금융권에서의 개인정보 비식별화와 관련한 최근 보안이슈는?
.jpg)
[보안뉴스 원병철 기자] 최근 금융권에서의 비식별화에 대한 이슈는 비식별화에 대한 법적 보호여부가 명확하지 않아 사고 발생 시 법적인 책임을 떠안을 가능성이 있다는 것입니다. 이에 따라 현재 행자부의 ‘개인정보 비식별화 가이드라인’이 발표되었음에도 불구하고 ‘가이드라인’이 아닌 ‘법제화’를 해야 한다는 목소리가 커지고 있는 상황입니다.
[문성태 한국정보보호심사원협회 이사
(munnt72@hotmail.com)]
서버 장비, 네트워크 장비, 보안 장비, 어플리케이션 등으로 구성되어 있는 IT 인프라는 최근 그 종류도 다양하며 수량도 많이 늘어나고 있습니다. 이렇게 다양한 이기종에서 나오는 로그들의 용량 또한 대용량화 되고 있는 추세입니다.
이기종, 대용량화 되어 있는 로그를 각 시스템에 저장하거나 별도의 스토리지를 통해 저장한다면, 로그를 확인하고 분석할 때 많은 어려움과 시간을 필요로 하게 됩니다. 사실상 로그를 분석할 수 없기 때문에 필요 없는 데이터가 될 수밖에 없습니다. 또한 개인정보보호법, ISMS 등에서 요구하는 로그의 위변조 방지 처리도 불가합니다.
그렇기 때문에 통합로그관리 솔루션을 통해 로그관리가 된다면 이기종, 대용량화 되어 있는 로그를 손쉽게 분석할 수 있으며, 혹시나 발생할 수 있는 외부자의 해킹 시도에서도 로그를 안전하게 보관해 각종 법규를 충족하는 것뿐 아니라 사고 시에 효과적으로 원인을 찾아 낼 수 있습니다.
[이너버스(sales@innerbus.com)]
6월 30일 발표된 ‘개인정보 비식별 조치 가이드라인’에 따라 비식별화 조치를 통해 빅데이터 내에 존재하는 개인정보를 비식별화를 통해 안전하고 자유롭게 활용할 수 있게 되었습니다. 이에 따라 금융권은 기업내부 활용, 비식별화 데이터 판매, 타 회사 데이터와 결합 등이 가능하게 됐으며, 이를 통한 새로운 빅데이터 관련 비즈니스 모델에 대한 관심이 높아지고 있습니다.
.jpg)
.jpg)
▲ 개인정보 비식별 조치 및 가이드라인의 비식별 조치 절차
특히 금융기관에서는 금융기관이 보유하고 있는 다양한 빅데이터의 활용 방안에 대해 많은 고민을 하고 있었으며 이번 가이드라인의 발표에 따라 이를 활용할 수 있는 방법을 찾고 있습니다.
개인정보 비식별 조치 가이드라인을 좀 더 자세하게 보면 데이터에서 개인을 식별할 수 있는 요소(식별자, 속성자)를 전부 또는 일부 삭제하거나 대체하는 등의 방법으로 개인을 알아볼 수 없도록 하여야 하며 이때 사용하는 기법으로 ‘가명처리’, ‘총계처리’, ‘데이터 삭제’, ‘데이터 범주화’, ‘데이터 마스킹’을 이용하도록 되어 있습니다. 이렇게 비식별화된 데이터에 대해 같은 기법을 활용하여 개인을 알아볼 수 없도록 조치하고 ┖k-익명성‘ 모델 등을 활용하여 비식별 조치가 적정한지 여부에 대한 평가절차를 가져야 합니다.
위의 절차에 따라 비식별화된 개인정보 데이터는 더 이상 개인정보가 아닌 것으로 추정함에 따라 기업내부에서는 고객의 추가적인 동의 없이 시장조사, 신상품개발, 마케팅 전략 수립 등의 다양한 비즈니스 목적으로 이용할 수 있습니다. 그리고 비식별 조치된 데이터는 유상으로 제3자에게 제공이 가능합니다. 이 경우에는 다른 정보와의 결합을 통한 재식별 가능성이 있으므로 재식별 위험관리 사항(재식별 금지 및 재제공 제한, 재식별 위험시 통지 등)을 계약서에 반드시 포함해야 합니다.
또한, 서로 다른 사업자가 보유하고 있는 데이터의 결합이 전문기관(금융권 전문기관: 금융보안원, 신용정보원)을 통해서 가능하게 되었습니다. 데이터 결합은 각 기업에서 동일한 알고리즘을 적용하여 식별자를 임시 대체키로 변경하고 비식별 조치를 수행 한 후에 전문기관에서 데이터 결합 및 임시 대체키 삭제 처리 후 결합정보를 전달하면 각 기업은 비식별 처리된 결합정보를 다양한 비즈니스 목적으로 활용이 가능합니다. 데이터 결합에 대한 상세한 지침은 각 전문기관 별로 자체적으로 만들어질 것으로 보입니다.
하지만 이러한 비식별 조치를 통해 만들어진 데이터는 기존의 데이터에 비해 정보의 가치가 일정 부분 감소하게 되며, 심한 경우 데이터의 활용성이 심각하게 떨어질 수 있습니다. 금융기관에서는 개인정보 비식별 조치를 통해 개인정보에 대한 보호수준을 높이는 것과 함께 빅데이터 활용을 위해 비식별화된 데이터의 가치가 저하되지 않는 것을 중요하게 보고 있습니다.
이에 따라 비식별화는 단순히 보호를 위한 비식별화가 아니라 빅데이터의 활용이 가능하면서도 개인정보를 보호할 수 있는 비식별화가 필요합니다.
[김기태 파수닷컴 전략사업본부 부장(kkt7004@fasoo.com)]
최근 금융권에서는 개인정보를 비식별화해 빅데이터 분석에 활용하고자 하는 수요가 급증하고 있지만, 다양한 산업별로 개인정보보호 관련 법령 적용과 해석상의 일부 혼선으로 인해 기업들이 개인정보의 안전한 활용에 어려움이 있었습니다.
이에 정부는 현행 개인정보보호 법령의 틀 내에서 비식별 조치한 개인정보가 빅데이터 분석에 안전하게 활용될 수 있도록 ‘개인정보 비식별 조치 가이드라인’을 마련해 발표했으며, 가이드라인에 따라 정보주체를 알아볼 수 없도록 비식별 조치를 적정하게 한 비식별 정보는 개인정보가 아닌 것으로 추정되어 빅데이터 분석 등에 활용이 가능합니다.
아울러 금융위원회는 금융 분야 개인정보 비식별 조치 지원 전문기관으로 금융보안원과 한국신용정보원을 지정했으며, 기업은 기업 간 정보 집합물의 결합 등 비식별 조치 지원이 필요할 경우 전문기관을 활용할 수 있습니다.
다만, 비식별 조치한 정보도 기술발전, 데이터 증가 등에 따른 재식별 가능성이 존재하므로 불특정 다수에게 공개 금지 및 관리적·기술적 안전조치 등 재식별 방지를 위한 사후관리 기준을 가이드라인에서는 제시하고 있습니다.
[금융보안원]
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 최근 금융권에서의 비식별화에 대한 이슈는 비식별화에 대한 법적 보호여부가 명확하지 않아 사고 발생 시 법적인 책임을 떠안을 가능성이 있다는 것입니다. 이에 따라 현재 행자부의 ‘개인정보 비식별화 가이드라인’이 발표되었음에도 불구하고 ‘가이드라인’이 아닌 ‘법제화’를 해야 한다는 목소리가 커지고 있는 상황입니다.
[문성태 한국정보보호심사원협회 이사
(munnt72@hotmail.com)]
서버 장비, 네트워크 장비, 보안 장비, 어플리케이션 등으로 구성되어 있는 IT 인프라는 최근 그 종류도 다양하며 수량도 많이 늘어나고 있습니다. 이렇게 다양한 이기종에서 나오는 로그들의 용량 또한 대용량화 되고 있는 추세입니다.
이기종, 대용량화 되어 있는 로그를 각 시스템에 저장하거나 별도의 스토리지를 통해 저장한다면, 로그를 확인하고 분석할 때 많은 어려움과 시간을 필요로 하게 됩니다. 사실상 로그를 분석할 수 없기 때문에 필요 없는 데이터가 될 수밖에 없습니다. 또한 개인정보보호법, ISMS 등에서 요구하는 로그의 위변조 방지 처리도 불가합니다.
그렇기 때문에 통합로그관리 솔루션을 통해 로그관리가 된다면 이기종, 대용량화 되어 있는 로그를 손쉽게 분석할 수 있으며, 혹시나 발생할 수 있는 외부자의 해킹 시도에서도 로그를 안전하게 보관해 각종 법규를 충족하는 것뿐 아니라 사고 시에 효과적으로 원인을 찾아 낼 수 있습니다.
[이너버스(sales@innerbus.com)]
6월 30일 발표된 ‘개인정보 비식별 조치 가이드라인’에 따라 비식별화 조치를 통해 빅데이터 내에 존재하는 개인정보를 비식별화를 통해 안전하고 자유롭게 활용할 수 있게 되었습니다. 이에 따라 금융권은 기업내부 활용, 비식별화 데이터 판매, 타 회사 데이터와 결합 등이 가능하게 됐으며, 이를 통한 새로운 빅데이터 관련 비즈니스 모델에 대한 관심이 높아지고 있습니다.
▲ 개인정보 비식별 조치 및 가이드라인의 비식별 조치 절차
특히 금융기관에서는 금융기관이 보유하고 있는 다양한 빅데이터의 활용 방안에 대해 많은 고민을 하고 있었으며 이번 가이드라인의 발표에 따라 이를 활용할 수 있는 방법을 찾고 있습니다.
개인정보 비식별 조치 가이드라인을 좀 더 자세하게 보면 데이터에서 개인을 식별할 수 있는 요소(식별자, 속성자)를 전부 또는 일부 삭제하거나 대체하는 등의 방법으로 개인을 알아볼 수 없도록 하여야 하며 이때 사용하는 기법으로 ‘가명처리’, ‘총계처리’, ‘데이터 삭제’, ‘데이터 범주화’, ‘데이터 마스킹’을 이용하도록 되어 있습니다. 이렇게 비식별화된 데이터에 대해 같은 기법을 활용하여 개인을 알아볼 수 없도록 조치하고 ┖k-익명성‘ 모델 등을 활용하여 비식별 조치가 적정한지 여부에 대한 평가절차를 가져야 합니다.
위의 절차에 따라 비식별화된 개인정보 데이터는 더 이상 개인정보가 아닌 것으로 추정함에 따라 기업내부에서는 고객의 추가적인 동의 없이 시장조사, 신상품개발, 마케팅 전략 수립 등의 다양한 비즈니스 목적으로 이용할 수 있습니다. 그리고 비식별 조치된 데이터는 유상으로 제3자에게 제공이 가능합니다. 이 경우에는 다른 정보와의 결합을 통한 재식별 가능성이 있으므로 재식별 위험관리 사항(재식별 금지 및 재제공 제한, 재식별 위험시 통지 등)을 계약서에 반드시 포함해야 합니다.
또한, 서로 다른 사업자가 보유하고 있는 데이터의 결합이 전문기관(금융권 전문기관: 금융보안원, 신용정보원)을 통해서 가능하게 되었습니다. 데이터 결합은 각 기업에서 동일한 알고리즘을 적용하여 식별자를 임시 대체키로 변경하고 비식별 조치를 수행 한 후에 전문기관에서 데이터 결합 및 임시 대체키 삭제 처리 후 결합정보를 전달하면 각 기업은 비식별 처리된 결합정보를 다양한 비즈니스 목적으로 활용이 가능합니다. 데이터 결합에 대한 상세한 지침은 각 전문기관 별로 자체적으로 만들어질 것으로 보입니다.
하지만 이러한 비식별 조치를 통해 만들어진 데이터는 기존의 데이터에 비해 정보의 가치가 일정 부분 감소하게 되며, 심한 경우 데이터의 활용성이 심각하게 떨어질 수 있습니다. 금융기관에서는 개인정보 비식별 조치를 통해 개인정보에 대한 보호수준을 높이는 것과 함께 빅데이터 활용을 위해 비식별화된 데이터의 가치가 저하되지 않는 것을 중요하게 보고 있습니다.
이에 따라 비식별화는 단순히 보호를 위한 비식별화가 아니라 빅데이터의 활용이 가능하면서도 개인정보를 보호할 수 있는 비식별화가 필요합니다.
[김기태 파수닷컴 전략사업본부 부장(kkt7004@fasoo.com)]
최근 금융권에서는 개인정보를 비식별화해 빅데이터 분석에 활용하고자 하는 수요가 급증하고 있지만, 다양한 산업별로 개인정보보호 관련 법령 적용과 해석상의 일부 혼선으로 인해 기업들이 개인정보의 안전한 활용에 어려움이 있었습니다.
이에 정부는 현행 개인정보보호 법령의 틀 내에서 비식별 조치한 개인정보가 빅데이터 분석에 안전하게 활용될 수 있도록 ‘개인정보 비식별 조치 가이드라인’을 마련해 발표했으며, 가이드라인에 따라 정보주체를 알아볼 수 없도록 비식별 조치를 적정하게 한 비식별 정보는 개인정보가 아닌 것으로 추정되어 빅데이터 분석 등에 활용이 가능합니다.
아울러 금융위원회는 금융 분야 개인정보 비식별 조치 지원 전문기관으로 금융보안원과 한국신용정보원을 지정했으며, 기업은 기업 간 정보 집합물의 결합 등 비식별 조치 지원이 필요할 경우 전문기관을 활용할 수 있습니다.
다만, 비식별 조치한 정보도 기술발전, 데이터 증가 등에 따른 재식별 가능성이 존재하므로 불특정 다수에게 공개 금지 및 관리적·기술적 안전조치 등 재식별 방지를 위한 사후관리 기준을 가이드라인에서는 제시하고 있습니다.
[금융보안원]
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
