예전에는 문서 내 텍스트에 대해서만 개인 정보를 탐지하고 차단할 수 있는 제품들 밖에 없었지만 이제는 기술의 발달로 이미지 속의 개인정보까지도 탐지할 수 있는 OCR 모듈을 탑재한 개인정보보호 솔루션들이 많이 개발되었다.

최근 개발된 이미지까지 탐지할 수 있는 개인정보 솔루션들의 성능도 천차만별이기에 실전에서 테스트를 하고 도입하는 것이 필요하다.

엘세븐시큐리티는 최근 6개월간 많은 사이트를 분석해 본 결과, 테스트를 안 해보고 구매해 후회하는 사례, 이미지 보안이 중요한지 모르고 사업을 하면서 입찰 스펙으로 텍스트 차단만을 사양으로 올리는 사례가 있다는 것을 확인했다.

텍스트에 대한 개인정보 유출 차단은 10여 년 전부터 도입을 해왔기에 차단이 가능하지만 이미지에 대한 보안은 최근 몇 년 사이에 이슈화가 되면서 아직은 도입을 많이 하지는 못한 상태이다. 만약 기관에서 운영하는 웹 시스템에 개인 정보가 포함된 이미지가 있다면 그것은 이미 Google이나 네이버 등과 같은 검색 엔진을 통하여 외부에 유출되었다고 보는 것이 당연하다. 이러한 문제를 해결하고자 개인정보 보호법에서는 구글링과 같은 검색 엔진을 통하여 개인 정보가 유출되지 않도록 하라는 지침이 있다.

또한 연 1회 이상 개인 정보가 있는지를 탐지하도록 되어 있지만 많은 기관들은 보유한 모든 서버에 대하여 스캔을 통한 점검을 잘하고 있지않는 것이 현실이다. 그러나 스캔은 자주 하여 서버 내의 개인정보를 수시로 찾아내어 수정하거나 삭제해 웹시스템 내에 개인정보를 보유하지 않도록 하는 것이 중요하다.

엘세븐시큐리티 측은 기관에 납품된 스캔 솔루션을 통해 기관 내의 서버를 스캔해보면 문서 내의 텍스트에 개인 정보가 있기도 하지만 문서 내의 이미지 속에서 개인 정보가 포함된 사례가 많다는 것을 알게 됐다. 솔루션을 사용하지 않고 서버 내의 모든 문서 파일을 일일이 열어보고 이미지 속에 개인정보가 있는지를 확인했던 기관도 있지만 눈으로 본다고 모두 찾아낼 수는 없다. 숨겨져 있는 이미지에서 개인정보가 나오는 사례도 있기 때문이다.

검출된 사례를 보면 어떤 학생이 자신이 받은 상장을 들고 사진을 찍었는데 그 상장 안에 주민등록 번호가 있었고, 지자체의 “칭찬합시다” 페이지에 착한 기사를 칭찬하기 위해 택시의 조수석에 붙은 기사 사진과 기사의 이름 등 정보를 사진 찍었는데 그 사진 안에 기사의 주민번호가 있는 경우도 있었고, 교육청의 경우는 학생증에 주민번호가 포함된 파일이 있었고, 기관에서 출장 보고서를 제출했는데 출장자들의 각각 주민번호가 있거나 계약서를 스캔하여 이미지로 저장했는데 계약자의 주민등록번호가 포함되어 있는 등 다양한 개인정보탐지 사례가 있었다. 기관에서는 이러한 이미지 속의 개인 정보 문서가 발견되면 검색 엔진에 모두 삭제 요청을 해야 한다.

올해 상반기 동안 엘세븐시큐리티는 구로구청, 용산구청, 진안군청, 마포구청, 동래구청, 전라남도청 등 다양한 공공기관의 개인정보 차단 솔루션과 서버 개인정보 스캔 솔루션을 납품했다. 기관들이 솔루션을 도입한 이유는 첫 번째 이미지에 대한 개인 정보 탐지와 차단이 가능하고, 특히 홈페이지 속도를 떨어뜨리지 않으면서 다운로드 차단까지 가능했기 때문이다. 두 번째는 이미지에 대한 인식률이 좋기에 다양한 형식의 비정형 문서에서 개인정보를 탐지하고 차단할 수 있었기 때문이다.

엘세븐시큐리티의 한동철 상무는 “개인정보 유출을 최대한 차단하려면 반드시 다운로드 차단 기능이 되는 제품을 도입해야 후회가 없고, 다운로드 차단이 되어야만 개인정보보호법을 준수할 수 있다”라며 “개인정보차단 솔루션을 도입하기 전에 반드시 이미지에 대한 개인 정보가 얼마나 차단되는지를 반드시 테스트를 해본 후에 도입해야 한다”라고 말했다.

한편 엘세븐시큐리티는 인공지능 기술이 바탕이 된 OCR 모듈을 통해 많은 공공기관에 필터와 스캔 솔루션을 납품했고, 이메일 솔루션과 연동해 개인정보 유출을 차단하는 사업과 망연계 솔루션을 통한 개인정보의 유출을 차단하는 사업을 꾸준히 하고 있다.

★정보보안 대표 미디어 데일리시큐!★