통제·차단만으로 해결할 수 없는 기존 개인정보보호체계의 문제점은?
접속기록 빠짐없이 생성·기록, 체계적으로 보관·관리하는 기술 필요

[보안뉴스 민세아] 우리나라 공공기관 1만 5751곳에서 보유하고 있는 개인정보는 1,236억 건에 이르는 것으로 알려졌다. 1,000만 건 이상의 개인정보를 가진 공공기관은 46개에 달한다. 지금 이 순간에도 수많은 공공기관에서 근무하는 누군가가 나와 내 가족의 인적사항을 훑어보고 있을 가능성이 매우 높다. 하지만 이러한 행동들이 순수하게 공무를 수행하기 위해서인지는 알 수도 확인할 길도 없다.


실제로 행정자치부는 공공기관이 보유한 국민의 개인정보를 소속 직원들이 업무 이외의 목적으로 조회해 불법으로 남용한 사건에 대한 조사결과를 발표한 바 있다. 그 결과 지난 2011년부터 2015년 6월까지 누적 604명이 적발돼 징계를 받았다.

세간에서 밝혀진 개인정보 유출사고에 비하면 적은 건수라고 생각할 수 있겠지만, 공공기관은 민간기업과 달리 주민등록번호, 의료정보, 신용정보 등의 민감한 내용을 포함하고 있어 유출됐을 경우 피해가 더욱 커질 수 있다.

공공기관에서 보유하고 있는 개인정보들은 외부의 해킹 위협에서 비교적 안전할 수 있다. 하지만 소속 직원들에게는 무방비하게 노출되어 있는 상황이다. 물론 공공기관 직원이 업무 시 개인정보를 열람하는 것은 당연한 일이지만 무단 열람하고, 부정 사용하는 일을 사전에 막을 수는 없을까? 이와 관련한 법률과 기술에는 무엇이 있을까?

개인정보보호 분야의 법률적 한계
과거 공공기관의 PC와 CCTV 등의 장치에 의해 처리되는 개인정보를 보호하기 위해 ‘공공기관의 개인정보보호에 관한 법률’이 1994년 처음 제정되고 1995년부터 시행됐다. 그러나 해당 법령에는 개인정보 전산기록에 관한 내용이 없었다.

이후 ‘공공기관의 개인정보보호에 관한 법률’이 폐지되고 개인정보보호가 더욱 강화된 ‘개인정보보호법’이 2011년부터 본격 시행됐다. 여기에는 개인정보 접속기록 보관 등에 관한 안전조치를 의무화했다.

온라인상에서의 개인정보보호를 포함한 내용의 정보통신망법은 2001년 1월 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이라는 이름으로 출발했다. 이후 2008년, 개인정보를 보호하기 위한 조치로 개인정보 접속기록의 위·변조 방지대책 등의 내용을 담아 개정됐다. 그러나 개인정보보호법과 정보통신망법이 제정된 후에도 개인정보는 계속 위협 받아온 게 사실이다.

개인정보보호법이 제정된 초창기에는 통제·차단 중심으로, 외부에서 내부로 해커가 들어오는 것을 감시하는 것에 초점이 맞춰져 있었다. 통제·차단의 가장 큰 한계는 외부에서 내부로 들어오는 것은 막을 수 있지만, 내부에서 발생하는 보안위협에 대해서는 대책이 없다는 것.

개인정보보호 분야의 기술적 한계
한쪽에서 법적인 장치가 마련되는 동안 다른 한쪽에서는 기술적인 발전도 이루어졌다. 개인정보 유출을 방지하기 위한 DB접근제어 솔루션이 대표적이다. DB접근제어 솔루션은 기업 및 기관에서 운영하는 데이터베이스 관리 시스템(DBMS)을 접근권한에 따라 열람범위를 구분하고, 접근기록을 남김으로써 중요·민감 데이터의 유출사고를 막기 위해 개발됐다.

그러나 DB접근제어 솔루션과 이와 유사한 솔루션들은 신규 도입 시 기존 업무 시스템을 일일이 수정하거나 새로운 시스템을 개발해야 하기 때문에 시간적·비용적 부담과 서비스의 지속적 제공에 대해 고민할 수밖에 없었다. 더욱이 기존 시스템 구성 환경에 의해서도 많은 제약을 받았다.

또한, DB접근제어 솔루션에서 검출된 기록을 바탕으로 분석하는 경우 성능적인 측면에서 제약사항도 있었다. 애플리케이션 서버의 서비스를 통해 접근하는 경우 기록을 남기지 못한다는 점과 실제 해당 정보를 사용한 사람이 누군지 판별이 불가능하다는 한계가 있었기 때문이다. 이에 대한 해결책으로 나온 것이 바로 개인정보 접속기록관리 솔루션이다.

새로운 해결책으로 떠오른 개인정보 접속기록관리 솔루션
개인정보 접속기록관리 솔루션이란 내부 정보 열람 이력과 어플리케이션 조작 이력을 생성하고, 내부정보 부정사용 등 다양한 내부 사이버위협 및 이상징후를 상시 감시하며, 부정행위자를 추적·적발할 수 있는 제반 기능을 제공하는 내부 정보보호 통합관제 시스템이다.

국내에 대표적인 개인정보 접속기록관리 전문기업인 위즈디엔에스의 김기배 대표는 “통제·차단만으로는 해결할 수 없는 보안이슈들이 있었다. 이에 시스템에서 발생하는 개인정보 취급 행위에 대해 개인정보보호법을 준수하고, 개인정보 접속기록을 빠짐없이 생성·기록하며, 이를 체계적으로 보관·관리하기 위한 기술이 필요했다”고 해당 솔루션의 개발배경을 밝혔다.

이어 그는 “개인정보 접속기록관리 기술에서 한층 더 나아가 업무증적 수집·분석, 통합 감시·경보, 다차원적인 추적이 가능한 기술이 필요하다”고 덧붙였다.


실제로 위즈디엔에스코리아의 개인정보 접속기록관리 솔루션 ‘와스-트레이스(WAS-Trace)’는 개인정보 취급자와 DB서버 사이의 개인정보 처리시스템에서 발생하는 기록에 대한 업무 증적을 생성하고, 이러한 업무 증적에 대해서는 ‘위즈블랙박스슈트(WEEDS BlackBox Suite)’에서 구조화 및 위험 분석, 통합 감시·경보, 추적, 이상행위 처리 등의 대응을 담당하게 된다.

해당 솔루션들은 개인정보 부정사용과 오남용으로부터 개인정보를 보다 철저히 보호할 뿐만 아니라 기존 업무 시스템의 수정 없이도 효과적으로 개인정보 사용기록을 생성할 수 있는 점이 장점으로 꼽힌다.

그렇다면 해당 기술의 등장으로 내부자 위협에 대한 온전한 면역체계를 갖출 수 있게 되는 것일까? 본지는 양지에서든 음지에서든 개인정보가 화폐 수준의 가치를 지니는 때에 걸맞은 안전장치를 찾는 작업의 일환으로, 몇 차례에 걸쳐 이 새로운 기술을 집중조명할 예정이다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>