| [시큐리티 Q&A] 외주인력 보안관리 위한 망분리 | 2015.01.09 | |
Q. 외주인력에 의한 데이터 유출, PC 관리 소홀로 인한 바이러스 감염 등을 차단하기 위해 인터넷을 차단하는 경우 업무에 필요한 웹 서핑을 할 수 없다는 문제가 있습니다. 이를 해소할 수 있는 방법이 있을까요? 실제로 구축된 사례도 듣고 싶습니다.
A-1. 기관에서 개인정보를 처리하는 업무를 위탁하는 경우, 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난· 유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고 수탁자의 개인정보 처리현황 및 실태, 목적 외 이용제공 여부, 재위탁 여부, 안전성 확보조치 여부 등을 정기적으로 관리·감독하도록 해야 합니 다(개인정보보호법 제26조, 시행령 제28조). 또한, 개인정보 처리 업무를 위탁하는 경우에 위탁자는 아래의 내용이 포함된 문서에 의하여야 합니다(법 제26조, 시행령 제28조). ①위탁업무 수행목적 외 개인정보의 처리 금지에 관한 사항 ②개인정보의 기술적·관리적 보호조치에 관한 사항 ③위탁업무의 목적 및 범위 ④재위탁 제한에 관한 사항 ⑤개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 ⑥위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한 사항 ⑦수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등에 관한 사항. 이에 따라 협력업체와의 개인정보처리에 대한 위탁계약을 통해 외주인력이 기관의 개인정보처리시스템을 관리하는 경우에도 법 제26조에서 정한 사항에 대해 문서화하고 이를 날인하여 보관해야 합니다. 또한 위탁계약에 의한 외주인력에 대해 사고발생 시 기관의 인력으로 처리되므로 수탁자에 대한 교육 및 관리·감독을 철저히 해야 합니다. ※ 개인정보 위탁업무란? 개인정보의 수집·관리, 이용·제공, 가공, 복구 등이 수반되는 업무를 위탁하는 경우를 말합니다. 홈페이지·시스템·CCTV 운영 및 유지보수, 각종 시설물 회원관리, 기관 홍보물·소식지 배송 등을 위탁하는 경우 해당합니다. ※ 단순한 시스템 유지보수 등 직접적으로 개인정보를 처리하지 않더라도 수탁업체에서 관리자 권한 등을 통해 개인정보에 접근할 수 있는 업무는 개인 정보 위탁업무로 봐야 합니다. (정환석 대구도시공사 개인정보보호담당/hscheong@duco.or.kr) 따라서 해당업무에 웹 서핑이 필요하면 허용을 해줘야 하는 것이 타당하며, 근무 중 어떠한 페이지를 보았는지 등을 기록하는 다양한 소프트웨어들이 있습니다. 업무의 성격에 따라서 적절히 조합하여 사용하는 것이 바람직하다고 봅니다. (박태완 한국뷰로베리타스 선임심사원/jstwpark@daum.net) A-3. 외주인력에게도 업무망과 인터넷망을 분리하여 별도의 인터넷 서비스를 제 공하는 것이 적절합니다. 인터넷 전용PC에서도 내부업무 PC와 동일한 DLP, DRM, 바이러스 백신 등 의 보안 솔루션 설치를 의무화시켜서 통제해야 합니다. (이종현 성공회대학과 정보통신공학과 겸임교수phd.yanni@gmail.com) A-4. 웹서핑이 가능한 PC는 별도 제공하는 것도 방법이 될 수 있습니다. 대부분의 외주업무를 하는 환경은 제한된 환경으로 전용 노트북이나 전용 PC를 사용하도록 하고 있으며, 망분리는 기본입니다. 또한 매체제어나 DRM, DLP 등의 보안 솔루션을 활용해 PC 내부자료의 외부 반출을 허용하지 않도록 구성하는 것이 일반적입니다. 인터넷이 가능한 PC는 1대 정도 비치하고 당연히 외부로의 메일 전달, 게시판 등록 등과 같은 것들은 모두 차단되도록 하고 이력을 남기도록 해야 합니다. 인터넷 PC에서 내부망으로 파일 전달 시에는 망연계 솔루션 등을 이용하도록 구성할 수 있습니다. 실제 국가기관에서는 이러한 방법으로 구성해 통제하고 있습니다. (강정훈 11번가 /jhkang@sk.com) [민세아 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
