이상행위 분석과 보안 사고의 효과적 대응 위해 사후소명 관리방안 필수로 부각
[보안뉴스 원병철 기자] 개인정보보호법이 개정되면서 개인정보 접속기록의 중요성이 커지고 있다. 특히 최근 몇 년간 해킹 등 외부 공격이 아닌 내부에서 유출된 개인정보로 인한 피해가 발생하면서 개인정보 접속기록이 강화됐다. 국내 대표 개인정보 접속기록 솔루션 기업 위즈코리아의 김훈 파트장은 ‘제13회 개인정보보호페어 & CPO 워크숍’에서 강화된 개인정보 접속기록에 대한 히스토리와 소명관리에 대해 소개했다.
▲위즈코리아 김훈 파트장[사진=보안뉴스]
개인정보 접속기록이 강화된 것은 언제부터였을까? 우선 2019년 개인정보의 안전성 확보조치 기준 변경을 들 수 있다. 이는 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제29조(안전조치의무)와 개인정보보호법 시행령 제21조(고유식별정보의 안전성 확보조치), 제30조(개인정보의 안전성 확보조치)를 근거로 개인정보 처리자가 개인정보를 처리하면서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적·물리적 안전조치에 관한 최소한의 기준을 정하도록 했다.
두 번째는 2022년 공공부문 개인정보 유출방지를 위한 정부 종합대책이다. 이는 2019년 N번방 사건에서 주민센터 사회복무요원의 개인정보 유출과 2021년 12월 수원시 공무원의 개인정보 유출로 인한 송파 살인사건 등 공공부문의 개인정보 유출사건이 지속적으로 증가하고, 이렇게 유출된 개인정보가 범죄에 악용되는 등 2차 피해도 잇따라 국민의 우려가 커지는 상황에서 이를 개선하기 위한 정부의 대책으로 발표됐다.
이에 정부는 현장에서의 개인정보보호 점검과 관리 강화와 개인정보 접속기록 관리시스템 도입, 그리고 주민등록 시스템과 연계한 시스템의 철저한 관리·감독을 위해 범부처 합동으로 공공부문 개인정보 유출방지 대책을 마련했다. 공공부문 정보 시스템을 개인정보보호 관리대상으로 편입하고, 이중 10%의 시스템을 집중관리 시스템으로 선정했다. 또한 접속기록 관리 시스템 도입을 의무화해 개인정보보호의 기본이 되는 로그 기록 관리를 실효성 있게 하고 비정상적인 접근시도를 탐지·차단하는 기능을 단계적으로 구현했다.
세 번째는 2023년 개인정보보호법 개정이다. 이번 개정으로 관리적·기술적 보호조치 기준과 안전성 확보조치 기준이 통합됐고, 특히 개인정보 유출시 과징금 상한액을 위반행위 관련 3%에서 전체 매출액 3%로 상향한 점이 큰 이슈였다. 2024년 5월 골프존의 과징금 75억원과 카카오 151억원은 이러한 과징금 상한액에 따른 금액이다.
마지막 네 번째는 2024년 개인정보보호 수준 평가 강화로, 기존 공공기관의 개인정보 관리수준 진단에서 보호수준 평가로 강화됐으며, 대상기관도 1,600개로 약 2배 이상 증가했다.
개인정보의 안전성 확보조치에 따른 소명체계 필요
개인정보 접속기록 관리에서 중요한 것 중 하나는 직접 생성하는 접속기록의 다운로드 사유 관리(개인정보의 안전성 확보조치 기준 제2장 제8조 2항)와 공공 시스템에서의 소명 등 필요한 조치(개인정보의 안전성 확보조치 기준 제3장 제17조 1항)에 따라 개인정보취급자는 자신의 행위를 확인하고 위험성을 인지해 자신의 행위를 스스로 소명할 수 있는 보안체계가 필요하다는 점이다.
이 때문에 개인정보 취급자가 직접 사유를 작성하고 부서의 책임자 혹은 시스템의 운영자가 사유가 적정한지 판정하는 자동화된 통합 소명관리 시스템을 도입해야 한다. 특히 공공 시스템 접속기록은 이용기관에서 점검을 수행해야 한다. 접속기록을 관리하는 부서가 개인정보담당자와 다른 경우에는 접속기록의 점검과 적정한 사유관리가 어려워지고 업무 부하가 발생하게 된다. 따라서 통합 소명관리 솔루션을 도입해 공공 시스템 접속기록의 사유도 효율적으로 운영할 수 있다.
한편, 위즈코리아는 2003년 7월 설립된 정보보안 전문기업으로 개인정보 접속기록 관리 솔루션(WBS: WEEDS BlackBox Suit), 로깅 증적 및 감사 솔루션(WEEDS Trace Series), 웹사이트 위변조 모니터링 솔루션(WEEDS WIDAS) 등 자체 개발 솔루션을 보유하고 있으며, 이중 WBS는 국내시장 점유율 1위를 차지하고 있다.
창사 20주년을 맞는 2024년에는 변화하는 개인정보보호 환경 및 시장 수요에 대응하는 새로운 제품을 대거 선보일 예정이며, 베트남 법인(WEEDS VINA)의 규모 확대 및 일본 시장 진출 추진 등 글로벌화에도 박차를 가하고 있다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 개인정보보호법이 개정되면서 개인정보 접속기록의 중요성이 커지고 있다. 특히 최근 몇 년간 해킹 등 외부 공격이 아닌 내부에서 유출된 개인정보로 인한 피해가 발생하면서 개인정보 접속기록이 강화됐다. 국내 대표 개인정보 접속기록 솔루션 기업 위즈코리아의 김훈 파트장은 ‘제13회 개인정보보호페어 & CPO 워크숍’에서 강화된 개인정보 접속기록에 대한 히스토리와 소명관리에 대해 소개했다.
▲위즈코리아 김훈 파트장[사진=보안뉴스]
개인정보 접속기록이 강화된 것은 언제부터였을까? 우선 2019년 개인정보의 안전성 확보조치 기준 변경을 들 수 있다. 이는 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제29조(안전조치의무)와 개인정보보호법 시행령 제21조(고유식별정보의 안전성 확보조치), 제30조(개인정보의 안전성 확보조치)를 근거로 개인정보 처리자가 개인정보를 처리하면서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적·물리적 안전조치에 관한 최소한의 기준을 정하도록 했다.
두 번째는 2022년 공공부문 개인정보 유출방지를 위한 정부 종합대책이다. 이는 2019년 N번방 사건에서 주민센터 사회복무요원의 개인정보 유출과 2021년 12월 수원시 공무원의 개인정보 유출로 인한 송파 살인사건 등 공공부문의 개인정보 유출사건이 지속적으로 증가하고, 이렇게 유출된 개인정보가 범죄에 악용되는 등 2차 피해도 잇따라 국민의 우려가 커지는 상황에서 이를 개선하기 위한 정부의 대책으로 발표됐다.
이에 정부는 현장에서의 개인정보보호 점검과 관리 강화와 개인정보 접속기록 관리시스템 도입, 그리고 주민등록 시스템과 연계한 시스템의 철저한 관리·감독을 위해 범부처 합동으로 공공부문 개인정보 유출방지 대책을 마련했다. 공공부문 정보 시스템을 개인정보보호 관리대상으로 편입하고, 이중 10%의 시스템을 집중관리 시스템으로 선정했다. 또한 접속기록 관리 시스템 도입을 의무화해 개인정보보호의 기본이 되는 로그 기록 관리를 실효성 있게 하고 비정상적인 접근시도를 탐지·차단하는 기능을 단계적으로 구현했다.
세 번째는 2023년 개인정보보호법 개정이다. 이번 개정으로 관리적·기술적 보호조치 기준과 안전성 확보조치 기준이 통합됐고, 특히 개인정보 유출시 과징금 상한액을 위반행위 관련 3%에서 전체 매출액 3%로 상향한 점이 큰 이슈였다. 2024년 5월 골프존의 과징금 75억원과 카카오 151억원은 이러한 과징금 상한액에 따른 금액이다.
마지막 네 번째는 2024년 개인정보보호 수준 평가 강화로, 기존 공공기관의 개인정보 관리수준 진단에서 보호수준 평가로 강화됐으며, 대상기관도 1,600개로 약 2배 이상 증가했다.
개인정보의 안전성 확보조치에 따른 소명체계 필요
개인정보 접속기록 관리에서 중요한 것 중 하나는 직접 생성하는 접속기록의 다운로드 사유 관리(개인정보의 안전성 확보조치 기준 제2장 제8조 2항)와 공공 시스템에서의 소명 등 필요한 조치(개인정보의 안전성 확보조치 기준 제3장 제17조 1항)에 따라 개인정보취급자는 자신의 행위를 확인하고 위험성을 인지해 자신의 행위를 스스로 소명할 수 있는 보안체계가 필요하다는 점이다.
이 때문에 개인정보 취급자가 직접 사유를 작성하고 부서의 책임자 혹은 시스템의 운영자가 사유가 적정한지 판정하는 자동화된 통합 소명관리 시스템을 도입해야 한다. 특히 공공 시스템 접속기록은 이용기관에서 점검을 수행해야 한다. 접속기록을 관리하는 부서가 개인정보담당자와 다른 경우에는 접속기록의 점검과 적정한 사유관리가 어려워지고 업무 부하가 발생하게 된다. 따라서 통합 소명관리 솔루션을 도입해 공공 시스템 접속기록의 사유도 효율적으로 운영할 수 있다.
한편, 위즈코리아는 2003년 7월 설립된 정보보안 전문기업으로 개인정보 접속기록 관리 솔루션(WBS: WEEDS BlackBox Suit), 로깅 증적 및 감사 솔루션(WEEDS Trace Series), 웹사이트 위변조 모니터링 솔루션(WEEDS WIDAS) 등 자체 개발 솔루션을 보유하고 있으며, 이중 WBS는 국내시장 점유율 1위를 차지하고 있다.
창사 20주년을 맞는 2024년에는 변화하는 개인정보보호 환경 및 시장 수요에 대응하는 새로운 제품을 대거 선보일 예정이며, 베트남 법인(WEEDS VINA)의 규모 확대 및 일본 시장 진출 추진 등 글로벌화에도 박차를 가하고 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
