선량한 관리자가 되기 위한 필요조건

현장속으로/세미나 2013. 6. 14. 08:43

지난 5월 14일, 양재동 엘타워에서 '스마트 융합 시대에 필수적인 개인정보보호와 금융보안'이라는 주제로 'FPIS 2013 금융보안&개인정보보호 페어'가 열렸다.

오전 세션에는 오프닝 연설과 기조연설이 진행되었고, 오후 세션에는 트랙A와 트랙B로 나뉘어 발표가 구성되었다. 발표장 바깥에는 전시부스가 마련되어 개인정보보호 관련 솔루션 등 다양한 프로그램의 체험이 가능했다.

소만사(소프트웨어를 만드는 사람들)의 김대환 대표의 기조연설 '컴플라이언스와 개인정보보호 2.0'를 들어보았다. 아래는 주요 발표 내용.

<개인정보 / 보안 침해사고 동향>

개인정보 유출사고의 원인에는 크게 두 가지가 있다. 첫째는 경제적 목적, 둘째는 정치적 목적이다. 개인정보를 통해 얻게 되는 이득이 커짐에 따라 개인정보 침해사고의 방식은 더욱 다양하고 치밀해지고 있다. 개인정보 침해사고의 신규 동향을 살펴보자. 

1. 웹서버나 어플리케이션에서의 개인정보 취득 : 어플리케이션 서버를 경유하여 개인정보를 조회한 후, 유출한다. 한번에 한 두건씩, 누적시켜 수십만건의 정보를 조회한다. 기존의 탐지 방식으로는 사용자의 이상조회를 식별할 수 없으므로 피해가 발생하게 된다.

2. APT 공격 : DB접속 권한자의 PC를 악성코드 배포를 통해 해킹하고, 권한자가 부재중일때 DB에 접속하여 개인정보 파일을 취득한 후 외부로 전송한다.

3. 웹서버에서의 개인정보 취득: 사용자들에게 활성화 되어 있지 않은 개발용 웹서버도 타겟이 된다. 웹어플리케이션 서버는 외부에 노출되어 있으므로, 가장 손쉬운 해킹의 대상이며, 웹서버 해킹만으로 수백만건의 개인정보 유출사고가 발생할 수 있다.

<개인정보 법적 분쟁 분석>

카드사, 증권사, 통신사 등 다양한 업종의 회사로 부터 개인정보가 유출된 사례가 있으며, 경로는 출력물, 웹서버, 이메일, FTP, 어플리케이션 등으로 다양하다. 이는 개인정보 집단 소송으로 불붙어 보안 사고 후의 화두가 되고 있다. 소송에 대한 법원의 판단 근거는 '선량한 관리자로서의 기술적 관리적 보호조치 의무를 다하였는가?' 이다. '선량한 관리자로서의 기술적·관리적 보호조치 의무'는 아래와 같다.


<개인정보 컴플라이언스>

개인정보에 대한 통제 체제(가버넌스)를 획득하기 위해서는 개인정보 보유 현황을 분석하고, 개인정보 조회와 취득을 통제하고, 개인정보 전송과 유출의 3단계에 대한 통제 및 감사가 이루어져야 한다. 

개인정보 보유 현황 파악 및 보호 조치 단계에서는 PC뿐 아니라, DBMS나 서버의 개인정보 보유현황을 체크해야 한다.

다음으로 개인정보 조회와 취득에 대한 통제 단계에서는 쿼리툴을 통한 개발자/DB관리자 접근, 어플리케이션을 통한 일반 취급자 접근, Shell service를 통한 시스템 관리자 접근에 대한 분리가 이루어져야 한다.

마지막으로 개인정보 전송과 유출 통제 단계에서는 인터넷을 통한 개인정보 전송, USB등 미디어를 통한 복사 및 전송, 망분리 요건, 비업무 사이트 통제 등의 통합 관리 체제가 이루어져야 한다.

<개인정보 기술적 보호조치 기술적 신동향>

사례 몇 가지만 살펴보자. 사례1의 'Content-Aware DB 접근통제'는 쿼리 자체의 통제가 아닌 개인정보 응답값 분석을 통한 통제를 통해 이루어진다. 사례4의 '개인정보화일 (웹)서버 저장 현황 분석'은 어플리케이션 서버, 파일 서버, 웹서버, 개발 서버에 무단보관된 개인정보 파일 분석/삭제/암호화를 활용한다. 사례5의 '출력물 개인정보 감사 통제'는 텍스트나 이미지 형태로 추출하여 로그를 저장하여 선별한다. 이 과정에서 개인정보가 포함된 것이 발견되면 결재를 필요로 하게 된다. 사례 6의 '오픈 소스코드 기반 분산병렬처리 분석(빅데이터 분석)'은 검색 조건에 따른 필드별 집계 표시로 상관 관계를 분석하여 실행한다.

발표를 통하여 개인정보 유출을 다루는 법적인 시각과 기술적인 부분을 모두 알아볼 수 있었다. 다양한 개념에 대해 심도있는 설명으로 뒷받침 하여, 가벼운 내용들이 아님에도 쉽게 이해할 수 있었다. 
잃고 나서 수습하는 것을 '소 잃고 외양간 고친다'라고 한다. 그러나 보안의 경우 '소를 잃고도 외양간을 고치지 않는' 기업들이 많다고 한다. '선량한 관리자의 의무'를 법적, 기술적으로 피해를 줄일 수 있는 방안이라 여기고 미리 지킬 수 있도록 해야 할 것이다. 알아야 지킬 수 있고, 지켜야 지킬 수 있다.Ahn

 

 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.


댓글을 달아 주세요