| 개인정보보호 솔루션의 성공적인 도입에서 운영까지 | 2015.02.02 | |
[시큐리티월드=닉스테크 강서일 과장] 2011년 개인정보보호법 시행 후, 개인정보에 대해 법적 규제가 더욱 강화되었고 다양한 보안 솔루션들이 제공되고 있지만 끊임없이 고객정보 유출사건, 사고가 발생하고 2013년에는 대량의 고객정보를 취급하는 기업을 대상으로 한 사이버 공격과 이로 인한 피해가 유난히 두드러진 해였다. 연이은 고객정보 유출사건으로 개인정보보호가 주요 사회 이슈로 대두하고 있으며, 이에 개인정보를 성공적으로 보호할 수 있는 보안 솔루션의 도입과 관리방안에 대해 살펴보자. \r\n 개인정보보호를 위한 준비 \r\n개인정보를 어떻게 보호할 것인지 그리고 이를 준비하기 위해 무엇을 검토해야 되는지 알아보고 그에 따른 방안을 알아본다. \r\n개인정보 파일 라이프 사이클 검토 \r\n개인정보 파일의 라이프 사이클이 어떻게 관리되는지 살펴보자. 공공기관은 보유하고 있는 개인정보를 취급하는 업무를 수행하며, 일반 기업과 금융기관은 개인정보 수집부터 운영, 제3자 제공까지 취급할 수 있다. 그러므로 개인정보 파일의 라이프 사이클이 어떻게 관리되는지 확인하고 이를 통해서 보안 솔루션 도입 및 관리 방안에 대한 검토가 진행될 수 있다. 예로 인터넷 서비스 제공 기업이 회원 가입을 통해서 개인정보를 수집하고 이를 통해서 메일 발송 및 상품 판매 그리고 배송을 제공하는 경우, 개인정보 파일 라이프 사이클은 표와 같이 구분이 될 수 있다. \r\n개인정보 파일 관리 방안 \r\n개인정보 파일 관리에 대한 내부 정책이 있다면 보안 솔루션의 기능 제공 여부를 확인하고 만약 정해진 내부 정책이 없다면 기본적으로 개인정보보호법(고유 식별자 암호화, 완전 삭제, 파일 관리 대장 등)에 따른 개인정보 파일 관리 방안에 대하여 검토해야 한다. 또한 개인정보 파일에 대한 모니터링 및 감사 로그를 통해서 유출에 따른 자료를 제공할 수 있어야 하며 업무에 따른 편리성을 제공해야한다. 관리 및 통제 방안은 개인정보 파일 라이프 사이클과 업무 프로세스 모두를 고려해야 한다. \r\n개인정보보호 솔루션 검토 \r\n개인정보보호 준비를 진행하면 개인정보 파일 관리 및 업무 프로세스에 대해 필요한 보안 기술 기능을 확인할 수 있다. 이에 개인정보보호 솔루션 검토 방안에 대하여 아래와 같이 언급할 수 있다. \r\n개인정보 파일 라이프 사이클에 따른 보안 솔루션 검토 \r\n하나의 보안 솔루션이 개인정보 파일 라이프 사이클에 따른 모든 영역에 대해 보안 서비스를 제공하면 좋겠지만 각 개인정보 파일 라이프 사이클과 업무 프로세스가 다르기 때문에 다양한 보안 제품군을 검토하게 된다. \r\n데이터베이스에 개인정보를 수집한다면 데이터베이스에 대한 암호화 솔루션 검토가 진행될 수 있고 PC에서 운영되는 개인정보 파일에 대한 라이프 사이클을 관리하기 위해서는 PC 대상의 개인정보보호 솔루션 도입을 검토해야 한다. 또한 제3자의 제공이나 완전 삭제를 위한 부가적인 보안 기능에 대한 검토도 필요하다. \r\n개인정보 관리 및 통제에 대한 보안 솔루션 검토 \r\n개인정보 파일에 대한 정책 및 법규 준수에 따른 기능은 거의 모든 개인정보보호 솔루션 업체가 제공함으로 검토에서 큰 차이점이 없다. 그러므로 기능의 차별화보다는 실제 업무와 프로세스를 위한 기능이 제공될 수 있는지 여부가 더 중요하다. \r\n이는 실제 업무에 도움을 줄 수 있거나 추가로 요구될 수 있는 사항을 수용하고 제공할 수 있는 기술 보유가 중요하다. 즉 각 기관 및 기업, 금융권이 업무나 개인정보 파일 관리에 차이가 있기 때문에 공통적인 부분을 제외하면 업무와 요구 사항에 따른 프로세스를 지원 여부에 대한 평가가 핵심이 된다. \r\n개인정보파일 솔루션 도입 검토 \r\n도입의 목적에 맞는 개인정보파일 솔루션을 검토하기로 했다면 2~3개의 동일한 목적의 보안 솔루션을 검토한다. 다수의 솔루션을 검토하는 것도 좋은 방안이지만 많은 시간과 업무의 효율성을 위해서는 별로 좋은 방안은 아니다. \r\n
개인정보보호 솔루션 도입 및 운영 방안 \r\n개인정보보호 솔루션의 도입과 운영 방안은 도입 환경이나 업무의 특성으로 다양한 변수가 발생할 수 있다. 보안 솔루션은 초기 도입 시 안정화 및 사용자의 업무에 변화를 가지고 오기 때문에 다양한 가능성에 대하여 검토해야 한다. 여기서는 고객사에서 많이 고려되고 논의되는 내용 중 몇 가지에 대해 살펴본다. \r\n업무 환경과 요구 사항 \r\n패키지 보안 솔루션을 그대로 활용하는 방안이 가장 효과적일 수 있지만 업무 환경의 특성이나 요구사항으로 인해 기능을 Customizing하거나 새로운 기능 개발이 필요할 수 있다. 파일 중심의 보안 기능은 사용자의 업무와 밀접하게 관계가 있기 때문에 개인정보 파일의 보안 기능 및 업무를 지원하기 위한 프로세스가 제공되어야 한다. \r\n
보안 솔루션간의 기능 중복 \r\n각각의 보안 솔루션들은 고유보안영역이 있기 때문에 서로 기능이 중복되는 경우는 매우 드물지만, 다른 영역의 보안 솔루션과 일부 기능이 중복될 수도 있다. 예를 들어 개인정보보호 솔루션의 파일 반출 프로세스는 온라인이나 저장매체 등과 같은 외부로 유출시 차단된 개인정보파일에 대하여 승인권자의 결재를 통해서 반출하는 것으로, 이는 DRM을 사용하는 고객의 DRM 암호화 파일 반출 프로세스와 일부 중복이 될 수 있다. \r\n
개인정보 파일 검색과 운영 방안 \r\n개인정보파일 검색 솔루션은 대부분 정규식과 키워드를 통해서 검색을 제공하고 있다. 정규식은 동일한 패턴을 검출하므로 인해 오탐이 발생할 수 있으며, 이와 같은 경우 오탐에 대한 분석을 통해서 해당 정규식을 최적화하여 제공하는 방안이 있다. 이렇게 진행하기 위해서는 우선 약 1개월 내외로 패턴 혹은 검출에 대한 모니터링을 진행하여 해당 검출에 대한 오탐 및 정탐에 대하여 확인한다. 이를 통해서 지속적인 오탐을 줄여 정규식에 대한 안정화를 진행하여 개인정보 파일에 대한 검출의 정확성을 높여 보안 기능을 적용하는데 문제가 발생하지 않도록 운영해야 한다. \r\n개인정보 파일 관리 방안 \r\n개인정보 파일에 대한 관리 방안으로써 법규에 정의된 고유식별번호에 대한 암호화 및 완전 삭제 그리고 개인정보 파일의 외부 유출에 대한 차단이 필요하며, 특히 개인정보 파일 관리대장을 통해서 보유중인 개인정보 파일에 대한 관리가 요구된다. 개인정보 파일 관리대장을 통해 개인정보 파일 등록 관리를 유도하고 등록 유예 기간 만료 이후에는 파일을 자동으로 삭제하거나 암호화하도록 함으로써 사용을 통제할 수 있다. 또한 개인정보 파일 관리 대장 등록 시, 파일의 보유 기간을 설정함으로써 그 보유기간이 만료되면 파일을 자동을 삭제한 후 개인정보 파일 파기 대장에 등록하도록 한다. 이를 통해서 개인정보 파일의 라이프 사이클에 대한 모니터링 및 관리를 동시에 진행할 수 있다. \r\n보안 솔루션과 보안의식 강화 \r\n개인정보보호 솔루션 도입을 통해서 개인정보의 유출을 통제하고 개인정보보호 법 준수를 강화할 수 있다. 다양한 보안 솔루션의 도입 목적 중 공통적인 부분은 사용자의 보안 의식을 강화하여 사용자 스스로 법규를 준수하도록 하는 것이다. 사용자의 위법 행위를 차단하고 지속적인 경고와 감사 로그를 통한 보고로 사용자에게 자신의 행위에 대한 보안의식 강화를 통해 스스로 그 행위를 하지 않도록 교육하는 것이다. 보안에 대한 가장 좋은 것은 내부 사용자의 보안의식이 강화되어 스스로 규범을 지키며, 위법 행위를 하지 않는 것이다. \r\n
[글_닉스테크 강서일 과장] \r\n[월간 시큐리티월드 통권 216호 (sw@infothe.com)] \r\n<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지> |
||
 |
.jpg)