| 개인정보규제 강화, 어떻게 관리해야 할까 | 2015.01.16 | |||
업무처리 시스템 관점의 개인정보 접속기록 관리 \r\n
개인정보 유출 사고를 분석해보면 대부분의 경우가 내부 직원 등 인가된 전산 시스템 사용자에 의한 비율이 약 80% 이상을 차지하고 있다. 최근까지도 지속적으로 발생하고 있는 인가된 사용자에 의한 정보유출사고는 보안교육 강화를 통한 직원 개개인의 정보관리 의식 향상도 중요하지만, 시스템적으로 개인정보의 접속상황을 완벽하게 관리해 오남용 및 유출에 완벽하게 대응할 수 있는 시스템을 구축할 필요가 있다. \r\n [시큐리티월드=엔소프테크놀러지 BCSO 정연오 기술이사(yo.jung@ensof.co.kr)] 현재 국내에서는 전자금융감독규정과 개인정보보호법에 의해 보안시스템에 대한 감독 기능을 수행하고 있지만, 일반적으로 글로벌 금융기관은 본사 차원의 보안정책과 한국 감독기관의 보안정책을 모두 만족하는 시스템을 구축해야 한다. \r\n
\r\n
개인정보보호 정책하의 기술적 요구사항 \r\n에이스생명은 분산 서버 환경에서 인가된 내부사용자에 의한 개인정보접속을 관리하기 위해 감독기관의 지침보다 한 단계 고도화한 기술적 요구사항을 다음과 같이 정의했다. \r\n개인정보 접속거래는 시작 시점에서부터 완료 시점까지 서버 구간별 어플리케이션 처리 흐름이 Full Path로 기록돼야 하며 모든 거래는 처리 구간별로 연계돼야 한다. \r\n개인정보 업무처리 시스템에서 수행되는 모든 DBMS 처리내역이 기록돼야 한다. \r\n소스프로그램의 수정이나 Network 장비의 추가도입이 없는 Server Agent 방식이어야 한다. \r\n거래관점에서 개인정보접속 관리체계 구축방법 \r\n인가된 내부 및 외부의 업무시스템 사용자에 의한 개인정보접속내역 실시간 관리체계 구축내부 및 외부 개발자의 악의적 프로그램 개발에 의한 개인정보유출 관리체계 구축 감독기관 및 고객의 개인정보보호법 요구에 대응할 수 있는 관리체계 구축 \r\n거래관점에서 개인정보접속 관리체계를 구축하기 위해서는 개인정보에 접속하는 모든 거래에 대해 각 서버에서 운영 중인 Application 정보를 자동으로 추출해야 하며, 추출된 각각의 애플리케이션(Application) 정보는 하나의 거래에 다수의 애플리케이션(Application) 정보를 매핑할 수 있는 KEY 값을 자동 생성해 관리할 방안이 제시돼야 한다. 또한, 시스템 운영 중 발생할 수 있는 장애에 대비해 각각의 에이전트(Agent)에 대한 One-Stop Kill & Restart 기능 등 완벽한 관리자 기능이 제공돼야 한다. \r\n이상의 목표를 만족하는 제품을 도입하기 위해 국내외 여러 제품을 조사한 결과 TScan가 요건을 충족시킬 수 있었으며, PoC를 통해 그 적용 가능성에 대해 확신을 갖게 되었다. 구축과정에서 어떠한 소스의 변경도 필요 없었으며, 운영환경에서의 시스템 리소스 및 성능(Performance) 변화가 적용 전과 비교해 큰 차이가 없었다. \r\n개인정보 접근 관리체계 구축의 기대효과 \r\n①개인정보보호법 및 전자금융감독규정 등 관련 법규 완벽 충족 \r\n②내외 개발자에 의해 악의적으로 개발된 프로그램에 의한 개인정보유출 관리체계 구축 \r\n③User ID 및 IP Address 기준으로 개인정보 오남용 의심거래 감시체계 구축 \r\n④User ID 유출에 의한 악의적 외부 사용자 감시체계 구축 \r\n⑤개인정보처리 업무의 거래기준 감시체계 구축 \r\n[월간 시큐리티월드 통권 215호 (sw@infothe.com)] \r\n<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지> |
||||
 |
.jpg)
.jpg)
.jpg)