 매체, 통신에 대하여 통제할 필요성이 발생한다.