https://www.datanet.co.kr/news/articleView.html?idxno=183419

• 김선애 기자

• 승인 2023.05.15 08:39

• 댓글 0

‘파르고스’, 개인정보 접속기록 관리·AI 기반 이상행위 탐지·관제 기능 제공

권한 사용자의 탈법·일탈 감시 조치 강화…경쟁사 윈백 잇달아 성공

[데이터넷] 서울대병원이 개인정보보호위원회 출범 후 공공기관 최초로 과징금을 부과받는 불명예를 얻었다. 서울대병원은 2021년 대규모 개인정보 유출사고를 일으켰는데, 해커는 이미 확보한 계정정보를 이용해 병리자료 서버에서 65만3000여명의 환자 진료정보를 유출하는 등 68만여 건의 환자정보, 직원정보를 탈취당했다.

개인정보위는 지난 10일 서울대병원에 ▲고유식별정보 처리 제한 위반 ▲안전조치의무 위반 ▲유출 통지의무 위반 등으로 과징금 7475만원, 과태료 660만원을 부과했다. 유출된 개인정보의 규모와 피해정도에 비하면 결코 중한 처벌이라고 할 수 없지만, 공공기관 최초 과징금 부과 사례라는 점에서 주목해야 할 것으로 보인다. 특히 해커가 웹셸과 이전에 획득한 계정정보를 이용해 민감한 환자정보와 직원정보를 대규모 탈취하는 것을 인지하지 못했다는 점에서 대책 마련이 필요할 것으로 보인다.

AI 기반 이상행위 탐지로 개인정보 유출 예방

공격자들은 정상적인 계정과 프로세스를 이용해 개인정보에 접근하며, 기존 보안 시스템을 우회하기 때문에 지능적으로 해커의 행위를 탐지할 수 있는 솔루션이 필요하다. 또 권한있는 내부자의 정보유출 문제를 탐지할 수 있는 방법도 필요하다. 신당역 살인사건, N번방 사건, 송파 가족살인사건 등이 개인정보 접근권한이 있는 공무원의 일탈행위가 사건의 단초를 제공하기도 했다.

이에 정부는 공무원의 개인정보 유출 사고에 대해 강력한 처벌을 내리는 방향으로 제도를 강화하고 있으며, 대규모 개인정보와 민감정보를 갖고 있거나 대규모 사고를 일으킨 시스템에 대해서는 책임자 지정, 강화된 개인정보 관리체계 구축, 엄격한 접근권한 관리, 접속기록 점검 기능 도입과 보완, 개인정보 취급자의 탈법·일탈에 대한 감시 등의 조치를 취하도록 했다.

이 조치를 만족하기 위해서는 개인정보 접속기록 관리 시스템뿐만 아니라 정상적인 권한 사용자의 일탈을 감지할 수 있는 기술, 보안관제 기술과의 긴밀한 연계가 필수로 요구된다.

김현철 삼오씨엔에스 대표는 “공공기관은 개인정보 접속기록 관리 시스템을 도입·운영하고 있는데도 개인정보 유출사고가 계속 이어지고 있다. 사후 감사용으로만 사용되기 때문에 사전에 유출 사실을 감지하지 못하기 때문이다. 그래서 실시간으로 이상행위를 탐지하고 대응할 수 있는 기술이 반드시 함께 사용돼야 한다”고 설명했다.

삼오씨엔에스는 개인정보 접속기록 관리 시스템과 지능형 이상행위 탐지 시스템, 개인정보 통합관제 시스템의 기능을 모두 만족하는 ‘파르고스(PARGOS)’ 솔루션을 공급하고 있으며, 지난달 혁신제품 시범구매 성공 판정을 받아 기술력을 인정받았다. 파르고스는 2021년 혁신제품으로 지정됐으며, 조달청을 통해 공공기관은 제주관광공사, 울산시설공단, 대구시 달성군시설관리공단, 울산광역시 중구도시관리공단 등에서 시범운영한 결과 성공 판정을 받은 것이다.

파르고스는 중소벤처기업부 연구개발 지원을 받아 주요 기능을 강화했으며, 접속기록 생성과 수집·저장관리, AI 기반 이상행위 분석·보고·점검관리, 소명관리 등의 기능을 갖췄으며, 관제와 추적, 감사 기능으로 보안 사고에 선제적으로 대응할 수 있게 한다.

김현철 대표는 “개인정보 접속기록 관리 솔루션 전문기업뿐만 아니라 접근통제 기술기업, 개인정보 보호 솔루션 전문기업 등이 강화되는 개인정보 보호법에 대응하는 솔루션을 제공하고 있지만, 파르고스와 같은 수준의 AI 기반 이상행위 탐지와 관제기술까지 완성하지 못했다고 자신한다. 파르고스는 이 시장의 후발주자이지만, 경쟁사 윈백에 성공하면서 시장 점유율을 높이고 있다”고 말했다.