“그간 정부와 민간에서 개인정보를 보호하기 위해 많은 노력을 기울여 왔음에도, 유출 방법은 갈수록 다양화, 고도화되고 있으며 최근에는 나라 전반을 뒤흔드는 대형 유출 사고까지 발생했다. 이러한 환경변화에 대응하기 위해 정부는 관련 법들을 지속적으로 개정하고 있으며, 따라서 개인정보보호를 위한 기술적 요구사항도 점차 복잡하고 심도있게 바뀌고 있다. 개인정보를 보호해야 하는 기관과 기업, 단체 등에서는 개정된 법 내용을 만족시키고 유출사고 방지를 위해 지속적인 보완이 필요하다.”-소만사 최일훈 부사장-
 
지난 4월 2일 양재동 더케이호텔서울에서 800여 명의 개인정보보호 담당자들이 대거 참가한 가운데 개최된 국내 최대 개인정보보호 컨퍼런스 G-Privacy 2015에서 소만사 최일훈 부사장(사진)은 ‘법 개정을 만족하는 개인정보 보호기술’이란 주제로 키노트 발표를 진행했다.
 
최일훈 부사장은 “최근 개인정보 침해사고를 분석해 보면 권한자의 의도적 유출이 다수를 차지한다. DB 접속 및 조회 권한자가 DB접속후 개인정보를 USB나 출력물을 통해 빼내 간 것이다. 권한자가 웹 애플리케이션을 경유해 개인정보를 조회해 한번에 한 두 건씩 수십만건을 조회한다면 기존 방식으로는 1천여 개 지점에서 각각 한번씩 조회했는지 한 곳에서 1천번을 조회했는지 식별이 불가능하다”고 지적했다.

 
또 최 부사장은 “APT 공격을 통한 유출도 지적했다. DB접속 권한자 PC에 악성코드를 배포해 감염시켜 침투, 검색, 수집, 유출을 해 가는 경우다. 또 웹애플리케이션서버는 외부에 노출돼 있어 가장 손쉬운 해킹 대상이 되고 있다”고 강조했다.
 
침해사고 발생시 법원의 판단근거는 어디에 있을까. 바로 ‘선량한 관리자로서 기술적 관리적 보호조치 의무를 다했느냐’가 관건이다.
 
최 부사장은 “개인정보 라이프 사이클에 걸친 선량한 관리자의 의무를 다 해야 한다. 개인정보 통합관제 및 빅데이터 처리를 통해 개인정보 무단 보유 현황을 파악하고 개인정보 과다 조회/활용을 통제, 개인정보 유출/제공 등을 통제해야 한다”며 “이를 통해 기존 유출사고 유형에 대한 재발방지와 컴플라이언스 준수, 동종업계 평균이상 보호조치 준수가 필수적이다”라고 강조했다.

 
특히 조직내 PC, DBMS, 웹서버, 파일서버, 어플리케이션서버, 스마트폰 등 모바일 디바이스 등에 개인정보가 어디에 있는지 파악하는 것이 최우선 과제라는 것이다. 개인정보가 어디에 있는지 모르면서 보호한다는 것은 불가능하기 때문이다.
 
또한 DB DLP, WAS DLP 등을 통해 개인정보가 과다 조회, 활용되는지 통제와 감사가 필요하다. 또 네트워크 DLP를 통해 메일, FTP, 웹메일, 웹하드, 메신저를 통한 개인정보 전송 및 유출을 통제하고 엔드포인트 DLP를 통해 USB 매체제어, 출력물 제어, 인터넷 전송 제어가 반드시 필요하다고 덧붙였다.
 
G-Privacy 2015 소만사 최일훈 부사장 발표자료는 주최측인 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com