개인정보 관련 보안사고의 증가에 따라 기업들의 개인정보보호에 대한 관심이 높아지고 있다. 특히 최근 온라인 쇼핑몰의 개인정보 유출사고를 비롯한 통신업체의 개인정보 제3자 제공, 명의도용 사고 등 개인정보 유출사고가 집단소송과 법적 제제로 이어지면서 기업들은 금전적 손실을 예방하고 이미지를 제고하기 위해 개인정보보호에 더욱 주력하고 있다. 즉, 개인정보가 단순히 보호해야 할 대상이라는 당위적 접근에서 한걸음 더 나아가 정보보호가 기업의 이익과 직결될 수 있음을 인식하기 시작하게 됐으며, 개인정보 침해에 대한 예방 제도로서 개인정보 영향평가 제도는 그 중요성이 점차 부각되고 있다.

개인정보 영향평가 제도는 기업이 신규 시스템을 구축하는 계획단계 뿐만 아니라, 현재 운용 중인 개인정보 관리 체계에 대해서도 고객의 개인정보 침해 위험이 있는 지를 자체적으로 평가, 분석해 이에 대한 개선 방안을 도출하는 제도로 미국과 유럽 등 선진국을 중심으로 도입 실시하고 있다. 국내에서는 KISA가 ‘개인정보 영향평가 가이드라인’을 제공해 이동통신사를 중심으로 개인정보 영향평가 제도를 수행하고 있다.

개인정보 통합 보안관리를 위한 ‘알파인더PIA’
에이쓰리시큐리티의 ‘알파인더PIA(RFinderPIA)’는 그동안 관리되지 않았던 개인정보를 자산의 개념으로 분석하는 시스템이다. 정통부와 KISA가 개발한 ‘개인정보 영향평가 가이드라인’을 준용해 ‘개인정보 침해 사전예방’, ‘개인정보 관리체계 점검’을 위한 단계별 항목을 점검함으로써 개인정보보호를 둘러싼 위험요소를 도출하고, 보안대책 이행을 지원하며, 개인정보 보유현황 및 보호수준 모니터링을 수행한다.

알파인더PIA는 개인정보의 보안위협을 분석하고 관련 사고를 예방하기 위한 자체적인 점검수단으로써 활용할 수 있으며, 정보시스템의 구축, 운영에 있어 발생할 수 있는 시행착오를 예방하고 효과적인 대응책 수립이 가능하게 만든다. 또한 고객의 민원 등 외부 개입 이전에 내부적으로 문제를 파악 처리함으로써 기업에 대한 신뢰 증진뿐만 아니라, 기업 개인정보보호 강화를 위한 기반이 될 수 있다.

알파인더PIA의 도입 대상은 개인정보를 취급하는 모든 기업이 될 수 있다. 특히 대량의 개인정보를 수집, 이용하는 기업에게는 알파인더PIA가 필수적이라고 할 수 있다. 비즈니스 측면에서는 개인정보를 다량 보유, 관리하는 정보시스템의 신규 구축 사업, 신기술 또는 기존 기술의 통합으로 프라이버시 침해 가능성이 있는 기술을 사용하는 사업, 개인정보를 보유, 관리하는 기존 정보시스템을 변경하는 사업, 개인정보의 수집·이용·보관·파기 등 개인정보 라이프사이클 내 중대한 개인정보 침해 위험이 발생할 가능성이 있는 사업 모두가 알파인더PIA의 평가 대상이 된다.

알파인더PIA는 영향평가 수행주체에 대한 R&R을 정립하고 시스템으로 자동화한 것이다. 알파인더PIA의 영향평가 프로세스는 ‘①평가 대상여부확인 → ②영향평가 요청 → ③평가담당자 지정 → ④요청서 검토/보완 → ⑤영향평가수행 → ⑥이행계획수립 및 결과보고 → ⑦이행점검 및 결과보고’ 등의 순서로 진행된다.

산업별 맞춤화된 정책·법규 템플릿 제공
알파인더PIA의 장점 중 하나는 세분화되고, 차별화된 템플릿을 제공한다는 점에 있다. 서비스와 업무는 물론 산업군에 따른 차별화된 템플릿을 제공해 보다 철저한 개인정보보호 체제가 마련되도록 하고 있는 것이다.

에이쓰리시큐리티의 알파인더PIA는 영향평가 요청 시 서비스 유형별 세분화된 검토항목을 제공하고 검토항목을 서비스 기획·개발·운영으로 구분해 업무 역할별 보안대책을 기입할 수 있도록 돼 있다. 이는 영향평가 요청 서비스와 관계없는 불필요한 입력을 제거하고, 담당하고 있는 검토항목만 작성할 수 있도록 함으로써 편의성을 극대화할 수 있게 한다.

또한 기업이 기본적으로 지켜야 할 개인정보보호 관련 법령, 지침 등을 산업별로 분석해 점검내용과 보안대책으로 상세하게 제시함으로써 각 기업이 최적화된 개인정보보호를 마련하게 하는 기반을 제공한다. 나아가 개인정보별 라이프사이클 흐름을 분석하는 기능도 제공한다. 라이프사이클에 입각한 모니터링을 수행함으로써 보호해야 하는 개인정보를 보다 철저하게 관리하도록 하는 이점을 준다.

알파인더PIA는 개인정보가 시스템 내에서 어떤 경로를 거치는지, 사내 직원들에게는 어떻게 이용되고 있는지, 혹은 제3자에게는 어떻게 제공되고 있는지 등을 개인정보 라이프사이클인 수집·저장·이용·제공·파기에 따라 처리되는 정보흐름을 등록할 수 있어 각각의 개인정보가 어떤 관리적 기술적 보안조치 하에서 수집·이용되고, 제 3자에게 제공되는지, 개인정보 파기 시 어떠한 절차를 거치게 되는지를 검토할 수 있게 한다.

특히 이러한 과정을 통해 기업이 수집한 개인정보의 흐름을 개인정보 흐름도로 제공하며, 이는 업무단계별 또는 정보흐름과정별로 어떠한 개인정보 침해 요인 및 가능성이 존재하는지 시각적으로 분석할 수 있다.

각종 보고서 자동 산출
각종 보고서 자동 산출 기능은 알파인더PIA가 자랑하는 기능 중 하나다. 개인정보 영향평가 시 산출되는 영향평가 요청서, 보고서, 정기 운영/통계 보고서 등을 대/내외 보고 자료로 활용 가능하도록 자동 산출해 제공하는 것으로 이를 통해 관리자는 보고서 작성에 대한 부담을 줄일 수 있게 된다.

알파인더PIA는 영향평가 시 작성된 기초 정보들을 활용대 개인정보에 대한 다양한 모니터링을 수행할 수 있다. 제공되는 개인정보 모니터링 기능은 다음과 같다.

1. 사내 개인정보 보유현황 검색 및 모니터링
기업이 제공하는 서비스 내 개인정보를 속성별로 구분해 개인정보 보유현황을 파악하고 각 속성별 개인정보에 대한 보호수준 분석
2. 개인정보 흐름도 자동생성
시스템간 개인정보 연동 시 개인정보 흐름 분석을 통해 다이어그램(Diagram)으로 보여 주고, 탑다운 어프로치(Top-Down Approach) 방식을 사용해 모니터링 정보 구조화
3. 영향평가 항목별 보호수준 모니터링
평가항목을 13개의 평가 영역으로 구성, 이 영역에 대해 전사적으로 관리수준을 한눈에 파악할 수 있으며, 상세 평가 항목에 대해 안전한 서비스, 취약한 서비스를 실시간 조회 가능
4. 서비스 유형별 개인정보 보호수준 모니터링
서비스 유형별로 현재 위험수준에 대한 실시간 모니터링이 가능하고 보유 위험내용·해당 시스템·위험분포 현황 검색 가능
5. 부서별 개인정보 보호활동 수준 모니터링
각 부서별 영향평가 수행현황 조회가 가능하며, 각 부서별 이행수준과 현재 업무처리 현황에 대한 실시간 검색 가능

문의: 에이쓰리시큐리티
전화: 02-6292-3001
www.a3security.com