[보안뉴스 김태형] 최근 계속되는 개인정보 유출사고에 따라 사회적으로 개인정보보호 인식이 높아지고 있는 가운데 ‘범정부 개인정보보호 정상화 대책’중 하나로, 온·오프라인에 노출되고 있는 개인정보 게시글 등을 찾아내서 불필요한 개인정보를 삭제하도록 하는 ‘개인정보 대청소 캠페인’이 추진 중이다.

‘개인정보 대청소 캠페인’의 취지를 이해하고 지속적, 효과적으로 이행하기 위해서는 과거에 발생한 개인정보 유출 사고의 유형에 대해 분석하고 대처하는 것이 기본이다. 최근의 개인정보 유출사례를 보면 홈페이지와 DB서버 내에 존재하는 불필요한 개인정보로 인해 유출 피해가 매우 많아 그 심각성을 생각해 볼 필요가 있다.

웹을 통해 개인정보가 노출되는 유형은 △홈페이지 컨텐츠를 통한 개인정보 직접 노출 △관리자 페이지 노출에 따른 파일이나 DB유출 △게시글, 첨부파일 검색에 의한 유출 등으로 나뉜다.

특히 데이터베이스 내 불필요한 개인정보의 존재로 인한 위험 요소로는 △개인정보 보호시스템(차단, 암호화) 도입 이전 과거자료 유출 △시스템 수정 이후 개인정보보호 시스템 적용 누락/미적용 △DB Migration 이후 개인정보 재노출 △홈페이지 데이터 삭제 시 잔존 데이터 △백업 DB의 재활용 등을 들 수 있다.

통상 개인정보보호를 위한 기술적 조치로, 홈페이지 개인정보 차단(필터링) 솔루션이나 DB암호화 제품 적용만을 하고 있는 게 현실이다. 그럼에도 불구하고 지속적인 개인정보 노출 사고가 발생하는 것은 홈페이지와 데이터베이스 등에 존재하는 불필요한 개인정보가 원인이기 때문에 이를 점검 및 탐지하여 삭제 조치 등이 우선 시 되어야 한다.

이와 관련, 개인정보보호 전문 개발사인 센티널테크놀로지에서는 홈페이지 및 DB서버 내 존재하는 개인정보 점검을 위해서 다음과 같은 솔루션을 제안하고 있다.

△ CPMS(CoolCheck Privacy Monitoring System)
CPMS은 다수의 홈페이지를 실시간으로 진단해 개인정보 노출 및 기술적 취약점을 점검하는 솔루션이다. 특징으로는 개인정보 반복 노출 방지를 위해 해당 정보의 삭제 조치 여부를 확인하며 홈페이지별로 관리 담당자를 지정해 효율적인 관리가 이뤄지는 장점이 있다. 다양한 통계보고서를 통한 이력관리 기능은 기본으로 제공한다.

△ DPMS(Database Privacy Management System)

DPMS는 현재 운영중인 대용량 DB 또는 파일 서버에 대해서 개인정보보유 여부를 점검하는 기능을 제공하는 솔루션이다. 찾아 낸 불필요한 개인정보는 바로 삭제 조치를 할 수 있다. 개인정보의 노출 원천인 DB단의 개인정보 노출 사고를 방지하는 제품인 셈이다. 오라클, MySQL, MsSQL등 다양한 상용DBMS에 대한 점검을 지원하며 필요에 따라 솔루션이 아닌 서비스 형태로도 제공하여 비용절감이 가능하다.

위 두 제품은 한국교육학술정보원(교육부 산하 전체학교 및 교육청 홈페이지 개인정보 노출 상시점검)를 비롯하여, 고용노동부, 해양수산부, 서울대학교 등 주요 공공기관에 납품되어 운용 중이다.

센티널테크놀로지 조장희 솔루션사업부 본부장은 “개인정보보호를 위한 근원적인 조치를 위해서는 기존의 기술적 보호조치에서 탈피하여, 웹과 DB에 대한 기술적 취약점 점검과 어떠한 개인정보를 보유하고 있는지에 대한 정확한 파악이 가장 중요하다”고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>