| 개인정보 접속기록관리, 새로운 패러다임이 필요할 때 | 2014.04.05 | ||
거래관점에서의 개인정보접근 관리체계 필요
[보안뉴스=정태영 엔소프테크놀러지 상무] 정보보안에 있어서 가장 중요한 이슈는 개인정보 유출에 대한 사전관리다.
최근 정부는 카드사 개인정보 유출과 관련해 올해 더욱 강화된 개인정보보호 방안을 예고하고 있다. 현재 발표된 사항만 보더라도 금융기관의 경우 CEO 해임권고 및 대폭적인 과징금 상향조정 등 강력한 제제방안을 발표하고 있다. 특히, 금융감독원은 직원 등 내부이용자에 의한 정보유출사고 방지를 위한 내부통제절차 강화, 최근 정보유출사고 원인으로 알려진 대출모집인, 정보시스템 개발인력 등 외부 용역직원에 대한 관리 강화, 외부해킹에 의한 고객정보 보호를 위한 정보기술 부문 보안대책 강화 등을 강력히 주문하고 있다.
거래관점에서의 개인정보접근 관리체계가 필요하다 2014년 1월 24일 국회 미래창조과학방송통신위원회 소속 새누리당 이상일 의원이 분석 발표한 자료를 보면, 2009년부터 2013년까지 5년간 금융회사, 기업, 공공기관 등 58곳에서의 개인정보 유출 사고건수가 약 1억 3,752만 건에 달한 것으로 나타났다. 유출 유형별로는 개인정보 위탁업체의 범죄행위로 인한 유출이 1억 410만 건으로 가장 많았고, 다음으로 홈페이지·웹서버 등 해킹에 의한 유출 3,027만 건, 내부직원의 유출 220만 건, 업무목적 외 유출 92만 건, 내부 직원의 단순 실수 2만 건 순이었다. 외부사용자의 개인정보 접근이 이슈로 떠올라 이처럼 개인정보 유출행위는 해킹에 의한 유출보다 위탁업체·내부직원 등 사람에 의한 유출건수가 약 3배 가량 높은 것으로 밝혀졌다. 이에 따라 각 기업들은 DLP, DRM, DB 접근통제 솔루션 등의 도입을 통해 내부직원 및 외부 용역직원에 의한 개인정보 유출에 대비하고 있다. 그러나 아직까지 내·외부 직원에 의해 다양한 형태로 이루어지는 개인정보 접근에 의한 정보유출에 완벽하게 대응할 수 있는 방법을 적용한 기업은 많지 않은 것이 현실이다. 왜냐하면 개인정보에 접근하는 내·외부 인가자는 기업에서 사용하는 전산 시스템을 통해 개인정보에 접근하게 되며, 이러한 방식의 개인정보 접근은 기업내부에서 정당한 행위로 인식하기 때문이다. 그러나 현재까지 가장 많은 개인정보 유출사고는 내·외부 인가자에 의해 발생되고 있다. 이번 카드사 개인정보 유출사고 역시 외부 인가자에 의한 사고이지만, 각 카드사는 내부 시스템 개발을 위해 외부인에게 개인정보 접근권한을 부여할 수밖에 없었다. 해당 외부인은 내부 인가자와 동일한 권한으로 개인정보에 접속할 수 있었기 때문이다. 따라서 인가된 외부 사용자에 의한 개인정보 접근을 어떻게 하면 효과적으로 관리할 수 있는가가 중요한 보안이슈로 떠오르게 되었다. 또한 내부직원의 경우도 다양한 형태로 개인정보에 접근할 수 있기 때문에 업무처리와 연관 없이 고객의 개인정보를 조회할 수 있다. 이를 외부에 유출할 경우 개인정보 유출사고가 발생할 수 있는 상황이 된다. 개인정보 접근기록 자동 기록 문제 이러한 문제점을 동시에 해결할 수 있는 방법이 업무 시스템에 의한 개인정보 접근을 접속건수와 개인정보 조회건수, 조회내용 등을 상시적으로 모니터링해 개인정보 유출에 사전 대응할 수 있는 시스템을 구축하는 것이다. 정부에서 공지한 개인정보보호 대상이 되는 내용을 분류하면 다음과 같다.
WAS(Web Application Server) 기준의 단순 개인정보접근 로그관리에서 거래 관점의 개인정보접근 기록관리 - 인가된 내부 및 외부의 업무시스템 사용자에 의한 개인정보접근내역 실시간 관리체계 구축 -내부 및 외부 개발자의 악의적 프로그램 개발에 의한 개인정보유출 관리체계 구축 - 감독기관 및 고객의 개인정보보호법 요구에 대응할 수 있는 관리체계 구축 이러한 시스템 구축은 직원의 모든 개인정보접근 행위에 대한 감시가 가능하게 되어 직원의 업무처리에 부담을 줄 수 있는 부작용이 발생할 수 있지만 개인정보 유출에 따른 기업의 금전적 손해와 이미지 손상에 따른 피해에 비할 수 없는 것으로 생각해야 한다. 거래관점에서의 개인정보접근 관리체계를 구축하기 위해서는 개인정보에 접근하는 모든 거래에 대해 각 서버에서 개인정보 접근 정보를 자동으로 추출해야 한다. 추출된 각각의 정보는 하나의 거래에 다수의 개인정보 접근 정보를 매핑할 수 있는 KEY 값을 자동 생성하여 관리할 수 있는 방안이 제시되어야 한다. 거래 관점의 개인정보접근 기록관리체계 구축의 기대효과 - 개인정보처리 업무의 오남용 감시체계 구축 - 내/외부 개발자에 의해 악의적으로 개발된 프로그램에 의한 개인정보유출 관리체계 구축 - User ID 및 IP Address 기준으로 개인정보 오남용 의심거래 감시체계 구축 - User ID 유출에 의한 악의적 외부 사용자 감시체계 구축 엔소프테크놀러지의 TScan은 현재 출시된 개인정보 접속기록관리 솔루션 중 유일하게 GS인증과 나라장터에 조달 등록된 제품으로서 거래관점의 개인정보 접근기록을 관리할 수 있는 제품으로서 현재 16가지의 핵심기술에 대해 특허를 출원 중이다. TScan은 업무처리 시스템에서 발생하는 개인정보 접근기록을 자동 생성하여 개인정보의 비정상 또는 오남용 사용상황을 실시간으로 감시 및 관리할 수 있는 기능을 제공함으로써 최근 강화되고 있는 개인정보보호법의 개인정보 접근기록 관리 의무에 완벽하게 대응할 수 있는 기능을 지원한다. 특히 TScan의 통합 대쉬보드를 통한 개인정보 접근 이상징후 상시 모니터링, 거래 관점의 개인정보 접근기록 추적, 통계적 관점에서의 오남용 패턴 분석, 민감정보 접근관리 기능 등을 활용하면 정보시스템 사용자에 의한 개인정보 오남용 및 유출에 선제적으로 대응할 수 있는 시스템을 효율적으로 구축할 수 있다. [글_ 정 태 영 엔소프테크놀러지 상무(ty@ensof.co.kr)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
