개인정보 접속기록의 효율적 관리 및 법규 준수 위해 솔루션 도입 시급

[보안뉴스 민세아] 현재 개인정보보호법상 공공기관의 경우 개인정보 접속기록관리가 사실상 의무화된 상태지만, 관련 규정을 준수하고 체계적으로 관리하는 곳이 많지 않다는 지적이 제기되고 있다.


개인정보보호법의 하위기준인 ‘개인정보의 안전성 확보조치 기준’에 따르면 개인정보처리자는 개인정보처리 시스템의 접속기록을 6개월 이상 저장하고 정기적으로 점검할 의무가 있다.

이러한 개인정보처리 시스템의 접속기록을 제대로 저장·관리·점검하기 위해서는 개인정보 접속기록관리 솔루션 도입이 필수가 되고 있는 상황이다.

규모가 큰 공공기관일 경우 하루만 지나도 개인정보 접속기록이 방대하게 쌓일 뿐만 아니라 이를 6개월 동안 무결하게 저장해야 하고, 주기적으로 점검까지 해야 하는데, 개인정보처리자가 일일이 접속기록을 관리하고 점검한다는 것이 현실적으로 한계가 있기 때문이다.

그럼에도 국내에서의 개인정보 접속기록관리 솔루션 도입실태는 의무화 대상인 국내 1만 5천여 공공기관에 1만 1천여 개의 개인정보처리 시스템 수에 비하면 턱없이 부족하다.

본지가 조사한 자료에 따르면 국내에서 개인정보 접속기록관리 솔루션을 도입해 개인정보 접속기록을 효율적으로 관리하는 공공기관 및 기업은 100여개 정도에 불과한 실정이다. 86곳의 도입기관들을 본지가 유형별로 분석한 결과 △지자체·공공기관 52개 △교육기관 8개 △금융기관 17개 △의료기관 1개 △민간기업 8개 정도인 것으로 나타났다.

이러한 가운데 행자부 등 관련 부처에서도 개인정보처리 시스템의 효율적인 관리실태를 주기적으로 점검하겠다고 밝혀 올해 공공기관을 중심으로 개인정보 접속기록관리 시스템 도입이 활성화되고, 관련 시장도 큰 폭으로 성장할 것으로 기대된다.

현재 국내에서는 위즈디엔에스코리아, 엔소프테크놀러지, 이지서티 등이 개인정보 접속기록관리 솔루션 시장을 주도하면서 점차 증가하는 시장 수요에 대응하고 있다.

개인정보 접속기록관리 솔루션 전문기업인 위즈디엔에스코리아 최복희 상무는 “금융기관이 아닌 이상 법에서 제시하는 5가지 항목에 대한 접속기록을 로그로 남기지 않는 경우가 태반”이라며, “개인정보보호법에 따라 접속 로그를 남기고 접속기록을 6개월마다 1회 이상 점검하기 위해서는 개인정보 접속기록관리 솔루션 도입이 필수적”이라고 전했다.

이어 최 상무는 “국내 공공기관의 개인정보보호 수준 향상을 위해 중앙부처, 광역자치단체, 지방공기업 등을 대상으로 실시되고 있는 ‘공공기관 개인정보보호 관리수준 진단 매뉴얼’에도 개인정보처리 시스템 접속기록 점검 및 후속조치 이행과 관련한 진단 항목이 존재하지만 대부분의 공공기관이 해당 항목에서 제대로 된 조치를 취하지 않고 있어 낮은 점수를 받고 있다”고 덧붙였다.

실제로 지난 2014년부터 개인정보 접속기록관리 솔루션을 도입한 순천시청의 경우 기존에 개인정보 접속기록이 방대해 담당자들이 규정에 맞게 관리하는데 많은 문제를 안고 있었다. 하루에 쏟아지는 접속로그의 양은 많지만 이를 관리할 인력이 턱없이 부족했기 때문. 이에 개인정보 접속기록관리 솔루션을 도입하게 됐다는 설명이다.

이와 관련 순천시청 관계자는 “개인정보 접속기록을 규정에 맞게 감시하고 모니터링하는 솔루션이 필요해 도입하게 됐다. 예전에는 점검을 거의 못했던 부분도 지금은 세세하게 점검하고 있다. 수십만 건의 접속기록을 분석해 자동으로 판단함으로써 개인정보 접속기록을 효율적으로 관리하고 있다”고 전했다.

이러한 노력 덕분으로 순천시청은 지난해 ‘제16회 전라남도 정보화 연찬회’에서 개인정보처리 시스템의 효율적인 분석관리 방안을 추진한 성과를 인정받아 최우수상을 수상하기도 했다.

개인정보를 취급하는 모든 공공기관은 물론 금융권, 민간기업에 있어서도 개인정보 접속기록을 체계적으로 관리하고 점검하는 일은 더 이상 미룰 수 없는 필수과제가 됐다. 개인정보보호법상 개인정보의 안전성 확보조치 기준을 준수하는 것은 물론 효율적인 개인정보 처리 및 관리를 위해서도 각 기관·기업은 개인정보 접속기록관리 솔루션 도입을 서둘러야 할 것으로 보인다.

한편, 오는 6월 9일부터 10일까지 양일간 공공기관과 민간기업의 CPO(Chief Privacy Officer: 최고개인정보책임자)와 개인정보처리자는 물론 보안담당자들이 대거 참가하는 ‘2016 개인정보보호페어(PIS FAIR 2016)’에서 개인정보 접속기록관리 솔루션 전문업체들이 대거 참가해 효과적인 개인정보 접속기록관리 노하우를 공유하는 강연과 함께 관련 솔루션 전시 및 시연도 진행할 것으로 보여 주목을 받고 있다.

올해로 6회째를 맞이하는 이번 행사는 공공분야와 민간분야를 아우르는 개인정보보호 컨퍼런스로서, 행정자치부와 개인정보보호위원회가 주최하는 ‘공공부문 제1차 CPO워크숍’과 방송통신위원회가 주최하는 ‘온라인 개인정보보호 컨퍼런스’로 나누어 서울 삼성동 코엑스 그랜드볼롬에서 9~10일 양일간 개최된다.

개인정보보호 관련 법제도와 기술 트렌드, 구축사례 등에 대한 풍성한 강연은 물론 개인정보보호 솔루션 전시, 그리고 참관객들에게 ‘개인정보보호 실천가이드 v.6’가 무료 배포되는 이번 행사의 경우 공공기관 및 기업의 CPO와 개인정보처리자, 보안담당자는 행사 홈페이지(www.pisfair.org/2016/)에서 사전등록시 무료 참관이 가능하다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)