\r\n\r\n
\r\n\r\n\r\n |
\r\n
\r\n개인정보보호를 위한 IT 보안 트렌드
\r\n
우리 회사의 개인정보를 보호하라!
\r\n
\r\n
2011년 공공 및 민간분야를 모두 아우르는 개인정보보호법 발효 이후 ‘개인정보보호’라는 키워드는 여전히 큰 화두이다. 기업이 보호해야 하는 개인정보는 업무상 활용을 위해 수집한 정보로 직원 PC는 물론이고 웹서버, DB 등 다양한 곳에 산재되어 있기 마련이다. 이에 기술적 안전조치의 일환으로 개인정보가 있을 만한 곳을 찾아 보호하는 다양한 IT 솔루션 구축이 진행되어 왔다.
\r\n
\r\n
| 컴트루테크놀로지컨설팅팀(consulting@comtrue.com) |
\r\n
\r\n
이번 기고에서는 개인정보보호를 위한 IT 보안 트렌드를 알아보고자 한다. 우선, 개인정보보호 솔루션이란 무엇인가? 첫 번째로는 개인정보가 있는 곳(예를 들어 PC, DB 등)을 보호하는 솔루션을 들 수 있다. 외부의 불법적인 공격을 막아 그 내부에 있는 개인정보를 보호한다. 두 번째는 개인정보 자체를 보호하는 솔루션을 꼽을 수 있다. 이는 데이터 자체를 보호하는 것으로 개인정보를 암호화하는 것을 들 수 있다. 최근 APT 등 외부공격 자체가 다양해지고 지속적으로 변화하는 만큼 데이터 본질을 보호하려는 움직임으로 IT 보안 솔루션이 변화하는 추세이다.
\r\n
\r\n
개인정보보호, 콘텐츠 필터링 기술이 관건
\r\n
데이터 자체를 보호하기 위해서는 그 데이터가 어디에 있는지, 보호해야 하는 데이터(개인정보)에 부합하는지 먼저 살펴야 한다. 이를 위해서 개인정보보호 솔루션은 저마다 ‘필터링’이라는 기술을 가지고 있다. 단순 검색과는 달리 개인정보라는 조건에 맞는 경우를 찾아내는 기술이다.
\r\n
\r\n
개인정보 필터링은 특정한 개인정보 패턴이 일치하는 경우 이를 ‘개인정보’로 인식한다. 주민등록번호는 한국의 독특한 개인식별 정보로 생년월일, 지역코드, 지역 내 주민등록 신고순서, 인식자로 구별된다. 인식자란 앞에 나열된 패턴을 특정 알고리즘으로 계산시 나오는 숫자로 이 정보가 주민등록번호인지, 의미 없는 숫자나열인지 확인하는 숫자가 된다.
\r\n
\r\n
주민등록번호는 널리 알려진 일정한 패턴에 속하지만 그렇지 않은 경우도 비일비재하다. 계좌번호, 신용카드 번호와 같은 정보는 각 업체마다 패턴이 다르고 새로운 패턴으로 변경되기도 하며 그 패턴 알고리즘을 공개하지도 않는다. 법에서 요구하는 암호화 대상인 고유식별정보(주민등록번호, 외국인등록번호, 운전면허번호, 여권번호)와 금융정보인 계좌번호, 신용카드 번호 등을 정확히 선별할 수 있는 것이 필터링 기술의 척도라 할 수 있다.
\r\n
\r\n
또한, 이 필터링을 어떤 파일, 문서에서 돌려볼 것인가도 중요한 문제다. 예를 들어 PC 개인정보보호 솔루션으로 PC에 있는 모든 파일을 필터링 하게 되면 PC 부하는 물론이고 엄청난 시간이 소요될 수 있다. 그렇기 때문에 실제로 쓰는 특정 ‘문서’의 확장자만을 분류해 내용 중 개인정보가 있는지 필터링하게 된다. 외산제품의 필터링의 경우 국내에서 활발하게 활용되는 아래아한글(hwp)과 같은 포맷지원이 되지 않는 문제가 발생한다. 실제로 쓰는 업무용 문서 포맷에 적용해야 하기 때문에 한국의 업무환경에 적용할 수 있는 국산 토종 솔루션이 더욱 적합하다.
\r\n
\r\n
이 필터링 기술은 다양한 개인정보보호 솔루션의 근간이다. 이를 활용해 PC에 있는 개인정보를 찾아낼 수도 있고 웹서버, DB 등 다양한 솔루션에 적용할 수 있다. 내용인식(Contents-Awareness) 기반의 솔루션이라는 명칭은 바로 이를 의미한다. 개인정보외에도 사용자가 등록한 중요 키워드를 등록해 필터링 할 수 있도록 개발해 개인정보보호 및 내부정보 유출방지 솔루션으로 진화하고 있다.
\r\n
\r\n
\r\n\r\n\r\n\r\n |
\r\n
\r\n
개인정보 활용 시스템 별 IT 보안 Trend
\r\n
필터링으로 찾아낸 개인정보는 어떻게 안전 조치를 해야 할까? PC 개인정보보호 솔루션이나 DB 암호화 같은 솔루션의 경우 ‘암호화’라는 기술을 통해 데이터 자체를 안전하게 보호한다.
\r\n
\r\n
암호화로 보호된 데이터는 공격을 통해 정보를 탈취했더라도 함부로 열어 볼 수 없다. 물론 암호 자체가 쉽게 풀려서는 안 되므로 개인정보보호법에서는 국정원에서 인증한 암호화 알고리즘을 통해 암호화 한 것을 기술적 안전조치로 보고 있다. 대부분의 개인정보보호 솔루션은 이렇게 인증된 암호화 알고리즘으로 암호화를 진행하고 있다. 업무상 개인정보가 있을 수밖에 없는 PC, DB, Web 서버에 대해 개인정보보호 IT 보안 솔루션의 기능과 현재 경향은 어떠할까?
\r\n
\r\n
PC 개인정보보호 솔루션의 경우 검출 된 개인정보 파일이나 문서를 이 알고리즘으로 암호화하게 된다. 데이터는 비밀번호를 알고 있는 사용자 자신이나, 공용문서 암호화를 하는 경우 사내 직원들끼리만 열람할 수 있다. 공용문서 암호화란 번거롭게 문서를 저장하고 수정할 때마다 비밀번호를 기입하는 것이 아니라, 저장 시점에 자동적으로 사내 공용 암호로 암호화가 진행되는 기술이다. 빈번하게 활용하는 PC 개인정보보호 솔루션 특성 상 효율적인 기능으로 진화한 사례라고 할 수 있다.
\r\n
\r\n
DB 암호화의 경우는 DB에 있는 개인정보 필드에 대해 선택적으로 암호화 하거나, DB에 있는 테이블 전체를 암호화 하거나, 중요 정보의 뒷자리만 암호화 하는 등 다양한 암호화를 지원하는 솔루션이 존재한다. 회원가입 시 넣는 비밀번호는 단방향으로 암호화되어 복호화가 불가능하다. 그 외의 정보는 양방향으로 암호화해 복호화가 가능하다. 하지만 인가된 사용자가 아닌 이상 이 정보를 복호화 해 볼 수 없다. 고객정보에 쉽게 접근할 수 있는 직원들은 암호화 된 정보를 함부로 열람 할 수 없고 복호화 된 정보를 본다 해도 접속 기록이 남게 된다.
\r\n
\r\n
대규모 개인정보 유출 사건으로 불리는 다수의 사건이 바로 DB에 있는 정보가 유출된 사건이었다. 그 중 DB 암호화를 진행해 주민등록번호가 암호화되어 있다는 것을 입증해 처벌이 감경된 사례도 있다. 그만큼 데이터 자체의 암호화는 다양한 공격이 발생하는 오늘날 필수적인 마지막 보안 방안이다.
\r\n
\r\n
\r\n\r\n\r\n\r\n |
\r\n
웹서버의 개인정보보호를 위한 IT보안 경향
\r\n
마지막으로 웹서버에 있는 개인정보보호에 대한 IT 보안 경향을 언급하고자 한다. 웹서버는 홈페이지를 통해 들어오는 고객정보, 게시판의 게시물, 민원 게시물 등 다양한 개인정보가 홈페이지 관리자도 모르게 올라오는 곳이다. 최근의 이슈인 ‘구글링’을 통한 신상 유출도 이와 같이 웹서버에 남아있는 정보를 통해 진행된다. 그만큼 관리가 필요한 곳이다.
\r\n
\r\n
홈페이지 개인정보보호 솔루션의 경우 개인정보 필터링 기술을 활용하여 기존에 있던 홈페이지 내의 개인정보를 스캔하는 솔루션과 실시간으로 올라오는 개인정보 게시물에 대한 차단을 진행하는 솔루션으로 나뉜다. 이 두 가지를 동시에 지원하는 솔루션이 가장 호응이 크다. 또한, 홈페이지 소스 자체를 수정해야 하는 솔루션보다는 어플라이언스 장비로 네트워크에 연결만 하면 구동되는 방식이 선호된다.
\r\n
\r\n
개인정보보호를 위한 다양한 IT 솔루션은 필터링 기술을 기반으로 데이터를 암호화 하거나 이를 차단하는 방식으로 진행 되고 있다. 앞으로의 발전 방향을 언급하자면 필터링 속도 및 정확성 증대, 솔루션 별 통합 및 연동, 내부정보유출방지 솔루션으로의 진화와 같은 업계 추세로 설명할 수 있을 것이다. 내부정보유출방지를 위한 IT 보안 솔루션 Trend에 대해서는 다음 기고를 통해 전하고자 한다.
\r\n
\r\n
[월간 시큐리티월드 통권 제202호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>
