[출처 : 보안뉴스, 2014-11-12]

개인정보보호 솔루션 도입 및 운영 프로세스 꼼꼼히 짚어보기
[보안뉴스= 강서일 닉스테크 차장] 2011년 개인정보보호법 시행 이후, 개인정보에 대해 법적 규제가 더욱 강화되었고 다양한 보안 솔루션들이 제공되고 있다. 그러나 끊임없이 고객정보 유출사고가 발생하고 있으며, 대량의 고객정보를 취급하는 기업을 대상으로 한 사이버 공격과 피해도 점차 늘어나고 있다.

연이은 고객정보 유출사건으로 개인정보보호가 주요 사회적 이슈로 대두하고 있으며, 이에 개인정보를 성공적으로 보호할 수 있는 보안 솔루션 도입과 관리 노하우에 대한 관심도 점차 커지고 있다. 이에 기업에서의 개인정보보호 준비과정에서부터 도입, 운영까지의 과정을 짚어보도록 한다.

1. 개인정보보호를 위한 준비

개인정보를 어떻게 보호할 것인지 그리고 이를 준비하기 위해 무엇을 검토해야 되는지 알아보고 그에 따른 방안을 알아본다.

 1)개인정보 파일 라이프 사이클 검토 

개인정보 파일의 라이프 사이클이 어떻게 관리되는지 살펴보자. 공공기관은 보유하고 있는 개인정보를 취급하는 업무를 수행하며, 일반 기업과 금융기관은 개인정보 수집부터 운영, 제3자 제공까지 취급할 수 있다. 그러므로 개인정보 파일의 라이프 사이클이 어떻게 관리되는지 확인하고 이를 통해서 보안 솔루션 도입 및 관리 방안에 대한 검토가 진행될 수 있다. 예로 인터넷 서비스 제공 기업이 회원가입을 통해서 개인정보를 수집하고 이를 통해서 메일 발송 및 상품 판매 그리고 배송을 제공하는 경우, 개인정보 파일 라이프 사이클은 표와 같이 구분이 될 수 있다.

▲개인정보파일 라이프 사이클 예

2)개인정보 파일 관리 방안
개인정보 파일 관리에 대한 내부 정책이 있다면 보안 솔루션의 기능 제공 여부를 확인하고 만약 정해진 내부 정책이 없다면 기본적으로 개인정보보호법(고유 식별자 암호화, 완전 삭제, 파일 관리 대장 등)에 따른 개인정보 파일 관리 방안에 대해 검토해야 한다. 또한 개인정보 파일에 대한 모니터링 및 감사 로그를 통해서 유출에 따른 자료를 제공할 수 있어야 하며 업무에 따른 편리성을 제공해야 한다. 관리 및 통제 방안은 개인정보 파일 라이프 사이클과 업무 프로세스 모두를 고려해야 한다.

2. 개인정보보호 솔루션 검토

개인정보보호 준비를 진행하면 개인정보 파일 관리 및 업무 프로세스에 대해 필요한 보안 기술 기능을 확인할 수 있다. 이에 개인정보보호 솔루션 검토 방안에 대하여 다음과 같이 언급할 수 있다.

1)개인정보 파일 라이프 사이클에 따른 보안 솔루션 검토
하나의 보안 솔루션이 개인정보 파일 라이프 사이클에 따른 모든 영역에 대해 보안 서비스를 제공하면 좋겠지만, 각 개인정보 파일 라이프 사이클과 업무 프로세스가 다르기 때문에 다양한 보안 제품군을 검토하게 된다.

데이터베이스에 개인정보를 수집한다면 데이터베이스에 대한 암호화 솔루션 검토가 진행될 수 있고 PC에서 운영되는 개인정보 파일에 대한 라이프 사이클을 관리하기 위해서는 PC 대상의 개인정보보호 솔루션 도입을 검토해야 한다. 또한 제3자의 제공이나 완전 삭제를 위한 부가적인보안 기능에 대한 검토도 필요하다.

2)개인정보 관리 및 통제에 대한 보안 솔루션 검토
개인정보 파일에 대한 정책 및 법규 준수에 따른 기능은 거의 모든 개인정보보호 솔루션 업체가 제공함으로 검토에서 큰 차이점이 없다. 그러므로 기능의 차별화보다는 실제 업무와 프로세스를 위한 기능이 제공될 수 있는지 여부가 더 중요하다. 이는 실제 업무에 도움을 줄 수 있거나 추가로 요구될 수 있는 사항을 수용하고 제공할 수 있는 기술 보유가 중요하다. 즉, 각 기관 및 기업, 금융권이 업무나 개인정보 파일 관리에 차이가 있기 때문에 공통적인 부분을 제외하면 업무와 요구 사항에 따른 프로세스를 지원 여부에 대한 평가가 핵심이 된다.

3)도입 검토
도입의 목적에 맞는 개인정보파일 솔루션을 검토하기로 했다면 2~3개의 동일한 목적의 보안 솔루션을 검토한다. 다수의 솔루션을 검토하는 것도 좋은 방안이지만 많은 시간과 업무의 효율성을 위해서는 별로 좋은 방안은 아니다.

도입에 대한 보안 솔루션 검토는 크게 3가지로 나눠지는데, 보안 기능, 유지보수 그리고 구매 가격으로 구분할 수 있다. 보안 기능은 앞에서 언급했기 때문에 제외하고 유지 보수는 인력 보유 여부가 1순위이고 그 다음으로는 얼마큼 실제 지원이 잘 이루어지는지 문의를 통해서 확인이 필요하다.

긴급 시 지원 방안이나 프로세스가 존재하며 정기적인 유지 보수가 어떻게 이루어지는지 확인이 필요하다. 구매 가격 부분은 각 보안 솔루션 업체마다 차이가 있기 때문에 제외하도록 한다.

3. 개인정보보호 솔루션 도입 및 운영 방안

개인정보보호 솔루션의 도입과 운영 방안은 도입 환경이나 업무의 특성으로 다양한 변수가 발생할 수 있다. 보안 솔루션은 초기 도입 시 안정화 및 사용자의 업무에 변화를 가지고 오기 때문에 다양한 가능성에 대하여 검토해야 한다. 여기서는 고객사에서 많이 고려되고 논의되는 내용 중 몇 가지에 대해 살펴본다.

1)업무 환경과 요구 사항
패키지 보안 솔루션을 그대로 활용하는 방안이 가장 효과적일 수 있지만 업무 환경의 특성이나 요구사항으로 인해 기능을 커스터마이징(Customizing)하거나 새로운 기능 개발이 필요할 수 있다. 파일 중심의 보안기능은 사용자의 업무와 밀접하게 관계가 있기 때문에 개인정보 파일의 보안 기능 및 업무를 지원하기 위한 프로세스가 제공되어야 한다. 예를 들어 개인정보 파일을 강제로 암호화하는 기능을 사용한다면 관리자를 통해 파일 복호화를 제공할 수 있는 승인 프로세스가 동반되어야 한다. 또한 그룹웨어 등의 기존 결재 시스템과의 연동을 통해서 결재 승인 프로세스를 통일되게 함으로써 사용자에 편리성을 제공하는 부분을 고려할 수 있다.

또한 다른 보안 솔루션과 함께 운영되는 경우에는 타 보안 솔루션과의 연동을 고려할 수 있는데, 하나의 예로 개인정보보안 솔루션과 파일 암호 DRM 솔루션 간의 API를 연동함으로써 업무 프로세스를 단순화할 수 있다.

2)보안 솔루션간의 기능 중복
각각의 보안 솔루션들은 고유 보안영역이 있기 때문에 서로 기능이 중복되는 경우는 매우 드물지만, 다른 영역의 보안 솔루션과 일부 기능이 중복될 수도 있다. 예를 들어 개인정보보호 솔루션의 파일 반출 프로세스는 온라인이나 저장매체 등과 같은 외부로 유출시 차단된 개인정보파일에 대하여 승인권자의 결재를 통해서 반출하는 것으로, 이는 DRM을 사용하는 고객의 DRM 암호화 파일 반출 프로세스와 일부 중복이 될 수 있다.

비록 각각의 솔루션은 그 보안 영역과 사용 목적에 차이가 있지만 유사한 기능에 대한 업무프로세스를 제공하고 있기 때문에 이러한 경우 두 개의 프로세스를 각각 사용하는 것보다 보안 솔루션들 간의 연동을 통해 하나의 프로세스로 통합 운영하는 방안에 대하여 논의가 필요하다.

3)개인정보 파일 검색과 운영 방안
개인정보파일 검색 솔루션은 대부분 정규식과 키워드를 통해서 검색을 제공하고 있다. 정규식은 동일한 패턴을 검출하므로 인해 오탐이 발생할 수 있으며, 이와 같은 경우 오탐에 대한 분석을 통해서 해당 정규식을 최적화해 제공하는 방안이 있다. 이렇게 진행하기 위해서는 우선 약 1개월 내외로 패턴 혹은 검출에 대한 모니터링을 진행하여 해당 검출에 대한 오탐 및 정탐에 대하여 확인한다. 이를 통해서 지속적인 오탐을 줄여 정규식에 대한 안정화를 진행하여 개인정보 파일에 대한 검출의 정확성을 높여 보안 기능을 적용하는데 문제가 발생하지 않도록 운영해야 한다.

4)개인정보 파일 관리 방안
개인정보 파일에 대한 관리 방안으로써 법규에 정의된 고유식별번호에 대한 암호화 및 완전 삭제 그리고 개인정보 파일의 외부 유출에 대한 차단이 필요하며, 특히 개인정보 파일 관리대장을 통해서 보유중인 개인정보 파일에 대한 관리가 요구된다. 개인정보 파일 관리대장을 통해 개인정보 파일 등록 관리를 유도하고 등록 유예 기간 만료 이후에는 파일을 자동으로 삭제하거나 암호화하도록 함으로써 사용을 통제할 수 있다. 또한 개인정보 파일 관리 대장 등록 시, 파일의 보유 기간을 설정함으로써 그 보유기간이 만료되면 파일을 자동을 삭제한 후 개인정보 파일 파기 대장에 등록하도록 한다. 이를 통해서 개인정보 파일의 라이프 사이클에 대한 모니터링 및 관리를 동시에 진행할 수 있다.

4. 보안 솔루션과 보안의식 강화

개인정보보호 솔루션 도입을 통해서 개인정보의 유출을 통제하고 개인정보보호 법 준수를 강화할 수 있다. 다양한 보안 솔루션의 도입 목적 중 공통적인 부분은 사용자의 보안 의식을 강화하여 사용자 스스로 법규를 준수하도록 하는 것이다.

사용자의 위법 행위를 차단하고 지속적인 경고와 감사 로그를 통한 보고로 사용자에게 자신의 행위에 대한 보안의식 강화를 통해 스스로 그 행위를 하지 않도록 교육하는 것이다. 보안에 대한 가장 좋은 것은 내부 사용자의 보안의식이 강화되어 스스로 규범을 지키며, 위법 행위를 하지 않는 것이다.

개인정보보호 솔루션의 도입 및 운영에 있어서는 업무 환경과 운영 방식에 따라 새로운 프로세스가 다양하게 정의될 수 있겠지만, 궁극적으로는 그 도입목적에 잘 부합하고 사용자의 보안의식을 지속적으로 강화할 수 있는 방향으로 운영이 요구되고 있다.

개인정보를 보호하기 위해 필요한 보안 솔루션이 다양해짐에 따라 다양한 보안 솔루션을 관리하기 위한 역량이 요구되며 이로 인해 다양한 보안 솔루션의 관리 프로세스를 최소화하고 단순화하는 방안이 더욱 절실해지고 있다. 일관된 보안정책을 손쉽게 수립하고 보안에 대해 통합관리를 제공하여 관리자의 편의성을 높이고 업무 환경에 유기적으로 통합될 수 있는 보안체계 마련이 무엇보다 필요하다.

[글_강서일 닉스테크 차장(sikang@nicstech.com)]