모든 환경 데이터 보호 가능한 신기술 필요
[데이터넷] 개인정보 보호를 위해서는 민감정보를 반드시 암호화 해 저장하고, 유통되는 과정에도 암호화된 상태를 유지하도록 해야 한다. 키는 안전한 곳에 보관하며, HSM을 이용해 키에 대한 접근통제를 강력하게 유지하는 것도 필요하다.
데이터 유출방지(DLP)와 개인정보 보호 솔루션을 이용해 민감정보의 불법 유출을 막는 조치도 필수다. 정형·비정형 데이터에서 개인정보, 신용정보, 생체정보 등을 검출해 적정한 수준의 보안 조치를 취하며 불 법적인 유출이 일어나지 않도록 해야 한다. 공격자가 SSL 암호화 트래픽에 숨겨 탈취하지 않도록 암호화 트 래픽도 검사해야 하며, 클라우드 스토리지, 메신저 등 을 통해 빠져나가지 않도록 강력한 제한 조치를 취해야 한다.
국내 DLP 시장은 소만사가 가장 강력한 점유율을 갖고 있으며, 서버, 엔드포인트, 웹 등 개인정보가 보관된 모든 시스템에서 개인정보 유출을 강력하게 차단한다. 전용 프록시 장비를 이용해 SSL 암호화 트래픽을 이용 한 유출을 막으며, EDR 솔루션을 이용해 지능적인 악 성코드를 통한 정보유출과 침해사고를 막는다.
행정안전부는 개인정보 접속기록 관리 강화를 위해 애플리케이션을 이용한 접근뿐 아니라 DBMS 직접 접속까지 통제해야 한다는 내용으로 ‘개인정보 안전성 확 보 조치 기준(고시)’을 개정했다. 현재 공공기관에 공급되는 대부분의 개인정보 접속기록 관리 솔루션은 애플리케이션 단의 접근을 통제하지만 시스템, DBMS를 통해 접근하는 것은 통제하지 못한다. 따라서 공공기관은 이 기술을 별도로 도입하는 것이 필요하다.
피앤피시큐어는 DB·시스템·OS 접근제어 기술을 개인정보 접속기록 관리 솔루션 ‘인포세이퍼’에 적용해 모든 종류의 데이터 접근을 통제할 수 있다. 또한 비정 형 데이터의 개인정보를 암호화하는 ‘데이터크립토’를 연결시켜 다양한 형태의 데이터에서 개인정보를 보호한다.
피앤피시큐어는 모든 종류의 ‘접근’을 통제하는 기술을 핵심에 두고 관련된 솔루션을 단일 플랫폼으로 통합해 제공한다. DB, 시스템, OS 접근제어와 통합 계정접 근관리(U-IAM), 개인정보 접속관리와 권한제어 기능이 있는 암호화 등도 단일 플랫폼처럼 연동해 사용할 수 있다. 클라우드에서도 통합 플랫폼을 그대로 사용할 수 있어 클라우드 이전 시 데이터 보호와 접근통제, 권한제 어 요건을 한번에 만족할 수 있다.
박천오 피앤피시큐어 대표는 “기존의 IT 통제 프로세 스는 모든 시스템에 대해 각각 다른 접근제어 솔루션을 적용해 관리가 매우 복잡하고 어려웠다. 건물에서 주차 장, 엘리베이터, 사무실 출입카드를 따로 쓰는 것과 마 찬가지 상황”이라고 말했다.
그는 이어 “기업이 클라우드 이전 속도를 올리면서 기 존과 같은 복잡한 통제 시스템을 원하지 않게 됐다. ‘접근 통제’라는 큰 개념에서 개별 솔루션이 하나의 플랫 폼으로 통합되면 보안홀 없이 통제가 가능하며 비용을 줄이고 관리 복잡성을 제거하며 업그레이드도 용이하다”며 “피앤피시큐어의 통합 플랫폼이 추구하는 가치를 고객이 인정하면서 시장 점유율을 높여 가고 있다. 기존 고객 뿐 아니라 신규 고 객들도 상당수 확보하며 금융, 공공, 엔 터프라이즈 전반에서 고르게 매출을 올 리고 있다”고 말했다.
분산기술로 암호화 않고도 데이터 보호
개인정보를 가장 안전하게 지키는 방법은 암호화지만, 암호화는 대형 인프라 투자가 필요하고 암·복호화에 시간 이 소요된다는 불편함이 있다. 양자컴퓨터가 현실화되면 현재 암호체계는 무력 화 될 것이라는 경고도 있다.
데이터를 쪼개 분산 저장하는 방법으로 데이터를 보호하는 기술이 새롭게 등장해 주목된다. 분산 저장된 모든 데이터가 모여야만 완전한 데이터가 완성되며 어느 한 조각이라도 모이지 않으면 데이터를 완성할 수 없다. 특정 노드의 데이터가 유출된다 해도 데이터를 보호할 수 있는 기술로 해킹이나 랜섬웨어 등 으로 인한 유·손실 위험을 제거할 수 있다.
정보분할보안기술(DPST) 기반 데이터 보호 솔루션을 제공하는 와임은 데이터 형태에 제약 없이 DPST 기 술로 보호할 수 있다고 주장한다. DB, 문서, 이미지, 동영상, 지적재산권, 계정정보, 의료정보, 생체정보 등 을 보호할 수 있다. 공공·의료기관 등에서 데이터 보호 와 멀티팩터 인증을 위해 와임의 기술을 사용하고 있으며, 금융기관 바이오정보 보호를 위한 표준화 기술로 등재됐다.
조래성 와임대표는 “기존의 보안 기술은 새로운 ICT 환경에서 요구하는 보안 수준을 만족시킬 수 없다. 지 능적인 디지털 범죄로부터 사람들을 보호하지 못하고, 정보 소유자와 저작권자의 권리도 보호하지 못한다”며 “새로운 환경을 위한 보안 기술을 도입하는데 불필요한 규제를 완화하고 현실적인 정책을 마련하는 것이 시급 하다. 와임의 혁신적인 기술이 다양한 형태의 데이터 보호 요구를 만족시킬 수 있을 것”이라고 말했다.
