로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    우리 사회가 추구하는 보안

    페이지 정보

    profile_image
    작성자 박철광
    작성일Date 20-12-11 16:20

    본문

        민앤지 박철광 상무


    보안이란


    보안이란 “사회의 안녕 질서를 유지하는 것”을 뜻한다. 사회의 안녕 질서란 곧 개개인의 안녕이기도 하다. 2020년 현재를 맞이한 우리의 세상은 이러한 안녕을 추구하며 노력한다.
    우리의 역사에서 보듯이 보안은 청동기 시대 이전부터 개인의 안전, 평화, 사회의 안전, 평화를 위해 다양한 형태로 자리 잡고 각 시대에 맞춰 흐르고 있었을 것이며, 현재 정보화의 시대에는 개인의 안전, 평화, 사회의 안전 평화를 위해 개인의 정보를 이용하여 다양한 편의를 이루어내고 있다.
    정보화의 시대에 맞춰 우리가 해야할 보안은 무엇이고, 어떻게 보안을 좀더 효율적이고 안전하게 이루어 낼 것인가가 우리의 과제인 것 같다.


    개인이 추구하는 개인정보보안과 기업에서 추구하는 개인정보보안


    인터넷이 1950년 컴퓨터의 개발과 더불어 시작하게 되고 우리나라는 1990년부터 인터넷 보급되고 통신망이 점점 확대대기 시작하면서부터 다양한 서비스의 형태를 만들어 내었다. 그리고 인터넷을 이용하여 개인의 정보를 수집하고 이용하기 시작하면서 많은 보안 이슈가 발생하게 되었고, 1999년 7월에는 정보통신망법에 개인정보보호에 대한 법률 조항이 추가되고, 2011년 9월에는 개인정보보호법이 신규 제정되면서 개인정보보호에 대한 보안 추세는 점점 강화되어 가고 있다. 특히 2011년의 경우 다수의 기업에서 개인정보의 유출이 발생하면서 이용자 및 기업에 많은 피해가 발생하였다.

    현재 개인정보보안은 누구를 위해서 하는 것일까? 이용자를 위해서? 기업의 이익을 위해서?
    개인정보보안은 개인과 기업 양측의 입장에서 보면 기본적으로 타 부서, 타 기업과의 협업과도 비슷하다. 기업은 개인의 정보를 이용하여 정보화 시대에 맞춰 서비스 및 편의를 제공하고 이에 따른 이익을 발생시킨다. 개인은 자신의 개인정보를 기업에 제공하여 이용 받는 서비스와 편의를 얻어 간다. 이 둘의 관계를 상생과 협업하듯이 물고 물리는 관계라고 해도 무방할 것이다.

    그렇다면 각 개인이 원하는 개인정보보안과 기업이 원하는 개인정보보안은 어떤 차이가 있을까? 개인은 자신에게 문제가 발생하지 않는 보안을 원할 것이며, 기업은 이익을 좀더 추구하기 위하여 어느 정도의 수준으로만 보안을 하기를 원할 것이다. 이로 인하여 상충이 발생한다.

    개인은 자신의 편의 및 상황에 맞는 여러 가지 형태의 서비스를 이용하게 되면서 개인정보를 제공하고, 기업은 기업의 이익을 위하여 개인정보를 수집하여 활용하되 보호는 아직까지도 잘하지 않는다.
    정부의 정보보호관리체계, 금융감독원의 의무 관리 감독 대상이 되지 않고서는 기업의 이익이 우선이고 개인의 정보는 보호하려 하지 않는다. 하물며 의무 관리 감독 대상이 된다고 하더라도 기업의 이익을 앞세워 보안은 차일피일 미루려 한다.보안을 하려면 인력, 보안솔루션, 개발 일정 등의 많은 비용이 발생하기 때문이다. 어떻게 보안을 해야 좀더 효율적이게 관리하고 보호하며 비용의 발생을 줄일 수 있을까?


    개인정보 점검 및 취약점 도출 방법


    개인정보의 보호는 보안솔루션을 이용한 보안, 각 개인의 보안 기술력 향상을 진행하여 고도화 하는 보안 등 몇몇 가지의 방법이 있다. 규모가 작거나 신생기업에서는 보안을 하기에는 많은 비용이 필요하여 보안을 포기하는 경우가 많다. 하지만 굳이 비용을 많이 들이지 않더라도 개인정보에 대한 관리 및 보호를 조금만더 신경쓴다면 회사의 이익을 위해서도 신뢰를 위해서도 좋을 것이다.개인정보의 점검 방법은 여러 가지 방법이 있고 점검 사항에 대한 조치 방법도 있다.정보처리시스템의 기술적/관리적/법적 취약점 점검이 그중 한 방법이기도하다.물론 보안의 영역에 발을 들이지 않은 사람들은 이 점검 방법이 무엇인지 알기가 어렵다.2019년부터 KISA에서 ISMS-P 인증기준 세부항목이 배포되었다. SMS-P 인증 세부 항목은 기존 ISMS 인증 세부 항목과의 차이가 많이 나지 않는다.


    신기준의 ISMS-P 항목 중 몇 개의 항목에서 기업이 제공하는 서비스에 어떠한 개인정보가 보유되고 관리되고 있는지를 한눈에 볼 수 있는 항목이 있다. 해당 항목은 다음과 같다.


    “1.2.2 현황 및 흐름분석”, “2.6.4 데이터베이스 접근”, “3.2.1 개인정보 현황관리”
    3가지 항목을 확인하면 개인정보에 대한 수집 및 보호가 어떻게 되고 있는지 개인정보취급자의 접근은 어떻게 되고 있는지를 최소한 확인 할 수가 있다. 각 항목은 다음의 사항들에 대한 점검이 가능하다


    세부항목

    도출 산출물

    점검내용

    1.2.2

    현황 및 흐름분석

    l 운영서비스 흐름도

    l 개인정보취급자 업무 흐름도

    l WEB/WAS/DB 간의 연동에 따른 서비스 포트

    l 각 서버의 서비스 포트별 서버상의 Daemon 확인

    l 사용자의 정보처리시스템 접속 경로

    l 주요 장비 접속 진행간 보안장비 현황

    l 기타 등등

    2.6.4

    데이터베이스 접근

    l 운영서비스 DB 테이블명세서

    l 수집된 개인정보에 대한 암호화 및 마스킹 여부 확인 가능

    l 이용자의 동의 없이 추가 수집되고 있는 항목

    l 해지자 및 장기 미사용자 접속 정보 확인

    l 기타 등등

    3.2.1

    개인정보 현황관리

    l 개인정보처리방침 자산화 문서


    l 이용자의 개인정보 별 보유기간 여부 확인

    l 이용자의 정보주체 수 확인

    l 기업의 개인정보 수집 용도 확인
    기타 등등

     

    이 항목들만 확인하여도 많은 개인정보에 대한 어떤 취약점이 있는지 어느 정도 도출이 가능하다. 또한 도출된 내용을 확인하고 조치만 취할 수 있다면 개인정보를 안전하게 보관하고 기업의 발전에 무리 없이 이익을 발생 시킬 수 있을 것이다.


    최소한 최대한의 보안


    보안은 개인이 직접 자신의 정보를 지키는 것이 타당하다. 하지만 인터넷의 보급이 높아진 현재 개인의 정보를 제공하지 않고서는 서비스의 이용 또한 제한이 어려울 수 밖에 없다. 그렇다면 개인정보에 대한 보호의식은 누가 더 확고히 지켜야 할 것인가. 개인정보를 수집하고 활용하여 이익을 발생시키는 집단 즉 기업에서 이러한 보호의식을 가져야 한다고 생각된다.

    보안을 하기에는 많은 비용이 발생한다. 회사가 이익을 발생하지 않는데 무조건적인 비용을 부여하기도 기업입장에서 어렵다고 생각한다.보안담당자 그리고 서비스를 제공하는 기업에서는 보안을 진행하기 위하여 많은 것을 고민해봐야 한다. 비용을 들여서 보안을 할 것인지 비용을 들이지 않고 최대한 할 수 있는 방법을 고안하여 진행할 것인지 말이다.

    간단한 예로 설명해 본다. 기업의 이익이 있을지 없을지 모르는 상황에서 개인정보의 보호를 위하여 비용을 들인다면 참으로 부담스러울 수밖에 없을 것이다.비용을 들이지 않고 보안을 나름 해본다면 수집되고 있는 모든 개인정보를 암호화 규칙에 맞게 조치를 진행하는 것이다. 암호화를 진행할 때의 key는 하드코딩을 하지 않고 별도의 물리적 시스템이던 논리적 시스템을 이용하여 key를 분리하고 데이터베이스 내에 개인정보를 최대한 암호화를 진행하는 것이다. 


    결 론


    정보화의 시대를 넘어 AI, 클라우드 등 여러 가지 환경에서 개인정보의 보안이슈는 점점 커질 수밖에 없다. 2011년 3500만건의 대규모 유출 건수가 발생하였던 SK컴즈가 있고, 2016년 2540만건의 대규모 유출 건수가 발생하였던 인터파크를 보자.

    인터파크는 관리 소홀로 인하여 엄청남 과징금을 확정 받았고, SK컴즈의 경우 개인정보의 안정성 확보조치를 다했다는 이유로 배상 책임이 없다라고 확정 받았다. 개인정보가 외부로 유출이 되지 않도록 기업의 입장에서 최선을 다해야만 사회적으로 해당 기업의 신뢰가 상승 될 것이며, 혹시나 외부에 의한 침해 및 유출시 과징금이라는 손해가 발생하게 되지 않을 것이다. 


    이용자들의 개인정보는 보다 튼튼하고 안전하게 보호가 될 것이다.앞으로 어떠한 보안을 추구하고 사회 및 이용자들이 보다 나은 환경에서 편리한 서비스를 제공받을 수 있을지에 대한 고민은 끊임없이 계속 되어야 한다.