김대환 소만사 대표 “개인정보 전사적 통제체제 획득 중요성”강조
지난달 29일 개최된 데일리시큐 주최 PASCON 2014에서 소만사 김대환 대표는 공공, 금융, 일반기업 보안실무자 700여 명이 참석한 가운데 ‘개인정보보호 컴플라이언스& 가버넌스’를 주제로 키노트를 발표해 큰 호응을 얻었다.▲PASCON 2014에서 '개인정보보호 컴플라이언스& 가버넌스' 주제로 강연을 하고 있는 김대환 대표
김대환 대표는 최근 개인정보 침해사고 분석 동향에 대해 외주 혹은 권한자의 의도적 유출, 웹어플리케이션 경유 개인정보 과다 조회, APT 공격에 의한 개인정보 유출, 웹서버 무단 보관 개인정보 파일 유출 등에 대한 피해가 증가하고 있다고 지적했다.
더불어 침해사고시 법원의 판단근거에 대해 설명했다. 김 대표는 “침해사고 발생시 법원의 판단근거는 피고가 선량한 관리자로서 기술적, 관리적 보호조치 의무를 다했느냐에 달렸다”며 “최근 개인정보 처리시스템 과다조회 이상징후와 DLP 정상작동 요건, 개인용 알집 사용, 보안강도가 낮은 MD5 암호화 사용 등에 대해 피고 과실을 인정하고 있어 각별히 주의를 기울여야 할 부분들”이라고 말했다.
특히 지난 8월에 있었던 정보유출 사고에 대한 판결에 대해 김 대표는 “개인정보 처리시스템을 웹어플리케이션까지 확대 해석한 최초의 사례도 있었고 원고 승소판결에서는 개인정보 처리시스템 접속기록을 적극적으로 관리하지 않은 점, 데이터 암호화 현황에 대한 점검, 퇴사자 계정 관리 등에 피고측의 확실한 관리 책임을 묻는 판결도 있었다”고 설명했다.
◇공공기관 개인정보보호법 변화
한편 변화하는 개인정보보호법 공공분야 변화 두 가지에 대해 발표했다. 우선 개인정보처리시스템의 범위 확장이다. 애플리케이션(WAS, SAP 외) 시스템 등 DB와 연계, 연동된 개인정보시스템도 개인정보처리시스템에 명시적으로 포함해 WAS(웹애플리케이션 서버), SAP도 개인정보보호법 개인정보의 안전성 확보조치 기준을 따라야 하는 것이다.
또 주민등록번화 암호화에 대한 변화도 있다. 이전에는 영향평가 혹은 위험도분석 결과에 따라 내부망 주민등록번호 암호화를 해야 하지만 2016년 1월 1일부터는 주민등록번호는 영향평가 혹은 위험도 분석 결과에 상관없이 내부망에 저장될시에도 암호화 해야 한다.
◇금융기관 검사 및 제재에 대한 규정 시행 세칙 개정
금융기관 검사 및 제재에 대한 규정 시행 세칙 개정안에 따르면, 2014년 6월 말부터 시행됐으며 1건의 정보유출이 있더라도 제재 대상이 되며 50건 이상 유출시 업무정지 대상이 된다. 금융감독원은 정보보호 소홀 정도가 심하거나 고의 중과실인 경우 중대한 결과시 업무정지와 임직원은 직무정지 이상, 보통인 경우는 기관 경고와 임직원 문잭경고(감봉), 경미한 경우 기관주의 및 임직원 주의적 경고 등이 가해 진다.
◇민간 정통망법 개정안
지난 2014년 5월 2일 국회를 통과해 11월부터 시행되는 개정 정보통신망법은 정보통신망법고시의 기술적, 관리적 보호조치 위반시 처벌이 강화된다. 특히 유출 사고 발생시 고객 1인당 최대 300만원까지 손해배상을 해 줘야 한다. 1천만 고객 개인정보유출시 기업이 감당해야 할 손해배상액은 30조원이 된다. 또 개인정보 유출시 기업이 고의 및 과실이 없었음을 입증해야 하며 입증을 못하면 배상해야 한다. 하지만 기술적, 관리적 보호조치를 위반한 경우 고의, 과실이 없음을 입증하기 사실상 불가능하다.
특히 김대환 대표는 개인정보 전사적 통제체제(가버넌스) 획득을 강조했다. 그는 “개인정보에 대한 기술적 통제체제를 획득하기 위해서는 개인정보 무단 보유 현황 분석, 개인정보 과다 조회 및 활용 통제, 개인정보 연계 및 연동을 위한 외부 전송, 무단 유출의 3단계에 대한 통제와 감사가 필요하다”며 “선한 관리자의 의무 준수를 위해서는 유출 사고 재발방지, 컴플라이언스 준수, 동종업계 평균 이상 보호조치가 필요하다. 또 사고에 대한 선제 대응 및 사후 분석을 위해 개인정보 통합관제, 빅데이터 처리 체계 등이 필수적”이라고 강조했다. 즉 개인정보 라이프 사이클에 걸친 선량한 관리자의 의무를 다할 것을 제차 강조했다.
◇개인정보보호 실질적 방안
우선 개인정보 자산 분석이 중요하다. PC뿐 아니라, DBMS, 파일서버내 개인정보, 스마트폰에 (무단)저장된 개인정보파일에 대한 분석 및 암호화/삭제 조치 등이 필요하다. 김 대표는 “개인정보보호의 최우선 조치는 자산 식별이다. 그리고 도대체 개인정보가 어디있는지 모르면서 보호할 수는 없다”며 개인정보 보유 현황 파악을 중요하게 강조했다.
다음은 개인정보가 과다 조회되거나 활용되는지 통제와 감사가 필요하다. DB엔지니어나 비권한자, 해커 등이 DB에 접근할 수 없도록 DB접근통제를 해야 하고 또 고객, 대리점, 민원인 등이 어플리케이션 무단/과다 조회를 할 수 없도록 DB방화벽과 웹취약점 스캐너, 서버보안 등을 설치해야 한다.
즉 개인정보보호 기술적 보호조치를 위해서는 방화벽, 웹방화벽, 침입차단(IPS), 웹사이트 개인정보 노출 통제, 웹서버 취약점 점검툴, 서버보안 솔루션, 서버 개인정보 무단 보유 통제, DB방화벽 및 접근통제, 웹어플리케이션 개인정보 과다 조회 통제, DB암호화, 네트워크 DLP, 웹 DLP, 메일 DLP, 엔드포인트 DLP, 출력물 보안, 망분리, DRM, NAC, PC보안, 세이프 브라우징, 유해사이트 차단 및 악성코드 배포 사이트 차단, 바이러스 백신, 빅데이터 보안 로그 분석 등 다양한 시스템이 필요하다.
김대환 대표는 특히 개인정보 계층적 보호조치를 강조했다. 단계별로 살펴보면, △1 단계: 불필요한 개인정보파일 검출/삭제/암호화(개인정보 자산의 집중화) △2 단계: 개인정보 처리 시스템(DB, Apps) 개인정보 과다 조회 통제 △3 단계: DB-DLP 개인정보 처리시스템 접속후, 개인정보 파일 전송/ 유출 통제 관리 △4 단계: DLP(Web DLP), HTTPS 개인정보 유출 통제(G-mail 외), 망분리, 바이러스 통제, DB암호화, 서버 접근통제(2팩터인증) 등 보호조치 결합 등의 순이다.
김 대표는 “개인정보보호와 관련된 모든 점검은 1회성이 아니라 주기적이고 지속적으로 체크하는 것이 가장 중요하다”며 “개인정보 통합관제 및 빅데이터 처리 기술을 적극 활용해야 한다”고 밝혔다.
소만사 김대환 대표의 PASCON 2014 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. 한편 이번 PASCON 2014는 데일리시큐 주최, 안전행정부, 미래창조과학부, 한국인터넷진흥원, 한국정보화진흥원, 한국저작권위원회, 국내 대표 포털 네이버의 후원으로 개최됐다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지