위즈코리아, 기존 솔루션 있어도 강화된 법규 준수 위해 이상행위 탐지·소명관리 가능하도록 고도화해야
[보안뉴스 원병철 기자] 최근 개인정보 접속기록의 환경변화가 발생하면서 개인정보를 취급하는 기관과 기업들은 이에 대한 고민이 커지고 있다. 개인정보 접속기록 관리 분야 시장 1위 위즈코리아의 구영준 파트장은 ‘제13회 개인정보보호페어 & CPO 워크숍’에서 ‘개인정보보호 준수를 위한 접속기록관리 솔루션 도입시 고려사항 및 고도화 방안’을 주제로 이에 대한 고민 해결에 나섰다.
▲위즈코리아 구영준 파트장[사진=보안뉴스]
개인정보 안전성 확보조치 등 개인정보 접속기록 환경의 급격한 변화
2019년 개인정보의 안전성 확보조치 기준 변경을 시작으로 2022년 공공부문 개인정보 유출 방지 정부종합대책과 2023년 개인정보보호법 개정 등 최근 5년간 개인정보 접속기록의 환경변화가 급격하게 일어났다.
2019년 개인정보의 안전성 확보조치 기준 변경으로 인해 △접속기록 생성시 정보주체 정보를 포함해 기록해야 했다. 또한 △접속기록 다운로드시 사유를 확인하고 △접속기록 보관 기간을 최대 2년으로 확대했다. 아울러 △접속기록 단순 기록에서 명확(필수기록 5가지 항목 포함)하게 기록하도록 했다.
2022년 공공부문 개인정보 유출 방지(7.14) 정부종합대책에서는 △개인정보 접속기록 관리 도입 의무와 △집중관리대상(공공) 시스템 선정과 3단계(권한변경 이력 관리, 접속기록 관리, 소명 통지) 안전조치 의무가 이뤄졌다.
아울러 2023년 개인정보보호법 개정에서는 △관리적 기술적 보호조치 기준과 안전성 확보조치 기준이 통폐합(공공시스템 운영기관 특례 신설)됐다.
특히 주목할 부분은 개인정보의 안전성 확보조치 변경에서, 접속기록의 정의와 접속기록 2년 이상 보관기준 강화, 공공기관의 개인정보보호 강화 등 3가지에 주목할 필요가 있다는 설명이다. 접속기록(제2조 3항)이란, 개인정보처리 시스템에 접속하는 자가 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다.
접속기록 2년 상 보관기준 강화(제8조 1항)도 주목해야 한다. 5만명 이상 정보주체에 관한 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 경우, 그리고 개인정보처리자로서 전기통신사업법 제6조 1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우 강화된 보관기준을 따라야 한다.
공공기관의 개인정보보호 강화(제3장 제14조~제17조)에 따라 공공시스템운영기관 등에 대한 특례가 신설됐고, 집중관리대상이 되는 공공시스템의 지정 기준이 규정됐다. 또한 공공시스템별로 내부 관리계획에 관리책임자 지정과 안전조치 등에 관한 사항을 수립 및 시행해야 한다.
위즈코리아, 개인정보 접속기록 환경 변화에 효과적인 대응방법 제시
위즈코리아 구영준 파트장은 이러한 환경 변화에 대한 대책으로 필수 포함 항목 5종 기록을 제안했다. 특히 △식별자(이름, 사용자 ID) △처리한 정보주체 정보(이름, ID, 학번, 사번, 검색 조건문 등) △접속일시(예 2024년 6월 5일 1시 1분 1초) △접속지 정보(접속지 IP 주소) △수행업무(조회, 갱신, 다운로드 등) 등 5종 외에 △조회명(건)수(조회된 사람의 명수)도 포함해야 한다고 강조했다.
이에 위즈코리아는 소프트웨어 방식(SW 방식), 그중에서도 BCI 방식을 제안했다. BCI 방식은 일체의 누락 없는 접속기록 생성 및 데이터 무결성을 100% 보장하며, 사번·ID·이름 등 어떤 형태의 정보주체 정보, 취급자 식별정보, SQL문 완벽기록은 물론 다운로드 자동식별도 가능하다.
또한, 소명관리와 관련해서는 개인정보 접속시 그 행위를 탐지하고 바로 개인정보 담당자와 취급자에게 알람을 띄우는 한편, 해당 행위에 대한 사유를 직접 소명하도록 하고 상급자에게 승인을 받도록 함으로써 개인정보 담당자의 책임과 권한을 개인정보 취급자에게 분산하도록 했다. 아울러 개인정보의 다운로드가 확인된 경우 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하도록 했다.
구영준 파트장은 “개인정보보호 자기관리 및 통합 소명관리 시스템을 도입함으로써 최근 이뤄진 개인정보 접속기록 환경 변화에 완벽하게 대응할 수 있다”면서, “위즈코리아는 대한민국 개인정보 접속기록 관리시장 1위 업체로서 700여개 고객사의 정보처리시스템 2만 5,000여대에 솔루션을 공급해 안정적으로 운영하고 있다”고 말했다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 최근 개인정보 접속기록의 환경변화가 발생하면서 개인정보를 취급하는 기관과 기업들은 이에 대한 고민이 커지고 있다. 개인정보 접속기록 관리 분야 시장 1위 위즈코리아의 구영준 파트장은 ‘제13회 개인정보보호페어 & CPO 워크숍’에서 ‘개인정보보호 준수를 위한 접속기록관리 솔루션 도입시 고려사항 및 고도화 방안’을 주제로 이에 대한 고민 해결에 나섰다.
▲위즈코리아 구영준 파트장[사진=보안뉴스]
개인정보 안전성 확보조치 등 개인정보 접속기록 환경의 급격한 변화
2019년 개인정보의 안전성 확보조치 기준 변경을 시작으로 2022년 공공부문 개인정보 유출 방지 정부종합대책과 2023년 개인정보보호법 개정 등 최근 5년간 개인정보 접속기록의 환경변화가 급격하게 일어났다.
2019년 개인정보의 안전성 확보조치 기준 변경으로 인해 △접속기록 생성시 정보주체 정보를 포함해 기록해야 했다. 또한 △접속기록 다운로드시 사유를 확인하고 △접속기록 보관 기간을 최대 2년으로 확대했다. 아울러 △접속기록 단순 기록에서 명확(필수기록 5가지 항목 포함)하게 기록하도록 했다.
2022년 공공부문 개인정보 유출 방지(7.14) 정부종합대책에서는 △개인정보 접속기록 관리 도입 의무와 △집중관리대상(공공) 시스템 선정과 3단계(권한변경 이력 관리, 접속기록 관리, 소명 통지) 안전조치 의무가 이뤄졌다.
아울러 2023년 개인정보보호법 개정에서는 △관리적 기술적 보호조치 기준과 안전성 확보조치 기준이 통폐합(공공시스템 운영기관 특례 신설)됐다.
특히 주목할 부분은 개인정보의 안전성 확보조치 변경에서, 접속기록의 정의와 접속기록 2년 이상 보관기준 강화, 공공기관의 개인정보보호 강화 등 3가지에 주목할 필요가 있다는 설명이다. 접속기록(제2조 3항)이란, 개인정보처리 시스템에 접속하는 자가 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다.
접속기록 2년 상 보관기준 강화(제8조 1항)도 주목해야 한다. 5만명 이상 정보주체에 관한 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 경우, 그리고 개인정보처리자로서 전기통신사업법 제6조 1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우 강화된 보관기준을 따라야 한다.
공공기관의 개인정보보호 강화(제3장 제14조~제17조)에 따라 공공시스템운영기관 등에 대한 특례가 신설됐고, 집중관리대상이 되는 공공시스템의 지정 기준이 규정됐다. 또한 공공시스템별로 내부 관리계획에 관리책임자 지정과 안전조치 등에 관한 사항을 수립 및 시행해야 한다.
위즈코리아, 개인정보 접속기록 환경 변화에 효과적인 대응방법 제시
위즈코리아 구영준 파트장은 이러한 환경 변화에 대한 대책으로 필수 포함 항목 5종 기록을 제안했다. 특히 △식별자(이름, 사용자 ID) △처리한 정보주체 정보(이름, ID, 학번, 사번, 검색 조건문 등) △접속일시(예 2024년 6월 5일 1시 1분 1초) △접속지 정보(접속지 IP 주소) △수행업무(조회, 갱신, 다운로드 등) 등 5종 외에 △조회명(건)수(조회된 사람의 명수)도 포함해야 한다고 강조했다.
이에 위즈코리아는 소프트웨어 방식(SW 방식), 그중에서도 BCI 방식을 제안했다. BCI 방식은 일체의 누락 없는 접속기록 생성 및 데이터 무결성을 100% 보장하며, 사번·ID·이름 등 어떤 형태의 정보주체 정보, 취급자 식별정보, SQL문 완벽기록은 물론 다운로드 자동식별도 가능하다.
또한, 소명관리와 관련해서는 개인정보 접속시 그 행위를 탐지하고 바로 개인정보 담당자와 취급자에게 알람을 띄우는 한편, 해당 행위에 대한 사유를 직접 소명하도록 하고 상급자에게 승인을 받도록 함으로써 개인정보 담당자의 책임과 권한을 개인정보 취급자에게 분산하도록 했다. 아울러 개인정보의 다운로드가 확인된 경우 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하도록 했다.
구영준 파트장은 “개인정보보호 자기관리 및 통합 소명관리 시스템을 도입함으로써 최근 이뤄진 개인정보 접속기록 환경 변화에 완벽하게 대응할 수 있다”면서, “위즈코리아는 대한민국 개인정보 접속기록 관리시장 1위 업체로서 700여개 고객사의 정보처리시스템 2만 5,000여대에 솔루션을 공급해 안정적으로 운영하고 있다”고 말했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
