• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보보호 위한 A카드사의 암호화 조치사례 2013.05.02

개인정보 분류기준 수립, 현재 시스템 분석한 후 암호화 조치해야   


[보안뉴스 김경애] 개인정보를 취급·수집하는 기관 가운데 개인정보보호 강화가 가장 요구되는 곳을 꼽으라면 단연 금융권이다. 이미 여러 곳의 금융기관이 사이버공격 및 해킹 피해를 입으면서 개인정보보호를 강화해야 한다는 목소리가 강조되어 왔다.


그렇다면 금융권은 개인정보보호 조치를 위해 어떤 점을 고려하고 강화해야 할까?

개인정보보호법이 2011년 3월 29일 제정되고, 9월 30일부터 시행되면서 고객 정보가 포함된 DB와 파일들은 기술적·관리적 조치를 강화해 개인정보의 안정성을 확보해야 한다. 이는 주요데이터의 암호화 적용을 통해 유출피해를 최소화하고 법적 대응력을 강화하기 위함이다.


개인정보 데이터의 암호화를 위해서는 △각 부서별 요구사항 반영 △개인정보 분류기준 수립 △현행 시스템에 대한 환경조사 실시 △적용방안 수립 후 암호화를 적용하는 등의 조치를 취해야 수집된 개인정보가 안전하게 관리·운영될 수 있다. 이와 관련해 A사의 사례를 중심으로 개인정보보호를 위한 암호화 조치방안에 대해 살펴봤다.  


(1)요구사항 반영

A사 역시 암호화 프로젝트 진행에 앞서 개인정보를 취급하거나 관계되는 업무부서 별로 요구사항을 반영했다. 암호화를 위한 각 부서별 요구사항을 살펴보면 보안부서의 경우, 개인정보가 포함된 정형/비정형 데이터에 대해 암호화해야 한다고 요구했다. 암호화된 파일에 대해서는 계정 및 프로세스별로 접근제어하고, 암호화 파일에 대한 엑세스 행위를 로그로 남기도록 해 시스템들의 중앙집중관리가 가능해야 한다고 요청했다.


IT 부서는 AP/DB 시스템에 대한 서비스 무중단을 우선적으로 고려해 암호화해야 하고, 애플리케이션 및 DBMS의 수정이 없어야 한다고 요청했다. 또한, 암호화 오버헤드로 인한 비즈니스 영향이 최소화돼야 한다고 덧붙였다.


운영부서는 암호화로 인한 추가 리소스가 최소화돼야 하고, 안정적으로 시스템이 운영될 수 있는 검증된 솔루션이어야 한다고 요청했다.


(2)개인정보 분류 기준 수립

그 다음 A사는 암호화 대상기준을 현행 시스템의 환경기준에 어떻게 맞출 것인지 고려해 개인정보 분류기준을 수립했다고 밝혔다. 이를테면 개인정보보호법·정보통신망법 등과 관련해서는 주민번호, 여권번호, 운전면허번호, 외국인등록번호 등까지만 암호화할지, 전자금융거래법·전자금융감독규정에 따라 신용카드번호, 계좌번호, PIN번호 등도 암호화할지, 그리고 민감정보인 성명, 주소, 전화번호, 기타와 같은 것도 추가 암호화 대상으로 포함할지 여부 등을 고려해 개인정보 분류기준을 수립했다.


(3)시스템 조사

다음 순서로 A사는 개인정보 분류기준에 따른 암호화 대상 조사를 위해 시스템 조사, DB조사, 파일조사를 실시했다. 시스템 조사의 경우 OS 종류 및 버전, 클러스터 정보, 장비 리소스 상태를 조사했고, DB 조사는 암호화 대상 테이블 및 인덱스, DB 바이너리 경로, 백업 방식 등을 살펴봤다. 또한, 파일 조사로는 암호화 대상 디렉토리, 어플리케이션 바이너리 경로, 클러스터 정보 조사가 이뤄졌다.


(4)암호화 적용

마지막으로 암호화 대상을 정확하고 명확하게 하기 위해 A사는 시스템 환경조사를 실시한 후, 환경조사 결과를 분석하고, 각 업무담당자의 인터뷰·실사를 통해 암호화대상을 검토해 암호화 대상을 확정했다. 


암호화 적용 단계는 솔루션 설치, 단위시스템 암호화(소용량), 기간계시스템 암호화(대용량), 안정화 순으로 진행됐고, 암호화를 적용한 업무는 인터넷, 모바일, 회계, 이미지, MCA, 대외계, 승인, 콜센터 업무 등이다.


이를 바탕으로 A사는 저장되는 DBMS, 로그파일, ETC, 공유데이터, 파일서버 암호화, 백업파일을 모두 암호화했다. 암호화 적용 시 이슈사항으로 암호화 설정 한계와 관련해 암호화 설정이 가능한 Raw Device의 최대치 제한으로 암호화 설정이 불가능한 점이 있었다고 밝혔다.


암호화 프로젝트 수행 시 고려사항으로는 테스트 환경 구축, 명확한 범위 산정, 기술지원체계 수립 등이 있다. 명확한 범위산정에 있어서는 명확한 암호화 기준을 수립하고, 인프라팀은 인프라 자원현황 분석자료를 확보해야 하며, 프로젝트팀은 체계적인 프로젝트 경영과 관리가 이뤄져야 한다는 지적이다. 암호화 솔루션에 대해 관련 부서 직원들이 명확히 이해해야 하고, 업무팀은 암호화 기준에 따른 정확한 환경을 조사해야 한다고 강조했다.


기술지원체계 수립과 관련해 프로젝트팀은 암호화 솔루션 이해 및 솔루션 이슈에 대한 대응이 필요하다. HW/SW 벤더의 경우, 운영환경에 설치된 솔루션에 대한 신속한 해결이 지원될 수 있도록 기술지원체계 수립을 고려해야 한다. 또한, 운영팀은 업무 프로세스를 이해하고 공유·운영 이슈에 대한 체계적인 대응이 가능해야 한다는 게 보안전문가들의 설명이다. 

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>