[아이티데일리] 지난해 데이터 3법이 통과된 이후, 국내 데이터 시장이 활성화되고 있다. 데이터 시장 활성화와 함께 개인정보보호 관련 컴플라이언스도 강화되고 있다. 개인정보보호 관련 컴플라이언스에는 데이터를 안전하게 저장하는 것은 물론, 개인정보에 누가 접근·이용하는지 이력을 남기는 ‘관리’도 포함된다.

개인정보보호법, 개인정보의 안전성 확보 기준 등을 통해 개인정보처리시스템 접속 기록을 남기도록 규정하고 있다. 특히 지난 2019년 개인정보의 안전성 확보 기준이 강화되면서 개인정보 접속 기록 관리 솔루션의 수요가 늘어나고 있다. 보관 기간 및 점검 주기가 늘어나면서 관리 솔루션의 필요성이 높아진 것이다.

데이터를 활용하고자 하는 기업이 늘어나면서 공공 부문을 중심으로 형성됐던 시장이 기업 시장까지 확대되고 있다. 시장 규모 역시 올해 200억 원을 넘어서며, 높은 성장률을 보일 것으로 전망된다.

개인정보 접속 이력 관리 솔루션 공급 기업들은 확대되는 시장에서 주도권을 확보하고 위해 치열한 경쟁을 펼치고 있다. 개인정보 접속 이력 관리 솔루션 시장을 살펴본다.

컴플라이언스 이슈로 수요 증가

개인정보 접속 기록 관리 솔루션 시장은 컴플라이언스와 밀접한 연관이 있다. 개인정보보호법 제29조 안전조치의무 조항에는 “개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다”고 규정돼 있다.

이에 따라 행정안전부는 ‘개인정보의 안전성 확보조치 기준’을 고시하고 있다. ‘개인정보의 안전성 확보조치 기준’ 제8조는 “개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다. 다만 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리해야 한다”고 규정하고 있다. 내년부터는 생성된 개인정보 접속 기록을 3년 이상 보관해야 하며, 2025년부터는 5년 이상으로 보관 기간이 확대될 것으로 보인다.

개인정보 접속 기록 관리 솔루션은 이러한 컴플라이언스를 충족할 수 있도록 지원하기 위해 개발됐다. 조직 내 개인정보에 대한 접근 권한을 가진 개인정보취급자 및 처리자의 개인정보 접속 기록을 저장하고, 그 처리과정에 발생할 수 있는 이상행위를 점검해 사고를 확인, 조치하는 데 도움을 줄 수 있도록 한 것이다.

보통 개인정보가 저장된 데이터베이스(DB) 접근 방법은 크게 두 가지가 있다. DB에 직접 접속하거나, 업무시스템을 경유해 접속할 수 있다. 최근 공급되고 있는 개인정보 접속 기록 관리 솔루션은 이러한 접속 과정을 기록하며, 이상 징후 분석 및 알림, 소명 관리, 개인정보 사용 현황 확인 등의 기능을 제공한다.

올해 약 200억 원 규모 전망

개인정보 접속 기록 관리 솔루션 시장은 올해 약 200억 원 규모를 형성할 것으로 전망된다. 이 시장은 지난 2015년 조달청 나라장터 조달 구매 기준으로 16억 원에 불과했으나 지난해 약 100억 원을 넘어 5년 만에 6배 이상 확대됐다. 특히 2019년 개인정보의 안전성 확보 기준이 강화됨에 따라 시장이 빠르게 성장하고 있다.

이 시장은 위즈코리아와 이지서티, 피앤피시큐어 세 업체가 주도하고 있다. 소만사와 웨어밸리도 관련 솔루션을 공급하고 있지만 세 업체에 비해 시장 점유율은 낮은 편이다.

김훈 위즈코리아 보안사업부문장은 “개인정보 접속 기록 관리 솔루션 시장은 2013년 개인정보보법이 발의되고 나서 본격적으로 형성되기 시작했다. 그동안 공공 부문을 중심으로 형성됐으나 2019년 개인정보의 안전성 확보 기준이 강화됨에 따라 일반 기업 수요도 늘어나고 있다. 개인정보를 처리하고 있는 기업의 수가 늘어나면서 기업 시장은 앞으로도 계속 확대될 것으로 전망된다. 현재는 전체 시장의 20%만 형성된 단계로 성장 가능성은 매우 크다고 할 수 있다”고 설명했다.

개인정보 접속 기록 관리 시장이 급성장하는 배경으로는 ‘개인정보의 안전성 확보 기준’ 개정이 꼽힌다. 2019년 6월 개인정보의 안전성 확보 기준이 개정되면서, 월 1회 이상 점검, 접속 기록 1년 이상 보관, 실태점검 실시 등을 진행해야 한다. 이러한 상황에서 기업 및 기관들은 컴플라이언스를 충족하기 위해 솔루션을 도입하고 있다.

김훈 부문장은 “2019년 개인정보의 안전성 확보 기준이 개정되고 나서 시장이 크게 성장하고 있다. 컴플라이언스에서 요구하는 기준이 강화되고, 점검주기도 짧아졌기 때문에 기관 및 기업들의 관심이 증가하고 있다. 최근 솔루션 도입을 위한 BMT, POC도 활발하게 진행되고 있다”고 말했다.

김상헌 피앤피시큐어 솔루션사업부 채널사업팀 이사도 “2019년부터 컴플라이언스가 강조됨에 따라 시장이 급격히 확대되고 있다. 이에 따라 기업들의 경쟁도 치열해지고 있다”고 덧붙였다.

공공에서 금융 일반기업으로 영역 확대

컴플라이언스가 강화된 이후, 개인정보 접속 기록 관리 시장은 공공 부문을 넘어 금융, 기업 시장으로 확대되고 있다. 최근에는 금융권을 중심으로 솔루션 도입이 활발하게 이루어지고 있다.

실제 2019년까지는 공공기관 중심의 레퍼런스가 많았다. 위즈코리아는 검찰청, 경기도청, 국토교통부, 기획재정부, 국토정보공사, 한국공항공사, 우정사업정보센터 등에 ‘위즈 블랙박스 스위트(WEEDS BlaceBox Suite)’를 공급했다. 피앤피시큐어는 경상남도청, 경기도경제과학진흥원, 대한지방행정공제회 등의 사업을 수주했다. 이지서티 또한 대구광역시, 광주광역시, 한국보건산업진흥원, 강원도교육청, 한국사회적기업진흥원 등에 솔루션을 공급했다.

최근에는 대기업 및 금융사, 대학교 등으로 수요가 확대되고 있다. 위즈코리아는 한국성서대학교, 대구사이버대학교, 한국기술교육대학교뿐만 아니라. 한국은행, BC카드, 삼성카드, 한화생명 등 다양한 레퍼런스를 쌓고 있다.

피앤피시큐어도 기업 레퍼런스 확대에 박차를 가하고 있다. 지난해 포스코건설, 삼천리, 한독 등에 ‘인포세이퍼(INFOSAFER)’를 공급했으며, 올해는 삼성전자서비스, 삼성디스플레이, ADT캡스 등을 고객사로 확보했다.

보통 기업 구축 프로젝트는 공공 부문 구축 프로젝트에 비해 많은 시간이 소요된다. 공공은 조달청 나라장터에 등록된 제품을 구매, 구축하면 되기 때문에 평균 1개월이면 구축이 완료된다. 하지만 기업 및 금융사의 경우에는 업무시스템이 많고 각 파트별로 조율이 필요하기 때문에 평균 2~3개월 정도 시간이 소요되며, 상황에 따라 6개월도 소요되는 경우가 있다고 한다.

김상헌 피앤피시큐어 솔루션사업부 채널사업팀 이사는 공공기관 레퍼런스를 바탕으로 구축 과정을 소개했다. 김 이사에 따르면, ‘인포세이퍼’를 도입한 기관은 개인정보 DB에 접근하는 다양한 경로의 접속기록을 생성하는 부분에 초점을 맞추고 있다. DB에 직접 접근해 개인정보를 활용하는 사용자(2티어 사용자)와 업무시스템을 경유해 개인정보를 활용하는 사용자(3티어 사용자) 모두의 접속기록을 손쉽게 관리하고자 하는 부분을 중점으로 요구했다.

피앤피시큐어는 2티어 사용자의 접속기록을 생성/관리하기 위해 기존에 운영 중인 DB접근제어 솔루션 ‘DB세이퍼’와 ‘인포세이퍼’를 연동했고, 3티어 사용자의 접속기록 생성/관리를 위해 업무시스템 내 센서 ‘WAS트랙커(WASTRACER)’를 설치했다. 특히 3티어 접속기록의 신뢰를 높이기 위해서 업무시스템 내 센서를 설치, 업무시스템에서 세션 정보를 가져오는 방식을 선택했다.

한편 개인정보 접속 기록 관리 시장에서는 솔루션 도입에 대한 공개를 극도로 꺼리는 다른 보안 분야와는 달리 레퍼런스를 공개하고 있다. 김훈 위즈코리아 보안사업부문장은 이러한 이유에 대해 “개인정보 접속 기록 관리 시장은 보안 시장에 포함되지만, 기존 보안 솔루션과 성격이 다르다. 기존 보안 솔루션은 대부분 외부에서 들어오는 사이버 위협에 대응하는 것에 초점이 맞춰져 있다면, 개인정보 접속 기록 관리 솔루션은 내부 사용자 모니터링을 위해 도입하기 때문이다. 이런 이유로 개인정보보호 관련 컴플라이언스를 충족하고 있다는 점을 홍보하기 위해 고객사에서 오히려 도입 사례를 홍보하는 경우가 있다”고 설명했다.

로그 생성 위한 트레이서 및 통합관리시스템으로 구성

개인정보 접속 기록 관리 솔루션은 크게 로그 생성을 위한 ‘트레이서(Tracer)’ 또는 ‘트레이스(Trace)’와 ‘통합 관리 시스템’으로 구성된다. ‘트레이서’는 WAS, C/S 기반 시스템 등 기관 및 기업의 시스템에 맞춰 적용할 수 있도록 구성돼 있다. 트레이서에서 로그를 생성하면, 통합 관리 시스템에서 이를 수집, 분석, 보관하게 된다.

트레이서는 크게 네트워크 방식 및 소프트웨어 방식으로 구분된다. 네트워크 방식은 C/S 시스템과 사용자 사이에서 발생하는 네트워크 패킷을 수집한다. SW 방식은 개인정보 처리 시스템에 SW를 설치해 로그를 남기기 때문에 네트워크 방식에 비해 더 많은 로그를 남길 수 있다.

김훈 위즈코리아 보안사업부문장은 “최근 시장에서는 SW 방식이 주류를 이루고 있다. 네트워크 방식의 경우 데이터 유실이 발생할 우려가 있기 때문이다. 유실이 발할 경우 향후 점검 때 문제가 발생할 수 있다”고 설명했다.

SW 방식 중에서도 BCI(ByteCode Instrumentation) 기법이 각광받고 있다. BCI는 자바에서 활용하는 기법으로, 바이트 코드에 직접 수정을 가해 소스파일 수정 없이 원하는 기능을 부여한다. 이러한 특징 때문에 자바 프로파일러나 모니터링 툴들이 BCI 기능을 많이 활용하고 있다.

최근 통합관리시스템에는 빅데이터 엔진이 적용되고 있다. 기존에는 RDB를 많이 사용했으나, 수많은 로그를 빠르게 처리하기 위해 RDB 대신 빅데이터 엔진이 적용되고 있는 추세다.

김훈 위즈코리아 보안사업부문장은 “위즈코리아는 ‘위즈 블랙박스 스위트’에 NOSQL(Not Only SQL) 기반 빅데이터 엔진을 적용, 데이터 처리 성능을 높였다. 빅데이터 처리 엔진을 적용함으로써 기존 RDB 대비 검색 속도가 100배 이상 향상됐다”고 설명했다.