2014 개인정보보호 페어 & CPO워크숍에 다녀오다!
2014년 6월 24일 코엑스 그랜드볼룸에서는 인정보보호에 대한 맞춤형 구축 전략 매뉴얼에 대한 개인정보보호 페어 & CPO 워크숍이 열렸다. 다양한 기업에서의 부스 전시와 강연이 진행되었다. C트랙에서는 달라진 개인정보 법령에 대한 기업의 대응방안과 관련 전략 및 기술에 대한 강연이 진행되었다.
나솔의 최복희 이사는 ‘대용량 트래픽 처리를 통한 개인정보 보호 전략 및 사례’에 대해 발표하였다. 주민등록번호 수집 법이 기존에 정보주체의 별도 동의를 통해 주민번호를 포함한 고유식별정보 처리가 가능했으나 법 개정 후 주민번호에 한하여 정보주체의 동의를 통한 수집이 금지되었다. 주민등록번호와 같은 중요한 개인정보를 굳이 수집할 이유가 없는 이상 수집할 수 없도록 한 것이며, 유출시 명의도용, 스팸, 피싱 등에 활용될 수 있어 예방 대책이 시급하다는 것이다.
현재로서는 해킹에 의한 차단, DB암호화, 접근제어, DRM을 통한 차단, 내부문서 유출 차단을 통한 차단, 홈페이지를 통한 차단, PC내 개인정보 관리를 통한 방법을 사용하고 있으나 여전히 개인정부 유출이 심각한 것이 사실이다. 나솔 측에서의 경험에 의한 유출 사례를 살펴보면
- 사용하지 않았거나 삭제 했다고 생각했던 2000년대 초반의 URL이나 홈페이지가 웹서버에 남아있어 개인정보가 유출된 사례
- 홈페이지소스에 주민번호를 키 값으로 사용하여 프로그램화 되어 있는 홈페이지에서 개인정보 유출된 사례
- 개인정보 차단 솔루션이 다운되었을 때 개인정보가 유출되거나, 웹 방화벽으로 개인정보를 차단하다가 사용자 폭주하는 기간에 개인정보 차단 기능을 해제했다가 개인정보가 유출되는 사례
- 소프트웨어 형태의 개인정보 차단 솔루션을 도입하였으나 홈페이지 관리가 안되어 소스 코드가 지워지고 개인정보가 다량 검색된 사례
와 같이 비단 담당자만의 문제라고 보기엔 어려운 사례가 많았다.
나솔에서 제안한 솔루션은 하드웨어 일체형 장비로 웹서버 앞단에만 설치하면 되는 간단한 트래픽 처리 장치로, 보안서버 구축 시에도 보안모듈만 탑재함으로서 간단히 보안 서버 구축이 가능한 SmartXFilter이다.
각종 문서 파일 내의 휴대전화번호, 불건전 게시물, 전자우편 주소, 신용카드번호, 금융계좌번호, 주민등록번호, 여권번호와 같은 개인 식별자를 네트워크 단에서 트래픽 필터링을 통해 차단할 수 있는 솔루션이다. 개인정보 차단 기능과 웹 가속기 기능을 동시에 수행하는 일체형 제품으로 개인정보 필터링을 통한 속도 저하를 극복한 장비이기도 하다. In Bound, Out Bound 차단이 모두 가능하여 사용자가 게시판에 글을 올릴 때 본문 글이나 첨부파일의 글에서도 개인정보를 검사하여 개인정보가 확인되었을 시 팝업창을 통해 차단하고, 사용자가 페이지 검색을 통해 사이트의 개인정보를 열람하게 되거나 첨부파일을 다운받더라도 팝업을 통해 유출을 막거나 *표로 치환하도록 했다. 장애나 사용자 폭주에 대한 대비도 안정성을 보장한다.
개인정보차단 솔루션에서 다양한 형태의 문서에 대해 입력과 출력 양방향으로의 차단이 가능한지, 이에 따른 시스템 운영의 안정성에 문제가 없고 응답 속도와 부하에 대비할 수 있는 솔루션인지가 가장 중요한 요건임을 강조했다.
개인정보 유출이 심각한 요즘 관리자의 부주의만이 그 원인이라고 볼 수 없다. 대책 없이 개인정보 수집을 동의만 구하면 허용했던 방안이 지금은 애초부터 정해진 조건이 아닌 이상 수집할 수 없도록 한 것처럼, 이제는 개인정보 유출 자체가 발생할 수 없는 시스템이 만들어지는 것이 더 확실한 해결책이 아닐까 생각해 본다.