규제 대상 및 과징금 확대, 유출 사고 시 소명 의무화 등에 도입 확대 기대
[아이티데일리] ‘개인정보 보호법’ 전면 개정안이 올해 3월 공포되고, 5월부터는 입법예고 기간에 들어갔다. 이에 국민의 개인정보 데이터에 대한 권리가 한층 강해지고, 그간 산업 진흥을 이유로 활용에 초점이 맞춰져 있던 개인정보를 이제는 안전하게 관리해야 할 필요성이 높아지고 있다. 특히 개인정보 유출 사고 발생 시 과징금 상한이 높아진 데다 개인정보 취급자의 보호 노력 소명이 필수가 된 만큼, 자연스럽게 개인정보 접속기록 관리 솔루션에 대한 관심이 높아지고 있다. 관련 내용을 살펴본다.
개인정보 보호법 전면개정안 시행
지난 3월 14일 ‘개인정보 보호법’ 전면 개정안이 공포되면서 개인정보 보호 관련 업계는 앞으로 있을 시장 변화에 주목하고 있다. 개인정보 보호법의 규제 대상과 과징금이 확대되면서 개인정보 접속기록 관리 솔루션을 도입하는 기업들이 향후 더욱 늘어날 것으로 기대되기 때문이다. 업계는 크게 △개인정보 전송요구권 및 국외이전 요건 다양화 근거 신설 △과징금·벌칙 규정 개정 △공공기관의 개인정보 보호 수준 평가 근거 신설 △온·오프라인 규제 일원화 △개인정보 분쟁 심의 시 모든 개인정보 처리자 의무 참여 등의 핵심 내용들에 주목하면서 개인정보 보호 솔루션에 대한 민간의 수요 증가를 기대하고 있다.
개인정보 보호 솔루션 수요 증가 기대
먼저 개정 개인정보 보호법의 ‘제35조의2(개인정보의 전송 요구)’에 따라 개인정보 전송요구권이 신설되고, ‘제4절 개인정보의 국외 이전’에 따라 개인정보의 국외 이전 요건을 다양화하기 위한 근거가 새롭게 마련됐다. 이로써 금융·공공 분야에서만 제한적으로 도입됐던 마이데이터 서비스가 모든 영역에서 보편적으로 이뤄질 수 있는 기반이 마련됐고, 자연히 개인정보의 활용 빈도가 급격히 늘어날 것으로 예상된다. 업계는 이에 맞춰 디지털 환경에서 국민과 기업·기관 간 개인정보 처리에 대한 신뢰를 충족할 수 있는 개인정보 보호 솔루션에 대한 수요가 증가할 것으로 예상하고 있다.
‘제64조의2(과징금의 부과)’에 따라 개정된 과징금·벌칙 규정도 주목된다. 해당 조항으로 인해 개인정보보호에 대한 책임이 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환됐다. 특히 과징금이 ‘위반행위와 관련된 매출액의 3% 상한’에서 ‘전체 매출액의 3% 상한’으로 확대되면서 기업들의 부담이 크게 늘어난다는 점도 큰 영향을 줄 것으로 보인다. 이로써 업계는 기업이 개인정보 보호 솔루션에 투자할 수 있는 계기가 마련됐다고 평가하고 있다. 그리고 기존에 공공 중심이었던 개인정보보호 시장이 민간으로 더욱 가속화될 것으로 업계는 기대하고 있다.
‘제63조의2(사전 실태점검)’으로 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거도 새롭게 마련됐다. 2022년 7월에 발표된 ‘공공기관 개인정보 유출 방지 대책’으로 개인정보 침해사고 발생의 위험성이 높고 개인정보 보호의 취약점을 사전에 점검해야 하는 기관에 한해 개인정보 보호 실태를 점검할 수 있는 조항이 신설된 바 있다. 이번에 법적 근거가 마련됨으로 인해 공공기관은 개인정보보호에 대한 인식을 지속적으로 개선시켜나가야 하게 됐고, 이에 따라 업계는 개인정보보호 솔루션에 대한 꾸준한 수요 증가를 예상하고 있다.
뿐만 아니라 기존에 온라인 사업자에 한하던 규제 조항들이 오프라인에서 개인정보를 처리하는 사업자에게도 동일하게 적용될 예정이라 더 많은 기업과 기관에서 개인정보 보호 솔루션을 도입할 것으로 예상된다. 마지막으로 개인정보 관련 분쟁 조정 시 모든 개인정보 처리자가 의무적으로 참여해 개인정보 보호 노력을 소명해야 하는 만큼 개인정보 접속기록 관리 솔루션의 도입이 확대될 것으로 기대하고 있다.
현재 개인정보 보호법은 5월 19일부터 6월 28일까지 40일간의 입법예고 기간에 돌입한 상태다.
뉴스
개인정보 보호법 시행령 개정안 입법예고
개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 ‘개인정보 보호법(법률 제19234호, ’23.9.15. 시행)‘ 시행령 개정안을 5월 19일부터 6월 28일까지(40일) 입법예고한다고 밝혔다.
이번 시행령 개정안은 지난 3월 14일 공포된 ’개인정보 보호법‘ 전면 개정에 따른 후속 조치로, 정보주체인 국민의 권리를 실질적으로 보장하고 공공분야에서의 안전조치를 강화하면서, 온라인과 오프라인으로 구분해 이원화돼 있는 개인정보 보호 기준을 일원화하는 내용을 담고 있다.
한편 내년 3월 15일 이후 시행 예정인 개인정보 전송요구권 관련 규정, 자동화된 결정에 대한 정보주체의 권리, 공공기관 개인정보 보호수준 평가 등에 관한 사항은 다양한 의견 수렴을 거친 후 법 시행 시기에 맞춰 하반기 중 추가로 입법예고할 예정이다. 이번 ’개인정보 보호법‘ 시행령 개정안의 주요 내용은 다음과 같다.
동의받을 때 국민의 실질적 선택이 가능하도록 개선
첫째, 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화하고, 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련했다.
동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화하고, 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시하도록 했다.
또한 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려해 개인정보처리방침 평가 대상자를 선정한 후, 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립해 공개하고 있는지 등을 평가하고 개선할 수 있도록 구체화했다.
온라인과 오프라인 구분 없이 동일한 기준 적용: 규제 정비
둘째, 온라인과 오프라인으로 구분해 달리 규율해온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화하고, 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞춰 운영기준을 정비했다.
정보주체가 아닌 제3자로부터 개인정보를 수집해 출처를 통지해야 하는 경우(수집 출처 통지)와 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)의 통지의무 대상자 범위를 수집 출처 통지 기준에 맞춰 정비하고 통지도 함께 할 수 있도록 개선했다.
개인정보의 안전조치 기준이 온라인과 오프라인으로 구분돼 있는 문제를 해소하기 위해 온라인 기준을 중심으로 통합하고, 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비했다. 즉 ‘백신’·‘보안서버’ 등의 용어를 삭제하고, 저장·전송 시 ‘암호화’ 외에도 ‘암호화에 상응하는 조치’를 추가하는 등의 조치가 이뤄졌다.
더불어 정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 개인정보를 파기하거나 별도 분리해 저장하도록 한 규정(유효기간제)을 삭제하고, 파기의 일반원칙에 따라 목적이 달성됐거나 보유기간이 종료되면 지체 없이 파기하도록 했다. 이는 코로나19 상황에서 해외여행이 제한돼 면세점 홈페이지 서비스 이용이 1년 동안 없어 파기 등의 조치를 하는 경우, 이용자와 기업 모두 불편이 발생한 경우를 고려한 조치다.
또한 과징금이 위반행위에 비례해 산정되도록 중대하고 의도적인 위반행위에 대해서는 엄중한 과징금을, 경미한 위반행위에 대해서는 면제까지 가능하도록 산정기준을 개편했다. 과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율)을 결정할 때, 위반행위의 중대성 정도에 따라 현행 ‘3구간-단일 비율’ 방식에서 ‘4구간-구간 내 차등 비율’ 방식으로 전환했다. 위반행위의 중대성 판단 기준은 △위반행위의 내용 및 정도 △개인정보의 유형과 정보주체에게 미치는 영향 △정보주체의 피해 규모 등을 종합적으로 고려한다. 이번 개정안의 산정기준은 법 시행일 이후 위반행위에 대해 모든 개인정보처리자와 개인정보 처리업무를 위탁받은 수탁자까지 확대해 적용될 예정이다.
개인정보가 유출됐다는 사실을 알게 됐을 때는 유출된 개인정보가 △민감정보 또는 고유식별정보인 경우 △해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우 △1천 명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고하도록 했다. 또한 정보주체에 대한 통지는 유출 규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행해야 한다.
이밖에 그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위해, 영상 촬영 후 별도로 저장하지 않는 경우로서 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등)의 설치·운영이 가능하도록 했다. 더불어 국민의 생명 등을 보호하기 위해 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우에는 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히 했다.
공공분야 개인정보 처리의 안전성 강화
셋째, 그동안 공공부문에서 계속돼온 개인정보 침해사고를 근절하기 위해 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화하고 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완했다.
공공시스템의 개인정보 유출로 인한 국민의 2차 피해를 막기 위해 마련한 ‘공공부문 개인정보 유출 방지대책(’22.7.14. 관계부처 합동)’에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설했다. 실제 n번방 사건(’19년), 송파 살인사건(’21.12월), 신당동 역무원 살인사건(’22.9월) 등 사례에서 공공시스템의 개인정보 유출이 문제가 된 바 있다.
또한 그동안 공공기관이 관리하는 개인정보파일이 내부적 업무처리 목적인 경우에는 등록 대상에서 제외됐으나, 일시적으로 처리되는 경우 등 관리 필요가 없을 경우 외에는 등록해 관리하도록 했다. 등록 예외 사례는 구체적으로 △일회적 행사 수행 △공공의 안전과 안녕을 위해 긴급히 필요한 경우로서 일시적으로 처리 △저장하거나 기록하지 않을 목적으로 수집된 개인정보 파일 등이다.
이와 함께 공공기관이 개인정보 영향평가를 수행해야 하는 시점을 개인정보파일 운용 또는 변경 전으로 명확히 하고, 영향평가서 요약본을 공개할 수 있도록 해 공공기관의 개인정보를 투명하게 관리하도록 했다.
한편 법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건이 다양화되고 국외이전 중지명령이 도입됨에 따라 그 세부적인 절차와 기준 등을 구체화했으며, 해외사업자의 국내대리인 지정 기준을 개정법 취지에 맞게 정비했다.
개인정보위 고학수 위원장은 “지난 3월 법 공포 이후 산업계·시민단체·학계의 의견을 계속해서 들어 왔으며, 정보주체의 권리와 공공부문의 안전조치는 강화하고 불합리한 규제는 정비하는 내용을 개정안에 담았다”면서 “개정된 ‘개인정보 보호법’이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 다양한 의견을 들어 시행령에 반영해 나갈 것”이라고 밝혔다.
개인정보 접속기록 관리 솔루션 주목
그동안 각종 산업계에서는 개인정보의 중요성과 보호의 필요성을 인지하지 못하고 편리함을 이유로 무분별하게 관리, 사용해온 것이 사실이다. 이지서티 관계자는 “현대 사회에서는 인공지능(AI), 빅데이터, 마케팅, 금융, 의료, 교육 등 다양한 분야에서 개인정보가 중요한 데이터로 활용되고 있다. 게다가 현재의 인터넷 기술 환경에서 개인정보의 유출 및 악용 가능성이 훨씬 높아지고 있어, 개인정보보호는 선택이 아닌 필수가 됐다”고 설명하면서 “개인정보를 보호해야 하는 이유는 개인 신원 정보 도난 방지, 기업의 무분별한 데이터 활용 방지, 범죄 피해 예방, 사회적 불이익 방지, 미래 보안 위협 예방 등이 있다. 이를 위해 다수의 공공기관과 민간기업에서는 자체적인 개발을 통해 타인의 개인정보를 열람할 경우 접속기록 로그를 생성하고, 오남용 되지 않도록 관리하는 절차를 수립하고 있다. 하지만 강화되는 법적 규제를 충족하기 위한 업무 부담이 증가하면서 개인정보 접속기록 관리 솔루션에 대한 관심이 높아지고 있다”고 강조했다.
피앤피시큐어 솔루션사업본부 공공채널사업부장 김상헌 상무는 “개인정보의 오남용을 방지하고 위험을 탐지하기 위해서는 접속기록의 정확한 로깅과 모니터링 방안이 필요하다. 또한 관련 법규 준수와 함께 ISMS-P 인증까지 규제 준수(Compliance)에 대한 대응이 마련돼야 한다”면서 “개인정보 접속기록 관리 솔루션이 도입되면, 개인정보 취급자의 접속기록을 분석하고 위험 규칙에 따라 이상 행위를 감지해 개인정보를 오·남용하거나 불필요한 다운로드 행위를 소명 처리할 수 있다. 이로써 규제를 준수하고, 개인정보 책임자가 보다 편리하고 효율적인 점검 활동을 할 수 있도록 보장할 수 있기 때문에 개인정보 접속기록 관리 솔루션의 도입이 필요하다”고 설명했다.
스파이스웨어 김근진 대표는 “개인정보에 접속한 내용들을 기록해두지 않으면 개인정보 유출 사고 등이 발생해도 어느 시점에 유출이 발생했는지를 특정할 수 없다. 개인정보처리자 대비 정보보안 담당자가 소수이기 때문에, 거의 모든 고객 관리 업무에서 발생하는 개인정보 처리에 대한 관리가 불가능하다”면서 “하지만 개인정보접속기록 솔루션을 구축한 경우, 개인정보 처리의 오남용이나 부정 사용, 유출 시도 등에 대한 이상 징후를 사전에 식별할 수 있어 개인정보와 데이터 보호에 있어 투명성을 높일 수 있고, 기술적인 보호조치 기준도 준수할 수 있다”고 설명했다.
오피니언
개인정보 접속기록 관리 솔루션 도입이 필요한 이유
첫 번째, 개인정보보호법은 지속적으로 개정되고 있으며 개인정보에 대한 법적 규제가 강화되고 있기 때문이다. 개인정보보호법은 2011년 3월 공포됐으며, 2012년 9월 전면 시행됐다. 그러나 전면 시행 이후에도 급변하는 사회의 다양한 위협에서 개인정보를 보호하고자 매년 기존 조항의 개정 또는 새로운 조항의 신설을 통해 법적 규제를 강화하고 있다.
두 번째, 개인정보에 대한 법적 규제 강화로 개인정보보호처리 업무의 비중이 증가함에 따라 업무 부담도 함께 증가하기 때문이다. 다수의 공공기관 및 금융권에서는 자체 솔루션을 개발해 개인정보보호 업무 시스템에서 타인의 개인정보 열람 시 접속기록을 로그로 남기고, 다운로드 이력 및 사유관리 등을 관리하고 있다. 그러나 ‘개인정보의 안정성 확보조치 기준’ 고시가 개정되면서 기업과 기관의 개인정보 처리자가 접속기록을 관리해야 하는 의무가 강화됐다. 이로 인해 접속기록 자체 점검 주기가 반기 1회에서 월 1회 이상으로 늘어났고, 개인정보 처리자는 개정된 고시에 따라 월 1회 이상의 점검 보고서 작성 업무를 수행해야 한다. 그러나 대부분의 개인정보보호 담당자가 개인정보보호 업무 외에 다른 업무를 겸직하고 있어 업무 부담이 가중되고 있다.
이러한 문제들로 인해 개인정보 보호 담당자는 개인정보 보호 업무의 관리와 집중도 측면에서 어려움을 겪고 있다. 이러한 문제를 해결하기 위해 기업과 기관에서는 자체 개발보다 개인정보보호 솔루션 도입을 검토하고 있는 상황이다.
마지막으로 고객정보 유출사건으로 개인정보보호의 필요성이 사회적 이슈로 대두되면서 개인정보를 성공적으로 보호할 수 있는 보안 솔루션 도입과 관리 노하우에 대한 관심이 지속적으로 증가하고 있기 때문이다.
매년 법 개정을 통해 규제가 강화되고 있지만, 개인정보 유출사고는 여전히 계속 발생하고 있다. 개인정보 침해 신고 및 상담 건수는 2019년 159,255건에서 2021년 210,767건으로 32% 늘었으며, 그 가운데 신고건수는 1,041건에서 7,844건으로 무려 654% 급증했다. 이와 같은 증가 추세는 개인정보보호에 대한 인식이 지속적으로 높아지고 있기 때문으로 해석할 수 있다. 이러한 이유로 개인정보 보호를 위한 자동화된 솔루션 도입과 체계적인 관리의 필요성은 앞으로 더욱 증가할 것이다.
개인정보 접속기록 관리 솔루션 분야 대표 기업과 제품 소개
◆ 피앤피시큐어 | 필수적 기본 기능에 집중한 ‘인포세이퍼’
피앤피시큐어는 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’를 개발, 공급하고 있다. 피앤피시큐어 솔루션사업본부 공공채널사업부장 김상헌 상무는 “인포세이퍼는 그간 개인정보접속기록관리 솔루션으로서 반드시 갖춰야 할 기본 기능에 집중해 왔다. 기본 기능을 강조하는 이유는 이미 먼저 출시한 경쟁제품 대부분 기본기능이 제대로 동작하지 않아 고객의 불만이 발생하는 경우가 많았기 때문이다”라고 설명했다.
김상헌 상무는 피앤피시큐어가 생각하는 개인정보 접속기록 관리 솔루션의 기본기능에 대해 △고객이 보유한 주요 정보자산인 개인정보를 정확히 식별하고 그 위치를 파악/추적하는 것 △그렇게 식별한 개인정보에 접속하는 다양한 구간에서 접속기록을 생성/수집하는 것 △생성/수집된 접속기록을 안전하게 보관 및 관리하는 것 등으로 요약해 설명했다.
김상헌 상무는 “이렇게 기본기에 집중한 ‘인포세이퍼’는 출시 후 고객으로부터 좋은 평가를 받고, 이미 다른 제품의 유통 및 지원 경험을 토대로 전국 기술지원 체계를 운영해 제품구매로 이어져 높은 만족도를 이끌어냈다”고 밝히고 “앞으로는 개인정보 활용이 증가하고, 접속기록의 보관기간도 늘어나 대용량의 접속기록 관리에 대한 부분이 강조될 것”이라고 전망했다.
피앤피시큐어는 향후 빅데이터 분석 기술 적용을 통해 개인정보취급자, 부서, 개인정보주체 등 다양한 분류를 기준으로 그 현황을 확인하고, 이를 분석해 위험규칙을 추천 및 수립할 수 있도록 솔루션을 강화할 계획이다. 또한 고객사 맞춤식 위험 규칙을 적용해 내부 관리 계획 및 규정에서 정하는 바에 따라 이상행위 탐지 방법을 정밀화할 수 있도록 할 예정이다. 마지막으로 정밀해진 이상 행위 탐지를 바탕으로 개인정보 취급자의 소명에 대한 부분까지 관리영역을 폭넓게 적용하도록 솔루션을 발전시킬 계획이다.
< 피앤피시큐어 ‘인포세이퍼(INFOSAFER)’ 핵심 기능 >
1. 자유롭고 합리적인 위험 행위 관리(위험관리 및 소명 관리)
개인정보를 조회 및 사용하는 고객사의 부서/업무/사용자 등 다양한 개인정보 취급자 영역과, 업무시간/대량데이터조회/비인가IP/정보주체정보/결과값 등을 조합해 고객사 특정 상황에 맞는 개인정보 위협 행위를 정의해 대응 가능.
기록된 접속기록을 기반으로 빅데이터 분석을 통해 탐지하고 싶은 취급자 그룹에 대해 각종 데이터 임계치를 추천받을 수 있으며, 이를 통해 손쉬운 규칙 생성 또한 가능함. 이는 관리자 입장에서 내부관리 계획에 따른 비정상 행위 탐지 규칙 생성을 용이하게 하고, 시각적으로 위협을 알려주기 때문에 빠른 인지와 대응을 할 수 있도록 도와줌.
이렇게 선별된 위험도 높은 사용자는 별도의 소명 프로세스에 의해 관리됨.
2. 다운로드 파일 분석 기능
3티어 구조(WEB-WAS)환경 하에서 개인정보 취급자가 파일을 다운로드하는 경우, ‘인포세이퍼’의 파일 분석 기능을 통해 실제 파일 내에 사용된 개인정보에 대한 분석이 가능.
3. DBSAFER 연동 및 2티어 감사로그에 대한 로깅(v1 기준)
‘인포세이퍼’는 피앤피시큐어의 데이터베이스(DB) 보안 솔루션인 ‘디비세이퍼(DBSAFER)’와 연동을 제공. 3티어 이외에 ‘디비세이퍼’가 적용돼 있지 않은 고객사의 2티어 사용자에 대한 개인정보 접속 기록도 정확하게 수집, 분석을 제공할 수 있음. 참고로 2티어 접근이란, CS프로그램을 통해 DB에 접근해 개인정보를 취득하는 행위를 말함.
< 피앤피시큐어 개인정보 접속기록 관리 솔루션 구축사례 >
[공공]
• A 기관: 기존 도입한 개인정보 접속기록 솔루션에서 대용량 로그 관리가 제대로 지원되지 않아, ‘인포세이퍼’에서 이를 만족하며 전체 시스템을 윈백.
• B 기관: 개인정보 접속기록 도입이 계획돼 있어 여러 솔루션들을 비교하던 중, ‘인포세이퍼’의 정확한 접속기록 로깅과 함께 컴플라이언스 대응을 위한 레포팅 자료출력이 잘 된다는 점에서 채택.
• C기관: 개인정보 유출 위험성이 가장 큰 DB 직접 접속자에 대한 통제가 필요해 DB접근제어 솔루션과 함께 로그/정책 연동이 가능한 ‘인포세이퍼’를 선정함.
[기업]
• G 기업: 자체 개발해 운영 중이었으나 ISMS-P 인증심사 대응에 필요한 윈도우 IIS(Internet Information Services), 아파치(Apache) 등과 같은 다양한 환경 지원이 불가능해 전문 솔루션인 ‘인포세이퍼’를 도입, 컴플라이언스 요구사항을 만족함.
[금융]
• A 금융사: 개인정보 접속기록 관리 시스템 구축을 위해 다양한 솔루션을 비교했으며, 개인정보 처리시스템에 대한 전문적 분석을 통한 접속기록 로깅과 기타 업무시스템에 대한 접속기록 수집·분석이 우수해 ‘인포세이퍼’를 선정함.
◆ 이지서티 | 나라장터 우수제품 ‘유비세이퍼 PSM’
개인정보보호 및 데이터 프라이버시 전문기업인 이지서티는 2002년 설립 이후 약 20여 년 동안 개인정보 보호 한 분야에 집중하며 원천기술을 개발 및 상용화했다. 회사는 공공부문 조달을 통해 솔루션 운영의 안정성과 기술력을 인정받게 되면서 공공시장에서의 최고·최다 레퍼런스를 확보, 높은 시장점유율을 바탕으로 국내 최고의 개인정보보호 및 데이터 프라이버시 기업으로 성장했다는 자부심을 갖고 있다.
이지서티의 개인정보 접속기록 관리 솔루션 ‘유비세이퍼 PSM(UBI SAFER-PSM)’은 공공부문에서 높은 시장점유율을 바탕으로 나라장터 우수제품으로 지정됐다. 또한 지속적인 제품 업그레이드를 통해 2번의 CC인증과 3번의 GS인증을 획득했으며, 정보통신산업진흥원(NIPA) 및 한국정보통신기술협회(TTA)의 클라우드 서비스 품질 성능 평가 인증을 통해 클라우드 환경에서도 구축 및 사용이 가능하다.
이지서티는 개인정보 보호의 중요성이 지속적으로 높아질 것으로 예상됨에 따라 개정된 개인정보 보호법과 변화하는 개인정보 관리 수준 진단평가 항목에서 가장 높은 배점을 받을 수 있도록 지속적으로 제품을 업데이트하고 있다.
이지서티 관계자는 “‘2021년 공공기관 개인정보관리수준 진단평가’에서 이지서티의 솔루션을 도입한 지자체 31개 기관 모두가 최고 등급인 ‘양호’ 등급을 유지했다”면서 “기관의 개인정보보호 담당자가 개인정보보호 업무 외에 다른 업무를 겸직하고 있는 상황에서 편의성과 전문성을 갖춘 솔루션을 이용해 효율적으로 업무를 수행함으로써 공공기관의 개인정보 관리 수준 진단평가에 완벽하게 대응하고, 상시 관리를 통해 개인정보를 안전하게 관리할 수 있다. 이에 민감한 개인정보를 많이 취급하는 보건복지부, 행정안전부, 교육부를 비롯한 많은 지자체, 공공기관 및 금융·교육·의료 기관에서 개인정보 접속기록 관리 솔루션 ‘유비세이퍼 PSM’을 도입해 사용하고 있다”고 밝혔다.
이와 함께 이지서티는 기업과 기관들의 클라우드 전환 추세에 맞춰 올해 자사의 기존 온프레미스 설치 제품을 클라우드 기반의 서비스형 소프트웨어(SaaS)로 전환 완료하고 제품 상용화를 목표로 하고 있으며, 클라우드 환경에 특화된 보안체계 및 보안인증(CSAP) 획득까지 진행하고 있다.
기술력 바탕으로 신뢰할 수 있는 개인정보 접속기록 솔루션 제공
이지서티는 개인정보 보호 솔루션부터 개인정보를 안전하게 비식별처리해 데이터의 활용 가치를 높여주는 데이터 프라이버시 솔루션까지, 개인정보에 특화된 다양한 보안 솔루션을 보유하고 있다.
특히 이지서티는 개인정보에 특화된 핵심기술로서 ‘마이크로서비스 아키텍처(MSA, Micro Service Architecture)’를 기반으로 제품을 개발해 차별화된 솔루션을 제공하고 있다는 점을 강조했다. 즉 이지서티의 모든 제품은 ‘이지서티 마이크로서비스 아키텍처’를 기반으로 구성돼 있어, 강화되는 개인정보보호 법규에 고객사가 신속하게 대응할 수 있도록 고객사 업무 환경에 최적화된 커스터마이징 기능을 경쟁사 대비 유연하게 추가할 수 있다는 장점을 갖고 있다는 설명이다. 하나의 큰 애플리케이션을 여러 개의 작은 애플리케이션으로 쪼개 변경과 조합이 가능하도록 만든 아키텍처이기 때문에, 신제품 구성 및 제품 간 융합 처리 속도가 빨라 변화하는 시장환경에 빠르게 대처할 수 있다는 장점이 있다고 이지서티 측은 설명했다.
개인정보 접속기록 관리 솔루션 ‘유비세이퍼 PSM’은 개인정보 취급자가 개인정보를 안전하게 처리, 보호하기 위한 개인정보보호법 필수 요건을 준수하며 제3자의 개인정보 접속기록 로그를 생성, 수집, 분석하는 자동화된 도구를 제공한다. 중앙부처, 공기업, 지자체, 금융권, 민간기업 등 국내 최고·최다 레퍼런스를 통해 기술과 품질을 인정받고 있다.
특히 ‘유비세이퍼 PSM’의 차별화 포인트는 인메모리(In-Memory) 기술을 통해 빅데이터 환경에서 많은 양의 데이터를 시스템의 부하 없이 신속하게 처리할 수 있다는 점이다. 인메모리 기술은 원천 특허기술로, 디스크가 아닌 메인 메모리에 데이터를 저장하고 처리함으로써 기존 디스크 기반 기술보다 약 1만 배가량 빠른 데이터 처리가 가능하다. 이를 통해 업무시스템에 부하를 주지 않고 개인정보 접속기록의 생성과 수집을 할 수 있다. 이러한 인메모리 기술은 빠른 데이터 처리와 실시간 성능을 요구하는 환경에서 개인정보 보호를 위한 효과적인 솔루션을 제공하는 데 도움이 된다.
또한 이지서티의 개인정보 접속기록 관리솔루션은 OSI 7계층에 따른 네트워크의 단계별 콘텐츠 필터링 기술을 활용해 고객사 개인정보시스템의 소스 코드 수정 없이 접속기록을 생성하고 수집한다. 해당 기술 역시 자체 개발해 특허를 획득했다. 특히 개인정보 다운로드 이력관리 자동화와 상시 모니터링을 통해 비정상행위 감지 시 이상행위에 대한 요청을 하고 답변에 대한 판정을 하는 ‘소명처리’ 기능은 고객사가 개인정보를 완벽하고 효율적으로 관리할 수 있도록 돕는 차별화된 기능이다.
뿐만 아니라 국가정보원에서 권고하고 있는 SHA256 단방향 암호화 알고리즘 방식을 채택해 개인정보와 관련된 정보의 암호화를 지원하고 있다. 암호화는 구간암호화, 로그암호화, 무결성 방지를 지원하며 동종 업계 최초로 CC인증 EAL3등급을 획득하면서 신뢰할 수 있는 개인정보보호 솔루션으로 인정받고 있다.
< 이지서티 개인정보 접속기록 관리 솔루션 ‘유비세이퍼 PSM’ 주요 기능 >
1. 개인정보 접속기록 내 필수 사항 반영
개인정보처리시스템 접속기록에 대한 감시체계를 강화해 개인정보 안전성 확보 및 사후감사의 실효성을 제고하고, 개인정보 접속기록 내 개인정보 취급자가 개인정보 처리 시스템을 이용해 개인정보를 처리한 내용을 알 수 있도록 정보를 구분해 제공합니다.
2. 개인정보 접속기록의 생성 및 수집
5W1H 형태의 표준화된 개인정보 접속기록을 수집하고, 개인정보 처리시스템의 소스 코드 수정 없이 부하를 최소화하는 범위에서 접속기록을 생성 및 수집한다.
3. 개인정보 접속기록의 안전한 보관
개인정보 접속기록은 매일 야간 배치작업을 통해 통계 및 분석 작업을 진행하며, 솔루션 자체에서 제공하는 방식으로 일일 단위로 2벌의 백업본을 생성하고, 국정원에서 인증하는 방식으로 암호화해 위·변조 및 도난, 분실되지 않도록 1년/2년 이상 보관·관리한다.
4. 개인정보 처리현황 분석
개인정보의 생성, 수정, 삭제, 조회, 다운로드 등 이용행위에 따른 처리 단계별 현황과 개인정보를 취급하는 업무 담당자별, 부서별, 개인정보 접속기록 현황을 관리한다. 개인정보 접속기록 현황 및 분석 제공을 통해 부서별·개인별 개인정보 처리시스템 접속기록에 대한 현황 파악이 가능하고, 개인정보 오남용 분석 결과 이상 행위에 대한 소명 기능을 제공해 개인정보 유출사고에 대한 사후관리가 가능하다.
5. 개인정보 접속기록에 대한 통계 및 분석 보고서
개인정보 접속기록의 처리현황을 통해 개인정보 입출력 자료의 분석·통계를 바탕으로 연간/분기별/월별 보고서와 오남용 분석 보고서, 다운로드 이력관리 보고서 등 개인정보 접속 및 오남용에 대한 현황과 그 추이를 분석할 수 있도록 지원한다. 뿐만 아니라 최고개인정보보호책임자(CPO)의 의무사항인 개인정보 처리현황 및 오남용과 부정사용에 대한 목적 별 보고서(관리수준진단, 오남용 CPO 보고, 시스템 처리현황보고, 고유식별정보 처리현황 보고) 기능을 제공함으로써 개인정보담당자의 업무효율성을 극대화한다.
6. 신뢰할 수 있는 안전성 및 보안성
시스템(CPU, Memory, HDD 등)의 운영 및 백업 관리, 장애 대응을 환경설정 메뉴에서 제공함으로써 안정적인 운영이 가능하며, 운영자 및 관리자의 시스템 감사 기능을 제공해 운영 보안성을 확보한다.
< 이지서티 개인정보 접속기록 관리 솔루션 구축사례 >
보건복지부 ‘개인정보 처리이력 통합관제 시스템 기능 개선 사업’
이지서티는 2022년 진행된 ‘개인정보 오남용 예방 대상기관 확대 사업’을 성공적으로 수행해 개인정보 접속기록 시스템의 국내 표준을 마련했다고 밝혔다. 현재 여성가족부, 기획재정부, 문화체육관광부, 농림축산식품부, 보건복지부, 해양수산부, 외교부, 고용노동부, 국방부, 행정안전부, 조달청, 농촌진흥청, 질병관리청, 경찰청, 소방청 등 15개 정부 부처를 비롯한 다수의 중앙부처와 지자체, 공공기관에서 이지서티의 개인정보 접속기록 관리 솔루션 ‘유비세이퍼 PSM’을 도입해 사용하고 있다.
파주시청 ‘지능형 소명관제 시스템 구축’
이지서티는 개인정보 접속기록 관리 솔루션 ‘유비세이퍼 PSM’의 소명 처리 기능 외에도 지능형 소명 관제 시스템을 개발해 2023년 5월 파주시청에 시스템 구축을 완료했다. 회사는 이로써 공공부문의 구축·운영 레퍼런스를 확보, 타사 대비 빠르게 시장을 선점할 수 있는 우위를 점했다고 평가하고 있다.
이지서티 ‘유비세이퍼 PSM’의 소명 모듈은 업무시간 외, 단기간 다량의 개인정보 조회, 다운로드 등과 같은 비정상 접속행위를 통한 개인정보 유출을 방지할 수 있는 보안 기능이다. 2022년 7월부터 변경된 개인정보 수준 진단 평가에서도 비정상 접속행위에 대한 추가 증빙자료를 요청하고 있으며, 이에 따라 이지서티의 소명 솔루션은 비정상적인 활동이 감지되면 관리자에게 알림을 보내 개인정보 취급자에게 이상행위에 대한 소명을 요청할 수 있도록 하고 있다. 소명 요청 및 처리 결과는 자동으로 통계자료와 보고서에 반영된다. 이지서티 측은 “개인정보 처리 관련 이상 행위에 대한 소명처리 기능은 입법 예고된 사항으로, 안전한 개인정보 활용과 개인정보 유출에 대한 사후 관리 등 측면에서 근본적인 예방 수단이 될 것으로 기대한다”고 밝혔다.
◆ 스파이스웨어 | 개인정보보호 SECaaS ‘스파이스웨어 원’
스파이스웨어는 클라우드 기반의 개인정보보호 SECaaS(서비스형 보안)인 ‘스파이스웨어 원(Spiceware One)’을 제공하고 있다. 정부·공공기관에 클라우드 서비스를 공급하기 위해 필요한 클라우드 보안인증(CSAP)도 획득했다.
개인정보보호를 위해서는 암호화, 접속기록 관리, 접근 제어, 무단 업로드 차단보호, 노출 탐지 등 각각 여러가지 솔루션을 도입해 각각 관리해야 하는 불편이 있다. 스파이스웨어 원은 개인정보 안전조치 의무에 필요한 기능을 모두 보안 서비스(SECaaS)로 제공해 고객이 필요한 기능만 주문형으로 추가하면 별도 설치 없이 간편하게 월 구독이나 연 구독 형태로 제공한다는 게 강점이다.
스파이스웨어는 개인정보보호에 필요한 모든 기능을 클라우드 기반의 월 구독 형태로 간편하게 연동한 후 관리할 수 있는 보안 서비스를 출시하고 고도화함으로써 모든 개인정보를 다루는 기업 및 기관이 안전하게 사업이나 서비스를 운영할 수 있는 보안 서비스가 되는 것을 목표로 한다고 밝혔다.
회사는 클라우드 기반 서비스에 거부감이 없는 클라우드 이용·전환 고객 가운데 개인정보를 보유하고 있는 고객을 타깃으로 사업을 확대해나갈 계획이며, 클라우드 인프라를 도입하지 않은 기관 및 기관도 개인정보보호 솔루션을 안전하고 간편하게 적용할 수 있다고 덧붙였다.
스파이스웨어 김근진 대표는 “개인정보접속기록은 1년 또는 2년 이상 장기 보관해야 하기 때문에 접속기록 저장소 관리 비용이 크다. 하지만 스파이스웨어 원은 법령에서 정한 대로 분리 보관 및 위·변조 방지를 위해 개인정보 접속기록을 99.9%의 가용성을 갖는 클라우드 저장소에 보관하고, 자동 백업이 가능하다”면서 “또한 네트워크 접속 기록으로 개인정보 접속기록을 관리하기 때문에 데이터베이스 조회 기록 대비 접속기록의 양이 적고, 사용한 저장소 양에 따라서 비용이 부과돼 초기 도입 비용을 절약할 수 있으며, 인공지능을 통해 수행 업무 정보 및 정보 주체 식별, 유출 이상 관리가 가능하다”고 밝혔다.
이어 김근진 대표는 “그 외 암호화, 개인정보 무단 업로드 차단보호, 개인정보 노출 탐지 등 다양한 보안 서비스를 추가 설치 없이 제공하는 현존하는 가장 현대화되고 진보적인 개인정보보호 제품임을 자부한다”고 덧붙였다.
< 스파이스웨어 개인정보보호 SECaaS ‘스파이스웨어 원’ >
스파이스웨어 원은 보안 클라우드 게이트웨이(Secure Cloud Gateway)를 통해 개인정보처리자의 네트워크 접속 기록을 바탕으로 개인정보 요청, 개인정보 응답 기록을 인공지능으로 분석하며 수행 업무 정보 및 정보 주체를 5W1H에 기반해 자동으로 식별한다. 이러한 과정에서 생성되는 데이터는 클라우드 스토리지에 격리해 자동으로 백업, 보관된다. 특히 스파이스웨어 원은 데이터베이스 쿼리 로그 기반 제품 대비 접속 기록량이 작고, 네트워크 기반이라 시스템 복잡도를 줄일 수 있는 게 장점이다.
뿐만 아니라 개인정보접속기록 리포트를 제공해 주기적인 관리 및 보고도 가능하다. 사전 설정된 보안 정책을 기반으로 위반 사항이 발생한 경우 인공지능에 의한 자동 소명이 가능하며, 유출 의심 건에 대한 보안 담당자 수동 소명 요청도 할 수 있는 등 개인정보 유출 이상관리에 대한 기능도 제공한다.
스파이스웨어 원은 현재 한국지능정보사회진흥원(NIA), 경상북도 내 17개 지자체 등과 같이 클라우드 전환을 완료, 추진하고 있는 공공기관 및 지자체에 적용됐다.
스파이스웨어는 자사의 시큐어 클라우드 게이트웨이를 이용한 개인정보보호 자동화 기능을 기반으로 개인정보 처리자의 단말에서 서버로의 개인정보 요청 및 개인정보 응답이 처리되는 웹서버 영역에 설치돼 자동으로 암호화된 접속을 분석하고 기록하므로, 다양한 기존 개인정보처리 시스템 구성에 영향을 받지 않고 신속하고 간편하게 구축이 가능했다고 설명했다.