개인정보 관련 각종 사건·사고들 연이어 발생...개인정보의 안전한 활용은 언제쯤?
카카오, 개인정보 과징금 유출 사고 최고가 경신...개인정보위는 소송예산 증액
개인정보의 안전한 활용과 보호 위해 전면 개정된 개인정보보호법 및 시행령이 미칠 영향
국내외 대표 개인정보보호 솔루션 기업 : 안랩, 데이티스바넷, 시큐어링크, 지란지교데이터, 삼오씨엔에스, 위즈코리아, 피앤피시큐어

[보안뉴스 원병철 기자] 최근 카카오가 개인정보 유출로 개인정보보호위원회로부터 151억원이라는 높은 과징금을 부과받으면서 개인정보보호에 대한 관심이 다시금 높아지고 있다. 이번 사건에서 카카오가 받은 벌금은 한국기업이 개인정보보호법 위반으로 받은 벌금 중 가장 높은 금액이기 때문이다. 아울러 지난 3월에는 개인정보보호법 시행령 2차 개정이 완료되면서 이에 대한 고민도 깊어지고 있다. 아울러 오는 6월 4일 개인정보보호 관련 최대 행사인 ‘제13회 개인정보보호페어 & CPO 워크숍’도 개최를 앞두고 있어 개인정보보호와 솔루션에 대한 관심이 최고조인 이때 <보안뉴스>와 <시큐리티월드>는 최근 개인정보보호 분야 상황을 짚어보는 시간을 마련했다.
 

[이미지=gettyimagesbank]

카카오, 국내 기업 중 최고 높은 과징금 151억원 부과받아
개인정보보호위원회(이하, 개인정보위)는 지난 5월 22일 전체회의를 열고 개인정보보호법을 위반한 카카오에 총 151억 4,196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분결과를 공표했다. 개인정보위는 카카오가 카카오톡 서비스를 제공하는 과정에서 ‘안전조치 의무’, ‘유출 신고·통지 의무’ 위반 사실을 확인했다.

개인정보위는 2023년 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다. 조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했다. 카카오톡 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했으며, 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다.

이번 카카오 사례의 경우는 크게 두 가지 의미가 있다. 첫 번째는 카카오는 지난해 개정된(2023년 3월 14일 개정, 9월 15일 시행) 개인정보보호법 개정안 중 ‘과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향하고, 비례성이 확보되도록 과징금 산정시 위반행위와 관련 없는 매출액을 제외한다(제64조의2)’가 실질적으로 적용된 사례였다.

두 번째는 카카오가 부과받은 과징금이 역대 한국 기업이 개인정보보호법 위반으로 받은 벌금 중 최고 금액이라는 사실이다. 이는 앞서 설명한 것처럼 개인정보보호법이 개정되면서 ‘전체 매출액의 3%’를 과징금으로 매길 수 있게 되면서 발생한 일이기도 하지만, 그동안 정체됐던 벌금의 액수가 높아지고 있다는 것을 보여준다. 실제로 <보안뉴스>에서 조사한 바에 따르면 2020년 이후 개인정보보호법 위반 관련 과징금은 많아지고 있다. 벌금 TOP 10에 2020년 이후 부과된 벌금이 8건이나 포함됐기 때문이다.

가장 많은 벌금을 부과받은 곳은 글로벌 기업인 구글과 메타로, 각각 692억원과 308억원이라는 천문학적인 금액이다. 세 번째가 한국 기업 중 최고로 높은 금액인 44억 8,000만원의 인터파크였는데, 이번에 골프존과 카카오가 연달아 갱신했다. 이어 위메프(18억 5,200만원)와 메가스터디(9억 5,400만원), 천재교과서(9억 335만원) 등이 뒤를 이었다.

개인정보보호법 주무 부처인 개인정보위도 최근 2년간 개인정보 정책 성과 중 하나로 ‘엄정한 법집행으로 안전한 개인정보 처리 유도’를 꼽고 과징금 77건 1,263억원과 과태료 375건 18억원, 시정명령 225건과 시정권고 22건 등을 강조했다. 아울러 개인정보위는 2024년 행정소송 수행예산으로 전년 대비 2배 이상 증액한 4억 2,000만원을 확보했다. 이는 연도별 과징금 등 부과금액/소송 제기 건수가 2020년 29억/5건, 2021년 91억/4건, 2022년 1,025억/1건, 2023년 233억/8건 등 늘어났기 때문이다. 실제로 우리나라에서 가장 높은 과징금을 부과받은 구글과 메타는 2023년 2월 행정소송을 제기해 현재 1심이 진행중이다.

개인정보보호법 및 시행령 개정이 업계에 미칠 영향
개인정보보호법 개정과 시행령 개정은 개인정보를 취급하는 기관과 기업은 물론 개인정보보호 솔루션을 개발하고 유통하는 보안기업들에게도 큰 영향을 미친다. 특히 업계에서는 지난 3월 시행된 개정안의 ‘공공기관 개인정보 보호수준 평가(법 제11조의2, 시행령 제13조의2)’에 주목하고 있다.

이 항목은 종전 ‘공공기관 관리수준 진단’이 평가대상 선정, 평가절차, 진단결과 및 개선·이행조치 등에 대한 명확한 법적 근거가 없는 것을 해결하기 위해 개정됐다. 특히 개인정보 보호수준 평가의 대상이 중앙행정기관과 소속기관, 지방자치단체는 물론 공공기관과 지방공사, 지방공단에 공공기관의 개인정보 처리 업무의 특성 등을 고려해 개인정보위가 고시하는 기준에 해당하는 기관까지 포함된다. 실제로 업계는 개인정보 보호수준 평가대상을 약 1,400여개로 예측했으며, 새롭게 평가대상이 된 공공기관은 이를 위해 개인정보보호 체계를 강화할 것으로 기대하고 있다.

개인정보보호법 개정과 관련해 개인정보위는 공공부문에서 계속되어 온 개인정보 침해사고 근절을 위해 공공부문 안전조치 의무 강화와 개인정보 파일 등록 대상 확대, 그리고 개인정보 영향평가 강화 등을 위해 개정했다고 설명했다. 2019년 n번방 사건과 2021년 송파 살인사건, 2022년 9월 신당동 역무원 살인사건 등에서 발생한 공공부문 개인정보 유출을 방지하기 위한 후속 입법이 필요했다는 것이다. 때문에 이번에 개정된 시행령에서 국민의 개인정보를 대규모로 처리하고 있는 공공기관에 대해 공공시스템 안전조치 강화, 개인정보 파일 등록 정비, 개인정보 영향평가 결과 공개 등을 통해 안전성과 투명성을 강화하겠다는 방침이다.

실제로 이번 공공시스템 운영기관에 대한 안전조치 특례에는 ①내부 관리계획 ②접근 권한 부여 ③접속기록(접속기록의 저장·분석, 점검·관리 등) ④정보주체 통지(비정상 개인정보 접근시 정보주체에 통지) ⑤전담부서·인력배치 ⑥관리책임자 지정 ⑦공공시스템 협의회 등의 내용이 담겼다.

아울러 개인정보보호법 시행령 제30조의2, 개인정보의 안전성 확보조치 기준 제14조제1항에 따라 공공시스템 126종이 지정된 것도 업계에서는 호재로 보고 있다. 개인정보위는 지정된 126종 시스템에 대한 개발기관, 운영기관 및 이용기관은 2024년 9월 15일부터 시행령 제30조의2, 기준 제14조부터 제17조까지를 준수할 의무를 지게 된다고 밝혔다. 특히, 표준배포패키지 8종을 배부받아 구축·운영 중인 지방자치단체도 상기 규정들이 적용된다는 것도 강조했다. 즉 워크넷 등 단일접속시스템 78개, 검찰청 형사사법정보시스템 등 개별시스템 40개, 교육행정지원시스템(나이스) 등 표준배포시스템 8개 패키지 등은 개인정보 강화를 위한 시스템 확장에 나설 수밖에 없다는 설명이다.

일부 기업들은 2023년 9월 일부 개정된 ‘개인정보의 안전성 확보조치 기준’ 제16조 공공 시스템 운영기관의 접근 권한의 관리와 제17조 공공시스템 운영기관의 접속기록 보관 및 점검에서 언급한 개인정보 접속기록 관리가 주목받을 것으로 봤다.

성장하는 개인정보보호 솔루션 시장
개인정보보호 솔루션이 필요한 이유는 궁극적으로 국민의 자산을 보호하기 위함이며, 개인정보보호법은 물론 다양한 컴플라이언스를 준수하기 위함이다. 특히 데이터 경제 시대가 오면서 개인정보가 단순히 정보를 넘어 경제적 부가가치를 창출할 수 있는 자산이 됐고, 이를 노리는 각종 범죄의 손길이 늘어나면서 개인정보보호 솔루션에 대한 니즈가 폭발적으로 증가하게 됐다.

아울러 EU의 GDPR을 시작으로 일본의 개인정보보호법, 미국의 연방 개인정보보호법(APRA) 등 전 세계적으로 개인정보를 보호하기 위한 규정이 제정되면서 이를 위한 솔루션 역시 크게 증가할 것으로 보고 있다.

우리나라 역시 2011년 최초로 개인정보보호법을 제정한 이후 여러 번의 개정을 거쳐 오늘날의 모습을 하게 됐다. 특히 법 제29조 안전조치의무에 따라 개인정보 처리자는 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 내부 관리계획 수립과 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 취해야 한다.

이에 따라 보안업계에서는 2011년을 기준으로 다양한 개인정보보호 솔루션을 선보이게 됐다. 물론 그 이전에도 개인정보를 포함한 데이터 보호를 위한 여러 솔루션이 존재했지만, 컴플라이언스라는 핵심 이슈에 맞춰 산업이 새롭게 태동했다고 볼 수 있는 것이다.

포춘 비즈니스 인사이트(Fortune Business Insights)에 따르면 2023년 전 세계 개인정보보호 소프트웨어 시장은 27억 6,000만 달러, 한화 약 3조 7,668억원 규모로 추정되며, 2032년까지 연평균 37% 성장해 482억 달러, 한화 약 65조 8,074억원 규모에 달할 것으로 전망된다.

그렇다면 개인정보보호 솔루션은 어떤 것들이 있을까? 이는 목적에 따라 크게 두 가지로 나눌 수 있다. 우선 조직이 갖고 있는 개인정보를 식별하고 보호하기 위한 솔루션이 있다. 그리고 개인정보의 안전한 활용을 위한 개인정보 접속기록과 개인정보 비식별화 등의 솔루션이 있다.

사실 개인정보 자체는 기존 데이터의 한 종류이기 때문에 데이터 보안 솔루션을 그대로 사용하는 경우도 많으며, 몇몇 개인정보에 특화된 보안 솔루션이 추가됐기 때문에 논란이 있긴 하다. 대표적인 개인정보보호 솔루션은 △개인정보 데이터 관리(검출, 격리, 삭제) △개인정보 비식별화 △개인정보 암호화 △개인정보 접속기록관리 △DRM(디지털 권리 관리) △명의도용 차단 △이미지 스캔 OCR △DLP(정보유출방지 솔루션)(가나다순) 등이다.

상황이 이렇자, 전통의 개인정보보호 솔루션 기업이 아닌 데이터 보안 등 기존 보안전문기업에서 개인정보보호 솔루션 시장에 뛰어드는 일도 늘어나고 있다. 국내 대표 보안기업인 안랩 역시 최근 고객들의 니즈를 통해 개인정보보호 솔루션의 필요성을 공감하고, 개발을 통해 올해부터 본격적으로 퍼블리싱에 나선 것으로 알려졌다.

한편 CCTV 등 영상보안 분야에서도 개인정보보호를 위한 솔루션을 주목하고 있다. 개인영상정보도 개인정보에 포함되기 때문이다. 공공기관의 160만대 CCTV는 물론 다양한 민간영역에서 CCTV를 사용하고 있으며, 최근 이슈인 수술실 CCTV 등 새로운 환경에서의 CCTV 활용이 늘면서 CCTV 영상을 보호하기 위한 움직임이 늘고 있다.

국내외 대표 개인정보보호 솔루션
그렇다면 국내외 보안기업들이 선보인 개인정보보호 솔루션은 어떤 것들이 있을까? 현재 보안시장에 나온 개인정보보호 솔루션은 다음과 같다.

데이티스바넷의 개인정보 분리파기 솔루션 ‘DataGenor PDS’는 각기 다른 업무영역에 개인정보들을 통합해, 전사적 관점에서의 고속선정 추출 및 분리, 파기작업을 체계적으로 자동화할 수 있는 솔루션이다. 사전 정의된 정책에 따라 대상 고객을 자동 식별하고 결재·파기·분리·보관·모니터링·결과확인 등 작업 전 과정을 제어할 수 있다. 직관적인 UI를 적용해 조작이 간편하다는 장점이 있다. 분리보관 시스템을 보다 효율적으로 운영할 수 있도록 업무영역별 키 관리 기법도 제공한다.

삼오씨엔에스의 주력 제품인 ‘파르고스 v3.0’은 중소벤처기업부에서 혁신제품으로 인정받았으며, 지난 3년 동안 40여개 공공기관에 성공적으로 도입됐다. 파르고스 v3.0은 △접속기록 관리 △이상 행위 탐지 △소명 관리 기능이 통합 관리되는 개인정보 통합관제 시스템으로 자리매김하고 있다. 강화된 개인정보 보호조치 기준에 따라 공공 시스템(집중관리 시스템)은 조직 기반으로 접속기록 관리 및 이상 행위를 탐지하고, 이에 대해 사유를 받는 소명 관리 기능이 중시되는 경향을 보이는데, 파르고스 v3.0은 이러한 기능을 충족한다.

시큐어링크의 ‘SPK(Safe. Privacy Keeper)’는 PC내 다양한 파일에서 개인정보를 실시간으로 검출하고 관리하는 솔루션이다. 이 제품은 문서 및 이미지 파일 내 개인정보를 감지해 암호화하거나 삭제하는 기능을 제공한다. 추가로 감사 추적 기능을 통해 데이터 처리 과정을 모니터링하고 필요한 보안 조치를 즉시 실행할 수 있다. 이 기능들은 조직이 데이터 보안 요구사항을 충족하고 법적 요구사항을 효과적으로 준수할 수 있다.

안랩의 ‘AhnLab Data Security’는 클라우드 환경을 고려해 설계되어 명확한 테넌트 분리와 브로드 네트워크 지원을 위한 보안 설계를 충족하는 안랩의 데이터 보안 서비스다. AhnLab Data Security는 WAF와 같은 게이트웨이 형태의 서비스로, 서비스 재개발 없이도 이용 가능한 것이 특징이다. 조직의 보안 담당자가 직접 조직의 상황에 맞게 개인정보보호 관리 대상을 선택하고, 적용할 수 있는 형태로, 보안 담당자는 개인정보보호 관련 업무 효율성을 높이고, 보호 대상의 누락, 상태 관리 등의 위험요소를 빈틈없이 관리할 수 있다.

우경정보기술의 지능형 영상정보보안 솔루션 ‘시큐워처(SECUWATCHER)’는 CCTV 통합관제센터 등에서 촬영된 영상정보를 암호화해 보관하고, 외부 반출시 반출 관리, 위변조 방지, 유출 탐지 등을 통해 개인영상정보를 보호할 수 있는 영상정보보안 솔루션이다. 개인정보보호법에 기반한 개인 프라이버시를 완벽하게 보호하고 고화질 대용량 영상의 고속 암/복호화 기능을 갖추고 있으며, 영상 위변조 방지 및 안전한 영상반출관리를 지원한다. 이 외에도 Human & Face Detection 자동 및 수동객체 추적기능과 전용 플레이어를 이용한 영상접근제어가 가능하다.

데이터 보호 전문기업 지란지교데이터는 ‘보편적이고 실용적인 프라이버시 케어 서비스 및 데이터 보호 솔루션 제공’을 목표로, 개인정보 및 데이터 보호 솔루션 ‘필터 시리즈’를 개발·공급하고 있다. 필터 시리즈는 △PC DLP 및 개인정보보호 솔루션 ‘피씨필터(PCFILTER)’ △개인정보 및 불건전 게시물 필터링 솔루션 ‘웹필터(WEBFILTER)’ △서버 개인정보 진단 솔루션 ‘서버필터(SERVERFILTER)’ △개인정보 비식별화 솔루션 ‘아이디필터(IDFILTER)’ △인공지능 기반 데이터 보호 솔루션 ‘AI필터(AIFILTER)’로 구성됐다. 이를 통해 PC, 서버, 웹사이트 등을 아우르는 개인정보보호 체계를 구축할 수 있으며, 안전한 데이터 활용을 위한 체계도 구현할 수 있다.

컴트루테크놀로지의 ‘셜록홈즈 시리즈’는 자체 개발한 AI OCR 신경망을 적용한 개인정보보호 검출 및 후처리 솔루션이다. AI OCR 신경망을 자체 개발했기 때문에 상대적으로 넓은 분야에 연동이 가능하다. 최근 기술의 발전으로, 개인정보가 저장된 서버·매체 등이 많아지며 다양한 채널의 개인정보보호를 원하는 목소리가 커지고 있다. 이런 상황에서 컴트루테크놀로지는 자체 개발한 AI OCR 신경망을 활용해 PC·웹서버·파일서버를 포함해 DMZ, 온-나라, ERP, 이메일 시스템 등 다양한 분야에 개인정보보호 솔루션을 접목할 수 있다. 또한 내부 R&D 인력의 지속적 신경망 업그레이드로, 더 우수한 알고리즘 개발 시 해당 기능으로 업그레이드까지 가능하다.

파수의 ‘파수 데이터 레이더(Fasoo Data Radar, FDR)’는 데이터 식별 및 분류 솔루션으로 Windows, Mac, 파일서버 등 모든 저장소의 데이터 보유 현황을 파악하고 자동 분류한다. 개인정보와 같은 민감정보를 실시간 검출하고 암호화/분류/격리하거나 일정 기간 후 권한 회수 및 파기할 수 있는 다양한 후처리 기능을 제공해 개인정보 관리 컴플라이언스 대응 등에 많이 활용되고있다. ‘AI-R Privacy(AI Radar Privacy)’는 비정형 파일에 포함된 개인정보를 검출 및 마스킹하는 솔루션으로, AI 기반의 자연어 처리(NLP) 기술과 광학식 문자판독장치(OCR) 기술, 파수 자체 딥러닝 기술을 활용해 머신러닝 평가지표(F1 Score) 93.1%를 기록하는 등 뛰어난 개인정보 검출 정확도를 자랑한다.

피앤피시큐어의 개인정보 접속기록 관리 솔루션인 ‘INFOSAFER’는 WAS를 통해 접속하는 업무 사용자와 개인정보처리시스템(DB)에 다양한 경로로 직접 접속해 개인정보를 조회/사용한 기록을 로깅하고, 실시간 모니터링 및 관리한다. INFOSAFER는 WAS 등 3tier 환경에서의 정보 조회 시, 여러 패턴으로 개인정보 조회 여부를 모니터링하며, 확인된 개인정보는 소명 시스템을 통해 사용자에게 소명을 요구할 수 있고, 소명 데이터를 승인/결재해 관리할 수 있다. DBSAFER와 함께 사용할 경우, 2tier 접속자(DB 직접 접속자) 로그 연동을 통해 INFOSAFER에서 통합 관리 및 모니터링이 가능하다.

하이젠이 공급하는 ‘스톤플라이(Secure Storage)’는 언제 어디서나 사용 가능한 시큐어 스토리지 솔루션을 제공해 일반적인 SAN, NAS 스토리지 기능 및 데이터 삭제 방지 및 Air-Gap 백업 기술을 적용함으로써 랜섬웨어와 악의적인 공격으로부터 데이터를 보호하고 복구하는 보안 스토리지다.

현장에서 발생하는 개인정보 이슈의 절반은 ‘관리 실수’
개인정보와 관련된 사건·사고가 연이어 발생하고 이에 대응하기 위한 개인정보보호법 및 시행령이 계속 개정되면서 개인정보보호 솔루션 기업은 물론 개인정보보호 담당자들도 촉각을 곤두세우고 있다. 특히 기업과 기관의 고객 및 회원 개인정보 이슈에서 최근 내부 임직원 개인정보 이슈로 옮겨가면서 더욱 고민이 깊어가고 있는 상황이다.
 

▲개인정보보호 솔루션 인식 설문조사[자료=보안뉴스]

이와 관련 <보안뉴스>와 <시큐리티월드>는 2024년 5월 14일부터 17일까지 4일간 약 10만여명의 보안 담당자에게 ‘개인정보보호 솔루션 인식 및 선호도 조사’를 실시했다. 이번 설문조사에는 공공(32.3%)과 민간(67.7%)의 보안 담당자 2,261명이 답했다.

우선 생각보다 응답자들이 보유한 개인정보가 많았다. 1명~1만명의 개인정보를 보유한 응답자가 39.4%로 1등이었지만, 100만명 이상의 개인정보를 보유한 응답자도 26.1%로 2위에 올랐다. 이어 1만~5만명 미만이 13.3%, 30만~100만명 미만이 7.9%, 5만~10만명 미만이 7.5%, 10만~30만명 미만이 5.8%로 뒤를 이었다.

이어 이들에게 개인정보의 유출·노출 사고를 당한 적이 있는지 물어봤다. 상당수가 없다(79.6%)고 답했지만, 20.4%는 사고를 당한 경험이 있다고 답했다. 주목할 점은 해당 사고에서 원인으로 꼽힌 것이 내부 관리상 실수(51.7%)가 압도적으로 많았던 점이었다. 외부 해킹(28.8%)과 내부자 유출(19.5%) 등을 합해도 관리상 실수가 더 많았다.
 

그렇다면 보안 담당자들이 개인정보보호를 위해 사용하는 솔루션은 무엇일까? 복수 선택이 가능한 답변에서 가장 많은 선택을 받은 것은 개인정보 암호화(61.5%)였다. 이어 DLP(정보유출방지) 43.8%, 개인정보 접속기록관리 39.8%, 개인정보 데이터 관리(검출, 격리, 삭제) 38.9%, DRM(디지털권리관리) 24.8%, 개인정보 비식별화(18.6%), 이미지 스캔 OCR 8.4%, 명의도용 차단 3.5%, 기타 1.3% 순으로 선택받았다.

이어 앞으로 추가하고 싶은 개인정보보호 솔루션을 물어봤다. 응답자들이 가장 추가하고 싶은 솔루션(복수 선택)은 개인정보 데이터 관리(검출, 격리, 삭제)로 32.7%의 선택을 받았다. 이어 개인정보 접속기록관리 26.1%, 개인정보 비식별화 25.7%, DLP 23.5%, 개인정보 암호화 19.9%, 이미지 스캔 OCR 19.9%, DRM 16.8%, 명의도용 차단 12.8%, 기타 2.2% 순으로 나왔다.

개인정보보호 솔루션, 성장의 모멘텀 보여
2011년 개인정보보호법이 제정되면서 규제를 준수하기 위한 방편으로 본격적인 성장의 길을 걸어온 개인정보보호 솔루션은 컴플라이언스와의 연계를 바탕으로 움직이고 있는 것이 사실이다. 게다가 개인정보의 중요성이 부각되고 반대로 개인정보 활용의 중요성도 함께 떠오르면서 개인정보보호 솔루션에 대한 니즈도 폭발적으로 늘어나고 있다.

하지만 근본적으로 개인정보보호 솔루션은 말 그대로 개인정보를 보호하기 위한 솔루션이다. 다른 데이터와 달리 개인정보는 유출될 경우 다양한 문제가 발생할 수도 있고, 특히 생체정보처럼 바꿀 수 없는 고유의 개인정보도 있기 때문에 그 어떤 데이터보다도 중요하게 생각하고 보호해야 할 대상이라 할 수 있다. 데이터 활용 사회의 기본은 데이터, 더 나아가 개인정보가 보호되는 환경에서만 가능한 일이기 때문이다.

때문에 전 세계적으로 개인정보를 잘 보호하면서도 잘 활용할 수 있는 방법에 대한 고민이 끊이지 않았고, 이후 EU GDPR이나 미국 캘리포니아주 소비자 개인정보보호법 등이 연이어 나오면서 개인정보보호와 관리에 대한 기틀을 마련했다. 그리고 이번에 우리나라 개인정보보호법과 시행령도 잘 정비가 됐다.

이렇게 개인정보보호 솔루션이 다시금 한 단계 성장할 수 있는 발판이 마련됐다. 개인정보보호와 활용을 위한 컴플라이언스가 정비된 가운데 개인정보의 중요성을 공공기관과 민간기업 모두 무겁게 느끼고 있다. 기관과 기업의 보안전문가들 역시 개인정보보호를 위해 새로운 개인정보보호 솔루션 도입을 고민하는 등 성장의 모멘텀을 보여주고 있다.
 

[자료=삼오씨엔에스]

[개인정보보호 솔루션 집중분석-5]
AI이상행위탐지 및 소명사유 관리까지 지원
삼오씨엔에스 파르고스 v3.0, 이용기관에서 직접 접속기록 점검관리 가능

개인정보보호위원회는 2024년 개정 시행중인 개인정보보호법 제29조 안전조치 의무 및 시행령 제30조 개인정보의 안전성 확보조치 기준에 따라 개인정보 접속기록 보관 및 점검 활동을 강화하고 있다. 삼오씨엔에스 파르고스 v3.0 제품은 고객사의 대내외 개인정보처리시스템에 적용되어 개인정보 접속기록관리 및 지능형 이상징후 관리시스템으로 활용되고 있다.

2022년 7월 공공부문 개인정보유출방지 대책부터는 고객사의 대내 개인정보처리시스템 외에 대외 개인정보처리시스템에도 안전성 확보조치 기준을 적용하고 있다. 최근 개정된 기준에는 내부직원 인사정보를 포함하는 정보보안 제품에도 접속기록의 보관 및 점검이 적용되도록 하고 있다.

파르고스 제품은 2023년 9월 시행되고 있는 개인정보의 안전성 확보조치 기준을 확고하게 지원하고 있다. 먼저 안전조치 추가사항으로 법 제29조 및 영 제30조에 따라 집중관리시스템(이하, 공공시스템) 제17조 접속기록의 보관 및 점검 활동 시행(2024.09.15) 예정으로 공공시스템 이용기관이 소관 개인정보취급자의 접속기록을 직접 점검관리 할 수 있는 기능을 제공하고 있다. 공공시스템에 접속한 자의 접속기록을 자동화된 방식으로 분석해 불법적인 개인정보 유출 및 오남용 시도를 탐지하고, 그 내용에 대해 사유 소명 등 필요한 조치를 이행하는 기능이 구현되어 있다.

파르고스 제품은 2020년 11월부터 2021년 12월말까지 서울시에서 지능형 개인정보 접속기록관리 및 안전성 확보조치 고시 이행점검시스템 실증 사업을 성공적으로 마무리했다. 제품은 AI딥러닝 분석 기능으로 지도학습 및 비지도학습 알고리즘을 적용했다.

또한, 취급자의 여러 행동 패턴 탐지를 위한 분석기능으로 접속계정, 접속시간, 수행업무 등에 대해 룰 분석 기능이 포함되어 있다. 2023년 9월 개정 시행되는 개인정보위의 안전성 확보조치 기준 준수를 위해 파르고스 v3.0은 △접속기록 관리 △이상행위 탐지 △소명처리 관리 기능이 되도록 개인정보 통합관제시스템에 활용하고 있다. 이 기능을 통해 공공기관 개인정보 관리수준 진단 계획 중 ‘신기술 환경에서의 데이터의 안전한 활용 및 안전조치 적절성’에 대해 최대 10점의 가점을 받을 수 있다.

파르고스 제품은 접속기록의 생성시 업무시스템의 부하를 최소화하고 다양한 개인정보 유형정보 혹은 정보주체정보 중 ID와 같이 최소 수집 기술, 월 1,000만건 이상 접속기록 및 취급자 50만명 고객사에 적용된 빅데이터 플랫폼으로 분산병렬처리 관리하고 있다.

또한 개인정보취급자에 대한 접근권한 관리 및 접근권한 관리대장 기능을 제공한다. 제품에서 제공하는 API모듈을 활용하게 되면 취급자의 인사정보 연동, 다운로드 사유 연계 건도 손쉽게 파르고스를 활용 관리할 수 있다.

파르고스 제품으로 대내 개인정보처리시스템 접속기록관리 및 점검 활동 중인 한국수력원자력은 차세대 ERP시스템, SAP시스템을 통합관리하고 있다. 제품 구성은 물리적인 서버 장비 3대로 분산병렬처리하고, AI분석 서버 장비로 구성하여, 20여개 이상의 내부 업무시스템에서 접속기록 수집, 인사정보, 다운로드 사유 등을 연계하고 있다. 업무시스템의 개인정보 관리자는 파르고스 제품에 접근해서 이상행위 탐지를 위해 일간/주간/월간 등 수시로 점검 활동을 진행하고, 사유를 소명할 경우 사내 메일로 소명처리 점검활동을 하고 있다. 파르고스 제품의 △접속기록 생성·수집 기능 △검색엔진이 탑재된 빅데이터 플랫폼 기능 △이상행위 탐지를 위한 룰/패턴/AI분석 기능 △hwpx를 지원하는 보고서 기능 △소명관리 기능을 모두 사용하고 있다.

파르고스 제품으로 업무시스템에 접근권한 관리 연계를 사용 중인 서울신용보증재단은 파르고스의 접근권한 신청(변경)서, 휴·퇴직자 정보, 부서 정보, 취급권한 만료일 등을 추가하여 점검 관리중이다.

또 다른 고객사는 파르고스의 개인정보처리시스템 화면별 CRUD를 관리 기능까지 연계를 추진하고 있고, 다운로드 확인시 URL로 표기되어 식별을 손쉽게 할 수 있도록 메뉴명을 업로드하는 기능까지 제공하고 있다.

삼오씨엔에스 김현철 대표는 공공기관 고객사는 “공공시스템의 운영기관 관리자, 이용기관 관리자가 접속기록 점검 관리를 파르고스 기능으로 손쉽게 관리할 수 있어 만족감을 표하고 있다”고 했다.

삼오씨엔에스는 올 하반기에 공공시스템을 사용 중인 여러 정부부처에 납품 설치 일정이 예정되어 있다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>