대규모 유출 사고와 함께 부각되는 접속기록 관리의 중요성
[보안뉴스= 이병남 김·장 법률사무소 고문] 최근 국내외적으로 해킹에 의한 개인정보 유출 사고가 빈번하게 발생하고 있다. 개인정보보호위원회가 발표한 자료에 따르면 2024년 한 해 동안 국내에서는 총 307건의 개인정보 유출 사고가 신고된 것으로 나타났다. 그중 중소기업(40%)과 공공기관(34%)에서 특히 많이 발생했고, 개인정보 유출 사고로 인해 통신, IT, 금융, 보험 등 각 분야를 대표하는 대기업들도 개인정보보호위원회로부터 막대한 과징금을 포함한 강력한 행정제재를 부과받고 있다.
[자료: gettyimagesbank]
특히 주목해야 할 점은 상당수의 개인정보 유출 사고가 불법적인 외부 침입에 의한 것이 아니라 내부 관계자에 의해 발생하고 있다는 것이다. 시스템 관리자나 업무 담당자가 정당한 접근 권한을 남용하거나, 퇴사 직원이 개인정보를 무단으로 반출하는 사례들이 보이지 않는 곳에서 은밀하게 일어나고 있다는 것이다. 이러한 내부자 위협은 외부 침입보다 탐지하기 어렵고, 광범위한 피해로 이어질 가능성이 높아 더욱 주의가 필요하다. 2022년 수원시 공무원이 흥신소에 개인정보를 유출해 발생했던 비극적인 사건과 서울교통공사에서 접속 권한 없는 직원이 내부망에 접속해 발생했던 비극적인 사건이 대표적인 사례라고 할 수 있다. 그 후 개인정보보호위원회가 발 빠르게 개인정보 안전성 강화를 위한 개선 대책을 발표했지만, 아직까지 내부인에 의한 개인정보 유출 위험이 완전히 해소되었다고 볼 수 없다. 그럼 지금, 우리는 어떤 대책을 마련해야 할까?
개인정보 접속기록 관리, 예방과 대응의 핵심 열쇠
개인정보 유출 사고의 근본적인 예방책이자, 사고 발생 시 원인 규명과 신속한 대응의 출발점은 바로 ‘접속기록’에 있다. 누가 언제, 어떤 개인정보에 접근했고 무슨 작업을 수행했는지를 기록하고 추적할 수 있는 로그 데이터는 범죄 현장의 지문과 같은 증거이자, 내부 위협을 사전에 탐지할 수 있는 조기경보 시스템 역할을 한다. 개인정보보호위원회가 개인정보의 안전성 확보를 위한 조치로써 개인정보 접속기록 생성 및 관리를 의무화하고 지속적으로 강화해 온 배경이기도 하다.
현실과 이상의 간극, 보이지 않는 사각지대
하지만 현실은 어떨까? 법 제도와 실제 업무 현장의 괴리는 여전히 존재한다. 많은 기관이나 기업이 형식적인 수준의 로그만을 생성하거나, 정확성과 완전성을 보장하지 못하는 방식으로 접속기록을 수집하는 경우가 있다. 특히 네트워크 패킷을 미러링하는 방식의 접속기록 생성은 비교적 도입이 간단하다는 장점이 있지만, 몇 가지 개인정보보호에 취약한 기술적 한계를 가지고 있다.
이 방식은 △패킷 손실과 재조합 오류로 기록이 누락될 가능성이 있고 △암호화된 통신에서는 내용 파악이 어려우며 △직접 DB 접속이나 관리자 권한을 통한 우회 접속은 기록되지 않을 수 있다는 특징이 있다. 즉, 접속기록이 ‘존재’하더라도, 필요한 순간에 완전한 정보를 제공하지 못할 가능성이 있다. 또한 트래픽이 급증하거나 시스템 부하가 커지면 패킷 드롭 현상이 발생할 수도 있다.
패킷 유실을 완벽하게 방지하는 것은 매우 어렵지만 유실 가능성을 최소화하는 것은 가능하다. 다만 이를 위해서는 하드웨어 TAP 사용, 초고속 캡처 카드 등의 물리적인 투자와 고속 패킷 캡처 프레임워크 등의 기술적 기반이 뒷받침되어야 한다. 하지만 일부 중소기업이나 지방자치단체의 경우, 높은 수준의 기술적 기반과 충분한 예산을 확보하기 어려울 수 있기 때문에 기록 유실의 위험에도 불구하고 네트워크 패킷 수집 방식으로 접속기록을 생성할 수밖에 없는 한계를 가지고 있다.
기록의 유실은 보안사고 발생시 정확한 원인 분석을 어렵게 만들고, 결국 재발 방지 대책 수립에도 영향을 미칠 수 있다. 더욱 우려되는 점은 접속기록의 완전성에 대한 확인이나 점검이 충분히 이루어지지 않고 있다는 것이다. 일부는 접속기록 관리 시스템을 도입했다는 사실만으로 의무를 다했다고 여기고 있으며, 실제로 모든 접속이 빠짐없이 기록되고 있는지에 대해서는 면밀한 검토가 부족한 경우가 있다. 이는 마치 CCTV는 설치했지만, 녹화가 제대로 되는지 확인하지 않는 것과 같다고 하겠다.
제도적 개선을 통한 사각지대 해소
다행히도 접속기록 의무화가 도입된 초창기에 비해서는 많은 공공기관과 기업들이 좀 더 유실 위험이 낮은 안정적인 방식을 통해 접속기록을 생성하고 있는 것으로 보인다. 하지만 아직도 일부 존재하는 사각지대를 보다 체계적으로 해소하기 위해서는 제도적 보완을 고려해 볼 필요가 있다.
우선 개인정보의 안전성 확보를 위한 조치 기준에 접속기록 생성 방식에 대한 보다 구체적인 기술적 가이드라인을 제시하는 방안을 검토해 볼 수 있다. 단순히 ‘접속기록을 남겨라’는 일반적 지침이 아니라, 어떤 방식으로, 어떤 장비를 통해, 어떤 품질 수준으로 로그를 생성하는 것이 바람직한지에 대한 구체적인 권고사항과 기준을 마련하는 것이다.
또한 정기적인 점검 체계도 필요하다. 생성된 접속기록의 정확성·무결성·완전성을 검증할 수 있는 표준화된 방법론을 개발하고, 이를 바탕으로 주기적인 점검과 평가를 실시하는 것을 고려해 볼 수 있다. 특히 고위험 개인정보를 다루는 기관과 기업에는 보다 세심한 관리 기준을 적용하는 것도 하나의 방법이다. 개인정보보호위원회 등 관계기관이 중심이 되어 정기적인 로그 품질 점검 및 표준화 가이드라인을 제공한다면, 개인정보 접속기록이 단순한 형식적 요건을 넘어, 실질적인 보호 수단으로 기능할 수 있을 것이다.
개인정보는 한 번 유출되면 회복하기 어렵다. 예방이 최선의 대책이라는 점에서, 지금 우리가 관심을 기울여야 할 것은 표면적 시스템 구축을 넘어선 기록의 신뢰성이다. 기록이 제대로 남아야 보이지 않는 위험을 예방할 수 있다. 일련의 개인정보 유출 사고가 우리에게 던진 과제를 해결하기 위해서는, 개인정보 접속기록 관리의 사각지대를 찾아내고 이를 개선하기 위한 지속적인 노력이 필요하다. 형식적 관리에서 벗어나 실질적인 개인정보 보호 체계를 구축해 나가는 것이 우리 모두가 함께 풀어야 할 과제다.
[글_ 이병남 김·장 법률사무소 고문]
필자 소개_ 이병남 김·장 법률사무소(2023.9~현재) 고문은 개인정보보호위원회 조사과장(2019.10~2020.7), 개인정보보호위원회 개인정보보호정책과장과 개인정보정책국장(직무대행)(2020.8~2023.8)을 역임한 개인정보보호 전문가다.
[보안뉴스= 이병남 김·장 법률사무소 고문] 최근 국내외적으로 해킹에 의한 개인정보 유출 사고가 빈번하게 발생하고 있다. 개인정보보호위원회가 발표한 자료에 따르면 2024년 한 해 동안 국내에서는 총 307건의 개인정보 유출 사고가 신고된 것으로 나타났다. 그중 중소기업(40%)과 공공기관(34%)에서 특히 많이 발생했고, 개인정보 유출 사고로 인해 통신, IT, 금융, 보험 등 각 분야를 대표하는 대기업들도 개인정보보호위원회로부터 막대한 과징금을 포함한 강력한 행정제재를 부과받고 있다.
[자료: gettyimagesbank]
특히 주목해야 할 점은 상당수의 개인정보 유출 사고가 불법적인 외부 침입에 의한 것이 아니라 내부 관계자에 의해 발생하고 있다는 것이다. 시스템 관리자나 업무 담당자가 정당한 접근 권한을 남용하거나, 퇴사 직원이 개인정보를 무단으로 반출하는 사례들이 보이지 않는 곳에서 은밀하게 일어나고 있다는 것이다. 이러한 내부자 위협은 외부 침입보다 탐지하기 어렵고, 광범위한 피해로 이어질 가능성이 높아 더욱 주의가 필요하다. 2022년 수원시 공무원이 흥신소에 개인정보를 유출해 발생했던 비극적인 사건과 서울교통공사에서 접속 권한 없는 직원이 내부망에 접속해 발생했던 비극적인 사건이 대표적인 사례라고 할 수 있다. 그 후 개인정보보호위원회가 발 빠르게 개인정보 안전성 강화를 위한 개선 대책을 발표했지만, 아직까지 내부인에 의한 개인정보 유출 위험이 완전히 해소되었다고 볼 수 없다. 그럼 지금, 우리는 어떤 대책을 마련해야 할까?
개인정보 접속기록 관리, 예방과 대응의 핵심 열쇠
개인정보 유출 사고의 근본적인 예방책이자, 사고 발생 시 원인 규명과 신속한 대응의 출발점은 바로 ‘접속기록’에 있다. 누가 언제, 어떤 개인정보에 접근했고 무슨 작업을 수행했는지를 기록하고 추적할 수 있는 로그 데이터는 범죄 현장의 지문과 같은 증거이자, 내부 위협을 사전에 탐지할 수 있는 조기경보 시스템 역할을 한다. 개인정보보호위원회가 개인정보의 안전성 확보를 위한 조치로써 개인정보 접속기록 생성 및 관리를 의무화하고 지속적으로 강화해 온 배경이기도 하다.
현실과 이상의 간극, 보이지 않는 사각지대
하지만 현실은 어떨까? 법 제도와 실제 업무 현장의 괴리는 여전히 존재한다. 많은 기관이나 기업이 형식적인 수준의 로그만을 생성하거나, 정확성과 완전성을 보장하지 못하는 방식으로 접속기록을 수집하는 경우가 있다. 특히 네트워크 패킷을 미러링하는 방식의 접속기록 생성은 비교적 도입이 간단하다는 장점이 있지만, 몇 가지 개인정보보호에 취약한 기술적 한계를 가지고 있다.
이 방식은 △패킷 손실과 재조합 오류로 기록이 누락될 가능성이 있고 △암호화된 통신에서는 내용 파악이 어려우며 △직접 DB 접속이나 관리자 권한을 통한 우회 접속은 기록되지 않을 수 있다는 특징이 있다. 즉, 접속기록이 ‘존재’하더라도, 필요한 순간에 완전한 정보를 제공하지 못할 가능성이 있다. 또한 트래픽이 급증하거나 시스템 부하가 커지면 패킷 드롭 현상이 발생할 수도 있다.
패킷 유실을 완벽하게 방지하는 것은 매우 어렵지만 유실 가능성을 최소화하는 것은 가능하다. 다만 이를 위해서는 하드웨어 TAP 사용, 초고속 캡처 카드 등의 물리적인 투자와 고속 패킷 캡처 프레임워크 등의 기술적 기반이 뒷받침되어야 한다. 하지만 일부 중소기업이나 지방자치단체의 경우, 높은 수준의 기술적 기반과 충분한 예산을 확보하기 어려울 수 있기 때문에 기록 유실의 위험에도 불구하고 네트워크 패킷 수집 방식으로 접속기록을 생성할 수밖에 없는 한계를 가지고 있다.
기록의 유실은 보안사고 발생시 정확한 원인 분석을 어렵게 만들고, 결국 재발 방지 대책 수립에도 영향을 미칠 수 있다. 더욱 우려되는 점은 접속기록의 완전성에 대한 확인이나 점검이 충분히 이루어지지 않고 있다는 것이다. 일부는 접속기록 관리 시스템을 도입했다는 사실만으로 의무를 다했다고 여기고 있으며, 실제로 모든 접속이 빠짐없이 기록되고 있는지에 대해서는 면밀한 검토가 부족한 경우가 있다. 이는 마치 CCTV는 설치했지만, 녹화가 제대로 되는지 확인하지 않는 것과 같다고 하겠다.
제도적 개선을 통한 사각지대 해소
다행히도 접속기록 의무화가 도입된 초창기에 비해서는 많은 공공기관과 기업들이 좀 더 유실 위험이 낮은 안정적인 방식을 통해 접속기록을 생성하고 있는 것으로 보인다. 하지만 아직도 일부 존재하는 사각지대를 보다 체계적으로 해소하기 위해서는 제도적 보완을 고려해 볼 필요가 있다.
우선 개인정보의 안전성 확보를 위한 조치 기준에 접속기록 생성 방식에 대한 보다 구체적인 기술적 가이드라인을 제시하는 방안을 검토해 볼 수 있다. 단순히 ‘접속기록을 남겨라’는 일반적 지침이 아니라, 어떤 방식으로, 어떤 장비를 통해, 어떤 품질 수준으로 로그를 생성하는 것이 바람직한지에 대한 구체적인 권고사항과 기준을 마련하는 것이다.
또한 정기적인 점검 체계도 필요하다. 생성된 접속기록의 정확성·무결성·완전성을 검증할 수 있는 표준화된 방법론을 개발하고, 이를 바탕으로 주기적인 점검과 평가를 실시하는 것을 고려해 볼 수 있다. 특히 고위험 개인정보를 다루는 기관과 기업에는 보다 세심한 관리 기준을 적용하는 것도 하나의 방법이다. 개인정보보호위원회 등 관계기관이 중심이 되어 정기적인 로그 품질 점검 및 표준화 가이드라인을 제공한다면, 개인정보 접속기록이 단순한 형식적 요건을 넘어, 실질적인 보호 수단으로 기능할 수 있을 것이다.
개인정보는 한 번 유출되면 회복하기 어렵다. 예방이 최선의 대책이라는 점에서, 지금 우리가 관심을 기울여야 할 것은 표면적 시스템 구축을 넘어선 기록의 신뢰성이다. 기록이 제대로 남아야 보이지 않는 위험을 예방할 수 있다. 일련의 개인정보 유출 사고가 우리에게 던진 과제를 해결하기 위해서는, 개인정보 접속기록 관리의 사각지대를 찾아내고 이를 개선하기 위한 지속적인 노력이 필요하다. 형식적 관리에서 벗어나 실질적인 개인정보 보호 체계를 구축해 나가는 것이 우리 모두가 함께 풀어야 할 과제다.
[글_ 이병남 김·장 법률사무소 고문]
필자 소개_ 이병남 김·장 법률사무소(2023.9~현재) 고문은 개인정보보호위원회 조사과장(2019.10~2020.7), 개인정보보호위원회 개인정보보호정책과장과 개인정보정책국장(직무대행)(2020.8~2023.8)을 역임한 개인정보보호 전문가다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)