[데이터넷] 클라우드로 고객정보가 이관되면서 개인정보 보호 문제가 더욱 심각해졌다. 개인정보 보호 규제가 강화되고 있는데, 클라우드는 가시성과 통제력이 부족해 보안 체계를 만들기 어려운 상황이다. 클라우드 데이터 보호 전문기업 스파이스웨어의 ‘스파이스웨어 온 클라우드’는 이 분야의 전문성을 집약시킨 SaaS로, 모든 규모의 기업이 클라우드 데이터를 안전하게 보호하면서 보안 투자를 효율화할 수 있도록 돕는다. <편집자>
개인정보 유출 위험은 날이 갈수록 심화되고 있다. 유출된 개인정보는 피싱·스피어피싱·보이스피싱 등에 악용되며, 금융정보 탈취로 금전적 피해도 입힌다. 기업 중요 시스템과 데이터 접근을 위한 계정정보 탈취에도 이용된다. 개인정보보호위원회의 ‘털린 내 정보 찾기 서비스’는 서비스 개시 한 달 만에 18만명이 사용했는데, 사용자 중 10%가 실제 피해를 입은 것으로 나타났다.
기업 비즈니스가 클라우드로 전환되면서 개인정보 유출 위험이 더 높아지고 있다. 최근 유명 이커머스 기업들이 잇달아 대규모 개인정보 유출 사태를 일으키고 있는데, 이들은 완전히 클라우드만을 사용하거나 서비스의 대부분을 클라우드에서 운영한다. 클라우드와 온프레미스에 분산된 고객정보를 제대로 관리하지 못해 연이어 사고를 일으키고 있는 것이다.
개인정보 라이프사이클 맞춘 보안관리
개인정보보호위원회가 추진하는 개인정보보호법 개정안에는 개인정보보호법 위반 시 전체 매출의 3% 이하를 과징금으로 부과하는 방안이 담겨있다. EU GDPR은 전 세계 매출액의 4% 혹은 2000만유로(약 250억원)가 부과된다.
개인정보보호법은 지속적으로 강화되고 있으며, 우리나라 법원에서도 매우 강력한 철퇴를 내리고 있다. 개인정보보호위원회는 페이스북이 2012년부터 6년간 국내 이용자 330만명의 개인정보를 유출한 건에 대해 67억원의 과징금을 부과한 바 있다.
클라우드 데이터 관리 소홀로 개인정보 유출 사고가 발생하면 소비자 피해 보상, 기업 신뢰 하락뿐 아니라 과징금 폭탄까지 받을 수 있다. 그러나 클라우드는 가시성과 통제력을 온전히 확보할 수 없기 때문에 보안에 매우 취약하다. 또한 클라우드에서 발생하는 거의 대부분의 사고는 사용기업의 실수, 설정 오류 등으로 인해 발생한다.
클라우드 개인정보 보호에 특화된 매니지드 보안 서비스 사업자(MSSP)의 서비스를 SaaS로 이용하면 보안에 대한 이해가 부족한 소규모 기업에서도 보안 전문가를 고용하는 것 이상의 보안 효과를 누릴 수 있다. 뿐만 아니라 대규모 기업에서도 보안 투자를 효율화하고 보안 전문가의 부담을 덜면서 개인정보 보호 효과를 높일 수 있다.
클라우드 기반 데이터 보안 전문 서비스 기업 스파이스웨어의 ‘스파이스웨어 온 클라우드’는 클라우드 환경에 최적화된 개인정보 라이프사이클 보안관리 서비스를 제공해 클라우드 데이터 유출 위협을 낮춘다.
기존 데이터 보안 솔루션은 클라우드에 설치할 수 없거나 기능 일부만 설치해야 하기 때문에 시간과 비용이 많이 든다. 스파이스웨어 온 클라우드는 간단하게 에이전트만 설치해 사용할 수 있어 관리 편의성이 높다. AI를 이용해 분산된 클라우드와 시스템에서 개인정보를 자동으로 찾아 관리하기 때문에 관리 편의성과 보안성이 매우 높다.
스파이스웨어 온 클라우드는 ▲기업 중요 데이터가 유출되더라도 이용할 수 없게 만드는 데이터 암호화 ▲기업 내부 데이터 활용도를 높일 수 있는 개인정보 가명처리 ▲내부·파트너 직원으로 인한 데이터 유출을 방지할 수 있는 접속기록 관리 ▲개인정보 이용내역을 알리고 파기하는 개인정보 파기 등의 기능을 통합해 데이터 라이프사이클 전체를 관리한다.
또한 데이터 보안을 위해 추가로 코딩해야 하는 불편함을 제거하고, 자동화를 통해 내부 직원 실수로 인한 정보유출을 방지하며, 외부 위협을 차단할 수 있다.
스파이스웨어 온 클라우드에 포함된 주요 기능은 다음과 같다.
스파이스웨어 PII CDE
- 개인정보 수집·탐지·암호화
- AI가 개인정보를 자동으로 탐지하고, AI 기반 양자내성 알고리즘(AIPQC)과 AI 난수 암호키(AIRNG)로 자동 암호화
스파이스웨어 PII ALM
개인정보 접속기록 관리
여러 시스템에 흩어져 있는 개인정보 접속기록을 안전한 클라우드 스토리지에 한 곳에 모아 장기간 보관할 수 있도록 지원
개인정보 열람 이상행위를 룰 기반으로 사전 차단
스파이스웨어 PII RND
개인정보 파기 자동화
개인정보 파기 규정에 맞게 개인정보 이용 내역을 고객에게 알리고, 휴면 탈퇴 시 복구 불가능한 방법으로 자동 파기
스파이스웨어 온 클라우드는 AWS, 네이버 클라우드 플랫폼, SKT 5GX 클라우드 마켓플레이스를 통해 구독할 수 있다. 스파이스웨어는 과학기술정보통신부와 국가공인 소프트웨어 품질 시험인증기관 TTA로부터 우수성, 필요성, 사업성, 안정성, 성능, 보안성을 인정받은 개인정보 보호 솔루션을 제공하고 있다. 또한 ‘무료 클라우드 데이터 보안 컨설팅’을 통해 기업의 클라우드 내 데이터 보안 취약점 분석과 개선방안을 제안한다.
김근진 스파이스웨어 대표는 “팬데믹 영향 아래 금융과 이커머스 사업을 필두로 디지털 환경이 증가하면서 기업의 개인정보의 수집 및 관리 영역도 급격히 증가했다. 현재 모든 기업이 비즈니스 가속화를 위한 고객의 민감정보 활용 및 관리에 대한 중요도는 인식하고 있지만 그에 따른 해답을 찾는데 어려움을 겪고 있다”며 “리소스가 제한된 비즈니스 환경에서 최적화된 클라우드 보안 확립을 이루기 위해서는 클라우드 내 개인정보 데이터 보안 및 관리 통합 서비스를 고려해볼 필요가 있다. 또한 MSSP가 제공하는 무료 클라우드 데이터 보안 전문 컨설팅을 통해 클라우드 환경에서 발생할 수 있는 개인정보 보안 취약사항을 미리 점검함으로써 보안 사고 를 예방할 수 있다”고 밝혔다
