[개인정보 보호③] 천편일률 개인정보 보호 솔루션…체계화된 관리 방법 마련해야
상태바
[개인정보 보호③] 천편일률 개인정보 보호 솔루션…체계화된 관리 방법 마련해야
  • 김선애 기자
  • 승인 2016.01.12 09:30
  • 댓글 0
이 기사를 공유합니다

PC·웹·서버·메일 개인정보 보호 기능 비슷…개인정보 이동·저장되는 모든 과정 체계적 관리해야

‘개인정보보호’가 보안분야에서 올해 가장 주목해야 할 시장으로 부상하고 있다. IoT·핀테크가 본격화되면서 기업들은 더 많은 개인정보를 사업에 이용하고자 하며, 개인정보의 오남용으로 인한 피해, 불법적인 유출로 인한 피해가 심각하게 전개될 것으로 예상된다. 올해 개인정보 보호 시장을 전망해본다.<편집자>

봇물 이룬 개인정보 보호 솔루션

개인정보 보호가 전 사회적인 문제로 대두되면서 개인정보 보호 시장 성장에 가속도가 붙고 있다. 2011년 개인정보보호법이 시행되면서 PC, 서버, 웹 등에 산재된 개인정보를 탐지하고 삭제·암호화하는 솔루션이 경쟁적으로 출시됐다.

지란지교소프트 ‘피씨필터’ ‘웹필터’ ‘서버필터’, 소만사 ‘메일아이’ ‘서버아이’ ‘디비아이’, 컴트루테크놀로지 ‘프라이버시센터S’, 이지서티 ‘유비아이 세이퍼 피에스엠’ ‘유프라이버시 세이퍼’ ‘유프라이버시 세이퍼 이엠에스’ 등이 소개된다.

DLP, DRM 기업들도 개인정보 보호 솔루션을 자사 제품에 옵션으로 추가하거나 단독 솔루션으로 출시하면서 이 시장에 뛰어들었다. 블루문소프트 ‘그라디우스 디스커버리’ 워터월시스템즈 ‘WWPIS’, 마크애니 ‘프라이버시 세이퍼’, 소프트캠프 ‘피아이 스캐너’, 파수닷컴 ‘피아이아이매니저’ 등이 점유율을 높이고 있다.

컨설팅과 관제 서비스를 제공해 온 기업들은 다양한 대규모 환경의 개인정보 보호 컨설팅 및 관제 기업 경험을 녹여낸 개인정보 보호 솔루션으로 전사적인 보호가 가능하다고 주장한다. SK인포섹 ‘이글아이’ 안랩의 ‘프라이버시 매니지먼트 스위트’, 에스에스알 ‘파이룩’ 등이 대표적으로 꼽힌다.

개인정보 유출 공격이 지능화되면서 새로운 기술을 접목한 개인정보 보호 솔루션도 등장했다. 유넷시스템의 ‘애니몬플러스’는 빅데이터 기반 로그분석 기술에 예측분석 기술을 접목시켜 개인정보 유출 정황을 탐지하는 제품이다. 유넷시스템의 예측분석 기술은 사용자의 행위를 분석해 유출 가능성이 있는지 분석하며, 시간과 장소, 업무 특성 등 여러 상황에 맞는 정보를 분석해 오탐·과탐을 줄인다.

<그림 1>개인정보보호 솔루션 워크플로우 (자료: SK인포섹)

부상하는 영상데이터 개인정보 보호

어린이집 CCTV 설치 의무화 등 늘어나는 CCTV 영상데이터에 대한 개인정보 유출 방지 시장도 새롭게 열리고 있다. DRM 기술을 가진 기업들이 높은 경쟁력을 자신하고 있는데, 테르텐 동영상 반출보안 솔루션 ‘미디어셀 포 CCTV’, 마크애니 ‘어린이집 전용 CCTV 영상보안·반출관리 솔루션’이 있다. 파수닷컴은 영상 마스킹 기술을 가진 아이브스테크놀러지의 영상 마스킹 기술과 자사의 영상 암호화 기술을 연동해 영상정보를 보호한다.

CCTV 뿐 아니라 의료용 영상·이미지 데이터, 블랙박스 동영상 데이터, 유튜브·트위터·페이스북·인스타그램 등 SNS를 통해 영상과 이미지가 불법으로 유출되는 등 개인정보 보호 문제가 심각하게 제기되면서 이 데이터에 대한 관리 문제도 지적되고 있다.

보메트릭은 애플리케이션 암호화 기술을 통해 정형 데이터는 물론 비정형 데이터에 대한 암호화를 제공하고 있으며, 국내 병원과 금융권에 데이터 암호화 제품을 공급해 환자·고객 정보를 보호할 수 있도록 지원한다.

천편일률적 기능 가진 개인정보 보호 솔루션

PC, 서버, 웹 상에서 개인정보를 검출하는 솔루션은 기능이나 성능이 대동소이하다. PC, 서버, 웹 상의 개인정보를 찾아 삭제 혹은 암호화하고, 개인정보 사용이력을 남기며, 메일, 웹하드, 클라우드 등 외부로 전송하는 것을 통제하며, 암호화된 데이터에서도 개인정보를 탐색해 통제하는 기능을 탑재한다.

보호해야 할 개인정보는 이름, 주민등록번호, 전화번호, 신용카드 번호, 이메일 주소 등으로, 일정한 패턴을 갖고 있어 해당 패턴을 가진 데이터를 찾아 정책에 따라 삭제·암호화하거나 통제하도록 하면 된다. 스페이스, 언더바, 하이픈, 특수문자 등이 삽입돼 있는 경우 데이터의 유사정도를 판단해 정책을 결정하면 되므로 변별력을 보이기도 쉽지 않은 상황이다.

개인정보 보호 기술의 진입장벽이 높지 않은 것은 사실이지만, 실제 환경에서 개인정보 보호 효과를 높일 수 있는지 여부는 기술만으로 판단할 수 없다. PC 개인정보 보호 솔루션의 경우, 사내 PC에서 에이전트를 통해 개인정보를 검출하는 기술을 제공하며, 이 기술 자체는 쉬운 편이다.

그러나 수만대에 이르는 PC에 에이전트를 설치해 운영하는 것은 쉬운 일이 아니다. 다양한 OS와 애플리케이션 환경을 지원해야 하며, PC에 설치된 다른 에이전트와 충돌을 막아야 하며, PC 성능에 영향을 미쳐서는 안된다. 직원이 임의로 에이전트를 삭제하거나 무력화해 우회하는 것도 막아야 하며, 재택근무자, 원격근무자, 모바일 근무자의 단말을 관리할 수 있는 정책도 마련해야 한다.

이 때문에 개인정보 보호 솔루션을 공급하는 기업들은 일제히 정부·공공기관, 금융기관, 엔터프라이즈 등 각 산업분야를 대표하는 대규모 고객에 제품을 공급해 운영하고 있다는 사실을 적극 홍보한다. 대규모 환경에서 대규모 시스템에 대한 개인정보 보호 전략을 장애 없이, 사고 없이 운영할 수 있는 능력은 단순히 기술만으로 비교하는 것 보다 훨씬 더 복잡하고 어려운 일이다.

관리 어려운 개인정보, 종합 정보보안 관리체계로 보호해야

현재 주류를 이루고 있는 개인정보 보호 솔루션은 대체로 비슷한 기능과 성능을 제공하기 때문에 기술의 우위를 따지기는 어렵다. 그래서 사용자 행위분석 기술(UBA), 이상거래탐지기술(FDS)을 접목해 개인정보와 중요정보 유출 정황을 탐지하는 모니터링 솔루션, 다양한 암호화 기술을 사용해 정보가 유출된다 해도 사용되지 못하게 하는 기술 등 새로운 기술을 접목한 개인정보 보호 솔루션도 제안된다.

개인정보는 보안 솔루션과 기술만으로 보호될 수는 없으며, 종합적인 정보보안 관리체계 안에서 보호돼야 한다. 기업은 보해야 할 개인정보의 종류를 분류하고, 개인정보가 저장된 위치를 정확하게 파악하며, 보유하고 있는 개인정보를 최소화해 관리포인트를 줄여야 한다. 업무와 데이터의 성격에 따라 적절한 보안기술을 적용하며, 임직원 교육을 통해 실수로 개인정보를 유출하는 실수를 저지르지 않도록 해야 한다.

더불어 권한 있는 내부사용자에 의한 유출을 방지하기 위해 개인정보 오남용 기준을 엄격하게 제안하고, 권한 내에서의 사용이라 해도 모니터링과 감사를 통해 유출 정황을 빠르게 파악하는 것이 중요하다.

<그림 2>개인정보 보호 체계 운영 전략 (자료: 소만사)


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.