• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보보호를 위한 철저한 내부관리 제언 2016.06.30

“개인정보보호에 대한 철저한 내부관리가 가장 중요”

[보안뉴스= 김동수 국민안전처 정보통계담당관실 주무관] 얼마 전 이세돌 9단과 구글 인공지능 알파고와의 바둑 대결은 세기의 이목을 집중시키는 커다란 장이 되었다. 결과는 이세돌 9단의 ‘충격적 패배’였고 아직은 기계가 인간을 넘어설 수 없다는 고정관념을 깨는 아주 혁신적인 사건이었기에 이를 지켜본 사람들의 충격은 더욱 컸다.


인공지능 연구 가운데 요즘 가장 주목받는 키워드 중 하나가 바로 ‘딥 러닝(Deep Learning)’이다. 대량의 데이터로부터 스스로 핵심적인 개념을 간추려내도록 하는 기계학습(Machine Learning) 방법론을 말하는 딥 러닝은 사람이 일일이 판단 기준과 정답을 알려주지 않아도 수많은 데이터를 통하여 컴퓨터 스스로가 방법을 찾아나가는 것이 특징이다.

내부직원에 의한 개인정보 유출의 위험성
딥 러닝 기술의 기본은 빅데이터를 활용하는 것이다. 이러한 빅데이터에는 일반 자료뿐만 아니라 상당한 양의 개인정보도 포함한다. 적법한 절차를 거쳐 개인정보 등을 포함한 빅데이터를 확보하기에는 절차적으로나 법적으로 많은 어려움이 따른다. 그래서 일부에서는 개인정보를 손쉽게 확보하기 위해 불법거래를 하고 있어 사회적 물의를 야기시키고 있다.

특히, 최근에 일어난 개인정보의 불법거래 사건들은 외부에서의 해킹보다 내부 사정을 잘 아는 직원이나 용역업체 직원들에 의해 주로 발생하고 있다. 따라서 보안기술에 대한 투자를 늘리는 동시에 내부 인력관리와 단속에 더욱 만전을 기해야 한다.

일례로, 의료 소프트웨어 사업자가 개입해 47억 건의 의료정보를 외국업체에 불법 판매한 국내 의료정보 유출 사건, 부정사용 방지 시스템(FDS: Fraud Detection System) 개발 책임자로 일하던 용역업체 직원이 1억 건이 넘는 개인정보를 유출하여 전 국민을 불안에 빠뜨린 카드 3사 사건 등이 대표적이다.

요즘은 보안 솔루션의 발달 등으로 기술적 보안요소인 해킹에 의한 개인정보 유출은 낮아지는 추세지만, 개인정보를 관리하는 내부 직원 및 용역업체 직원들에 의한 불법적인 개인정보 판매 등은 계속 늘어나고 있어 이에 대한 대책 강화가 요구되고 있다.

개인정보보호를 위한 관리적·기술적 방법들
우선 개인정보보호 관련 조직 확대 및 예산 증액이 절실하다. 공공부문 및 기업의 개인정보보호인력은 소수인 반면, 수많은 정보 시스템 및 용역업체를 관리하기에는 한계가 있기 때문이다. 개인정보보호 예산 또한 다른 사업에 밀려 적기에 지원되지 못하는 경우가 많아 정보시스템 관리에 누수가 발생할 우려가 크다.

둘째, 개인정보를 보호하는 관리 인력의 업무역량 강화와 용역업체에 대한 관리점검을 철저히 해야 한다. 해킹기술 등은 날로 발전하는 반면, 이를 관리하는 인력의 역량은 정체되어 있는 경우가 많다. 이에 전문교육 및 전문 자격증 등을 취득할 수 있게 정책적 노력이 있어야 한다. 그리고 개인정보보호 담당자는 용역업체에 대한 관리 및 점검을 생활화하여 개인정보 유출에 대한 사전 점검 및 후속 조치 등을 지속적으로 추진해야 한다.

셋째, 정보통신 시설·인력에 대한 보안 강화를 위한 사이버안전센터를 구축해야 한다. 해킹 등 사이버공격 차단은 물론, 외부 용역업체의 작업관리 및 주요시설 출입현황 모니터링 등을 통해 정보통신 보안사고 발생을 사전에 예방할 수 있다. 또한, 정보시스템 용역업체가 한 곳에 모여 일할 수 있는 통합 작업실을 확대해야 한다.

규모가 작은 정보 시스템들의 유지관리 인력들은 비상주 근무 및 별도의 공간을 얻어 작업하는 경우가 있어 관리감독 및 보안에 많은 어려움이 따른다. 따라서 통합작업실 운영은 용역업체의 불법행위를 방지하고, 관리감독 기능을 강화하는 역할을 수행하는데 큰 도움이 될 것이다.

끝으로 안전한 네트워크 환경을 마련해야 한다. 접근제어 및 패스워드 인증기능을 사용하고, 시스템 로그 및 웹 관련 로그를 백업하거나 모니터링하여 관리해야 한다. 최근 문제가 되었던 스니핑에 대한 사용자 계정정보나 주요 정보의 송수신을 보호하기 위한 SSL, SHTTP 방식의 암호화 기능을 사용해야 하며, 나아가 접근정책이나 보안정책에 위배되는 사용자에 대해 불법사실을 관리자에게 통보해 주는 침입탐지 시스템을 설치하여 개인정보 유출에 대비해야 한다.

최근 IT 기술의 급속한 발전과 함께 개인정보에 대한 건전한 이용 및 수집의 중요성이 더욱 부각되고 있다. 이는 안일한 개인의 판단이 엄청난 사회적 재난 및 재산상 피해를 입힐 수 있기 때문이다. 따라서 개인정보보호에 대한 생각의 전환 및 중요성을 인식해야 할 것이다. 이를 위해 향후 각 학교마다 개인정보보호 관련 과목을 개설하는 것도 좋은 방법일 수 있다.

옛 고사의 ‘千丈之堤 以.蟻之穴潰 百尺之室 以突隙之烟焚(천길 제방 둑은 땅강아지와 개미구멍에 의해 무너지고 백척의 높은 집이라도 자그마한 굴뚝 사이 불씨에 의해 타버린다)’와 같이 내부직원 및 용역업체 직원의 사소한 사적 욕심으로부터 발생되는 큰 사회적 재난을 막기 위해서라도 개인정보보호에 대한 철저한 내부관리의 중요성은 아무리 강조해도 지나치지 않는다.
[글_ 김동수 국민안전처 정보통계담당관실 주무관(tuboo2@korea.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>