[아이티데일리] 국내에서는 법·제도를 통해 개인정보를 강력하게 보호하고 있다. ‘개인정보 안전성 확보조치 기준’에 따르면 개인정보에 대한 접속기록을 1년 이상 안전하게 보관·관리해야 하며, 정기적인 점검을 통해 비정상행위에 대해 적절한 조치를 취해야 한다. 이러한 컴플라이언스를 충족할 수 있도록 지원하는 솔루션이 개인정보 접속기록 관리 솔루션이다. 개인정보 접속기록관리 솔루션은 기관 내 개인정보취급자, 처리자(권한자)가 기관 내 보유한 개인정보를 어떻게 활용하는지 접속기록을 저장하고, 처리과정에 발생할 수 있는 이상행위를 점검해 사고를 확인, 조치할 수 있도록 지원한다. 피앤피시큐어는 지난 2016년 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’를 출시, 좋은 성과를 거두고 있다.

강화되는 개인정보 컴플라이언스

데이터 경제가 본격화되면서 개인정보 관련 컴플라이언스도 강화되고 있다. 대표적으로 ‘개인정보 안전성 확보조치 기준’을 꼽을 수 있다. 지난 2019년 접속기록 보관 기간 확대, 월 1회 이상 점검 실시 등 규정이 강화됐다. 특히 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 대한 접속기록은 2년이상 보관 및 관리해야 한다. 내년부터는 생성된 개인정보 접속 기록을 3년 이상 보관해야 하며, 2025년부터는 5년 이상으로 보관 기간이 확대될 것으로 보인다.

이처럼 개인정보 관련 컴플라이언스가 강화되고, 개인정보의 중요성에 대한 인식이 확대되면서 개인정보 접속기록 관리 솔루션 시장 역시 크게 확대되고 있다. 나라장터 조달 구매 기준, 개인정보 접속기록 관리 전체 솔루션 집계액이 2015년 16억 5천만 원에 불과했으나, 2020년에 100억원이 넘어 6배 이상 확대됐다. 올해는 약 200억 원 규모를 형성할 것으로 예측되고 있으며, 특히 공공을 넘어 기업까지 시장이 확대되고 있다.

개인정보 자동 검출 및 모든 경로 활동 기록

DB 보안 전문기업인 피앤피시큐어도 이러한 흐름에 발맞춰 2016년부터 개인정보 접속기록 관리 솔루션 ‘인포세이퍼’를 공급하고 있다. ‘인포세이퍼’는 데이터베이스 내 개인정보의 위치를 자동으로 검출하고, 해당 개인정보에 접근하는 모든 경로(DB 직접 접속, 업무시스템 경유 접속)의 활동을 기록 및 모니터링하며, 이상징후 분석 및 알림, 소명 관리 기능을 제공해 개인정보 사용 현황을 시스템적으로 즉시 확인할 수 있도록 돕는다.

구체적으로 살펴보면, 보통 개인정보가 저장된 데이터베이스에 접속하는 경로는 DB로 직접 접속하거나 업무시스템을 경유해 접속하는 방법으로 나뉜다. ‘인포세이퍼’는 DB 통신을 파싱하는 기술을 통해 DB에 직접 접속하는 과정을 기록한다. 업무시스템을 경유하는 경우에는 WAS 내 세션정보를 파싱하는 기술을 통해 접속기록을 생성한다. 더불어 생성된 접속기록을 안전하게 보관하기 위해 암호화한 뒤 저장한다. 이때 국가정보원의 검증을 받은 암호모듈을 활용한다. 또한 별도의 WORM(Write Only Read Many) 공간에 접속기록을 백업해 접속기록의 위변조를 예방할 수 있도록 지원하는 것이 특징이다.

또한 ‘인포세이퍼’는 행정안전부 가이드라인에 따라 개인정보처리시스템으로 접근하는 모든 경로에서 개인정보 접속이력을 수집/생성/저장한다. 이에 따라 개인정보 접속기록관리 솔루션에서 기본적으로 제공하는 대량조회 사용자, 이상징후에 대한 소명관리 등의 주요기능을 모든 경로에서 활용할 수 있다. 특히 DB 직접 접속 로그와 업무시스템 경유 접속 로그가 단일 솔루션에 저장될 경우 로깅 데이터가 너무 방대해진다는 점을 해결하기 위해 데이터를 축약하는 기술도 적용돼 있다.

이외에도 ‘인포세이퍼’는 개인정보보호와 관련된 감사의 단골 지적 사항인 관리되지 않은 ‘고스트 개인정보 컬럼’을 자동으로 식별할 수 있다. 개발자나 유지보수 인원이 자체적인 필요에 의해 개인정보처리자의 허락 없이 개인정보 컬럼을 복제하는 경우를 ‘고스트 개인정보 컬럼’이라고 일컫는다. ‘인포세이퍼’는 개인정보의 위치를 자동으로 식별 및 관리함으로써 ‘고스트 개인정보 컬럼’이 생성되지 않도록 지원한다.

피앤피시큐어는 ‘인포세이퍼’를 운영하면서도 시스템의 안정성을 높일 수 있도록 최적의 방안을 제공한다. 업무시스템에 설치한 접속기록 생성 센서가 ‘인포세이퍼’ 운영장비에 바로 접속기록을 생성하는 형태로 운영돼, 업무시스템 내 접속기록을 생성하거나 저장하는 등의 추가 장애요인을 발생시키지 않는다는 설명이다.

‘인포세이퍼’의 주요 기능

‘인포세이퍼’의 주요기능은 ▲서비스 대상 개인정보 접속기록 수집 및 모니터링 ▲개인정보 접근에 대한 위험 및 이상징후 관리 ▲이상징후에 대한 소명관리 등이다.

먼저 ‘인포세이퍼’는 개인정보유형별 이용추이 분석 주간 대시보드를 지원하며, 이를 통해 주간 사용량 평균 대비 사용량 차트, 개인정보 이용량 상세 표시, 사용자, 부서, 업무시간 외 접속 사용자, 비인가 접속 사용자 현황 등을 확인할 수 있다. 더불어 사용자 및 부서, 날짜 링크 제공으로 상세한 정보 확인이 가능하다.

‘인포세이퍼’는 개인정보취급자의 평균 개인정보 사용량 분석을 지원하며, 평균 대비 사용량이 증가할 경우 자동으로 위험사용자로 인식하고 알림을 제공한다. 또한 업무외 시간, 다중 접속, 권한 외 접근 등에 대한 경고 기능도 지원한다.

개인정보 접속기록에서 이상징후가 발견되면, ‘인포세이퍼’는 자동으로 위험 사용자에게 이메일로 소명을 요청한다. 요청을 받은 사용자는 내용(업무, 사용시간, 테이블, 개인정보유형 등)을 확인한 후 소명할 수 있다. 메일 내용은 감사 증적자료로 활용된다.

마지막으로 개인정보 접속기록 관리 솔루션 또한 개인정보보호법에 의거해 개인정보처리 시스템으로 분류되기 때문에 접속기록을 안전하게 보관하기 위한 기능을 제공한다. 개인정보보호법, 개인정보의 안전성 확보조치 기준, 개인정보보호 영역 수준진단 등 개인정보와 관련된 콤플라이언스를 만족할 수 있도록, 개인정보처리시스템 접속기록 위·변조 방지 기능을 제공한다.

빅데이터 처리 기술 적용 및 클라우드 지원 등 업그레이드 추진

피앤피시큐어는 개인정보 접속기록 관리 시장이 어느정도 성숙됨에 따라, 시장 초기와 다르게 접속기록의 신뢰를 높이는 기술 및 다양한 이상징후를 쉽게 인지하는 기술의 중요성에 주목하고 있다. 특히 개인정보를 활용하는 업무시스템과 접근하는 인터페이스가 급격히 늘어나고, 접속기록 관리 솔루션에서 관리할 데이터양이 매우 방대해지고 있는 상황에 대응하는 기술이 적용돼야 한다는 설명이다.

피앤피시큐어는 ‘인포세이퍼’에 대형화된 데이터를 처리하기 위한 빅데이터 처리 기술을 적용하고, 다양한 클라우드 환경의 유연함을 지원할 수 있도록 업그레이드 한다는 계획이다.

피앤피시큐어 관계자는 “올해는 클라우드 플랫폼 환경에서도 피앤피시큐어의 통합접근제어 솔루션 및 개인정보접속기록관리 솔루션이 주요 솔루션으로 자리잡을 수 있도록 입지를 굳힐 계획이다. 이를 위해서 영업 및 기술 지원을 고도화해 시장을 선점하고 확대해 나가는 것을 목표로 하고 있다”고 설명했다.

한편 피앤피시큐어는 ‘인포세이퍼’를 통해 공공기관뿐만 아니라 대기업 중심으로도 잇따른 수주 성과를 달성하고 있다. 피앤피시큐어 측은 “법률적 요구사항 이외에도 개인정보처리 담당자들의 실무적 요구사항을 충실히 반영하는 노력을 꾸준히 기울인 결과, 기업 시장에서도 성과가 나타나고 있다”고 분석했다.

‘인포세이퍼’는 개인정보처리시스템으로 접속하는 다양한 경로의 접속기록을 수집/분석함으로써, 단일 솔루션으로 ‘개인정보 안전성 확보조치 기준’을 만족할 수 있도록 지원한다. 특히 ‘인포세이퍼’는 이러한 법률적 요구와 자체적으로 내장된 솔루션 ‘DB스캐너(DBSCANNER)’를 통해 개인정보처리시스템(DB)에서 개인정보를 자동으로 분석하고, 개인정보접속기록 검출 대상으로 자동 등록/관리한다. 수동으로 검출대상을 분석/관리해야 하는 기존 제품의 단점을 해결해 개인정보처리 실무 담당자에게 높은 평가를 받고 있다는 설명이다.