개인정보의 안전한 보호와 활용, 개인정보보호 솔루션에 달렸다
4차 산업혁명의 원유인 데이터, 그리고 데이터 위의 데이터 ‘개인정보’
개인정보보호 솔루션에 대한 사용자 선호도 설문조사
개인정보보호 솔루션 집중분석: 위즈코리아, 삼오씨엔에스, 벨로크, 피앤피시큐어
[보안뉴스 원병철 기자] 국내 최대 통신사인 SKT가 4월 19일 해킹으로 고객정보가 유출됐다고 밝혀 충격을 안겼다. 아직 조사가 진행되고 있어 정확한 피해 사항을 알긴 어렵지만, 고객의 유심 관련 일부 정보가 유출된 것으로 알려졌다.
또한 2024년 4월에는 미국의 신원조회 회사 NPD가 해킹당해 29억명의 민감정보가 다크웹에 유출됐다. 이 사건의 피해는 현재까지 가장 많은 개인정보가 유출된 사건인 ‘야후(Yahoo)’의 30억명 데이터 유출사건과 큰 차이가 없는 수준이다.
또한 2024년 7월에도 우리카드 인천영업센터가 가맹점 대표자 20만 7,538명의 정보를 카드 모집인에게 전달한 사건이 있었다. 이처럼 개인정보 유출사건은 끊이지 않고 발생하고 있다. 개인정보를 보호할 수 있는 방법은 정말 없는 걸까?
[자료: gettyimagesbank]
개인정보는 특정한 개인을 식별하거나 개인과 관련된 정보를 말한다. A라는 사람을 식별할 수 있는 정보(예를 들면, 이름, 생년월일, 주소, 전화번호, 이메일 주소 등)와 A에게 부여된 고유한 식별정보(주민등록번호, 여권번호, 운전면허번호 등), 그리고 계좌번호와 신용카드 정보와 같은 금융정보와 건강기록이나 고용기록 등과 같은 정보가 모두 개인정보에 속한다.
개인정보는 개인을 특정할 수 있는 정보인 만큼 매우 중요하며, 각 국가는 ‘개인정보보호법’을 통해 이를 보호하기 위해 노력한다. 반대로 사이버 범죄자들은 개인정보를 노리기 위해 다양한 사이버 공격을 무차별적으로 벌이고 있으며, 여러 이유로 개인정보를 수집하는 기관과 기업들은 이러한 공격에 대응하기 위해 보안 솔루션을 도입하고 있다.
SKT 해킹으로 고객 개인정보 유출...해커들은 개인정보를 노린다
사이버 범죄자들이 개인정보를 노리는 이유는 간단하다. 바로 돈이 되기 때문이다. 개인정보를 악용하면 은행 계좌나 신용카드 정보를 도용해 금융사기를 칠 수 있으며, 신분을 도용해 대출이나 불법 계약을 맺어 금품을 탈취할 수 있다. 또한 마케팅이 필요한 곳에 개인정보를 판매해 소득을 올릴 수도 있고, 탈취한 개인정보를 바탕으로 친분 있는 사람이나 기업, 기관 등에 연계 공격을 펼칠 수도 있다. 때문에 사이버 범죄자들은 다양한 방법으로 개인정보를 노린다.
실제로 개인정보보호위원회가 발간한 ‘2024 개인정보 유출 신고 동향 및 예방 방법’ 보고서에 따르면 2024년에 접수된 개인정보 유출신고는 총 307건으로, 2023년 318건과 비슷한 수준이다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지했으며, 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다. 전년도에 비해 해킹은 증가(151건 → 171건)한 반면, 업무 과실(116건 → 91건) 및 시스템 오류(29건 → 23건)로 인한 유출은 감소했다. 해킹 사고의 유형으로는 관리자 페이지 비정상 접속(23건), SQL인젝션(17건), 악성코드(13건), 크리덴셜 스터핑(9건) 순으로 나타났다. 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건도 절반(87건)이나 되었다.
2025년 4월 22일, 한국 최대 통신사인 SK텔레콤(이하 SKT)이 해킹 공격으로 고객정보가 유출됐다고 공지했다. SKT는 4월 19일 오후 11시, 악성코드로 인해 SKT 고객의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했다며, 관련법에 따라 KISA와 유관기관에 신고 후 조사에 적극 협조하고 있다고 밝혔다.
SKT는 유출 가능성 인지 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비도 격리했다면서, 고객의 피해를 예방하기 위해 △전체 시스템 전수 조사 △불법 유심 기변 및 비정상 인증 시도 차단 강화 △피해 의심 징후 발견시 즉각적인 이용 정지 및 안내 조치 강화 등의 조치를 시행했다고 설명했다.
특히 이번 공격은 유심(USIM) 고유번호 등 핵심 정보가 담긴 중앙 서버가 공격당한 것으로 알려져 추이가 주목된다. 유심 핵심 정보는 해당 유심을 사용하는 고객의 개인정보가 담겨있기 때문에, 이를 악용하면 ‘심 스와핑(SIM Swapping)’ 공격을 할 수 있기 때문이다. 심 스와핑 공격이란, 유심 정보를 새 유심에 복사해 ‘복제폰’을 만든 후, 개인정보나 금융정보를 탈취해 2차, 3차 피해를 주는 공격이다. 실제로 2022년 <보안뉴스>가 단독 보도한 심 스와핑 특집기사에 따르면 수십명의 피해자가 수억원의 피해를 본 것으로 알려졌다.
2024년 4월에는 해커 USDoD가 미국 신원조회 회사 NPD(National Public Data)에서 29억건의 개인기록을 탈취한 사건이 발생했다. 이 기록에는 미국과 영국, 캐나다에 거주하고 있는 사람들의 사회보장번호, 주소, 생년월일, 전화번호와 같은 민감한 개인정보가 포함돼 있으며, USDoD는 다크웹에 이 정보를 350만달러에 판매하겠다고 올렸다. USDoD는 FBI의 인프라가드(InfraGard)를 공격해 8만 7,000여명 회원들의 개인정보를 여러 다크웹 포럼에 공개한 것으로 잘 알려진 해커로, 2024년 10월 브라질 경찰에게 체포된 것으로 알려졌다.
우리카드는 2024년 4월 고객 사과문을 통해 가맹점 대표자의 이름과 휴대전화 번호, 우리카드 보유 여부 등 3개 항목이 유출됐다고 밝혔다. 특히 우리카드는 해당 사건이 해킹 등 외부 공격이 아닌 내부자의 소행이라고 밝혔는데, 이후 인천영업센터에서 발생한 것으로 알려졌다. 우리카드는 해당 사건으로 개인정보보호위원회로부터 과징금 134억 5,100만원을 부과받았다.
▲국내외 대표 개인정보보호 솔루션[자료: 보안뉴스 정리]
늘어나는 개인정보, 확대되는 개인정보보호 솔루션
이렇게 개인정보를 노리는 사이버 위협이 지속되면서 이에 대응할 수 있는 방법이 빠르게 발전하기 시작한다. 바로 개인정보보호 솔루션이다.
개인정보보호 솔루션은 말 그대로 ‘개인정보’를 보호해 주는 솔루션을 말한다. 개인정보의 유출, 오남용, 무단 접근 등을 사전에 차단해 개인정보 침해 사고를 예방하고, 개인정보보호법과 GDPR과 미국 캘리포니아 개인정보보호법 등 개인정보 관련 컴플라이언스를 준수하도록 돕는다.
개인정보보호 솔루션은 다양한 기술을 기반으로 이뤄진다. 개인정보 자체가 데이터로 보관되는 만큼, 대부분 데이터 보호 솔루션이나 기술이 활용된다. 즉, 개인정보 유출 방지, 암호화 등의 기능이 필요하기 때문에 DLP와 DRM 등의 데이터 보안 솔루션이 활용되고 있으며, 2020년 데이터 3법 개정에 따른 가명정보 개념이 도입되면서 개인정보 비식별화 솔루션도 포함되고 있다.
개인정보보호에 사용되는 솔루션을 살펴보면, △정보유출방지(DLP) △개인정보 암호화 △개인정보 접속기록관리 △디지털 저작권 관리(DRM) △개인정보 비식별화 △개인정보 라이프사이클 통합관리 △OCR 스캔 △명의도용 차단 등이 모두 포함된다.
각각의 솔루션을 설명하면, 정보유출방지(DLP·Data Loss Prevention)는 기업이나 조직의 중요한 데이터가 유출되거나 손실되는 것을 방지하기 위한 솔루션이다. 개인정보도 이 데이터에 포함되며, 데이터의 식별부터 이동 경로 감시, 유출 차단과 로그 기록과 분석 등을 통해 데이터를 보호한다.
개인정보 암호화는 민감정보인 개인정보를 암호화함으로써, 개인정보가 유출되더라도 보호할 수 있도록 돕는 솔루션이다.
개인정보 접속기록관리는 누가 개인정보에 접근하고 열람 및 복사하는지를 기록하고 보관해 개인정보의 오남용과 유출, 위조 등을 방지하는 솔루션이다. 단순 개인정보보호를 넘어 컴플라이언스 준수에도 꼭 필요한 솔루션이기도 하다.
디지털 저작권 관리(DRM·Digital Rights Management)는 원래 디지털 콘텐츠의 저작권을 보호하고 제어하기 위한 솔루션으로, 민감정보인 개인정보에 접근하거나 배포하는 과정을 제어하는 데 활용된다.
개인정보 비식별화 솔루션은 개인정보를 가명처리하거나 익명화해 식별할 수 없도록 만드는 솔루션이다. 단순히 개인정보를 보호하는 것을 넘어 안전하게 활용할 수 있도록 도우며, 개인정보보호 컴플라이언스에 최적화된 솔루션이다.
개인정보 라이프사이클 통합관리 솔루션은 개인정보의 생성부터 활용과 파기까지 전 과정을 관리해 데이터를 보호하고 컴플라이언스를 지원하도록 돕는다.
OCR(Optical Character Recognition) 스캔은 이미지나 스캔 된 문서에서 텍스트를 인식하고 이를 다시 디지털 텍스트로 변환하는 기술이다. 개인정보보호 분야에서는 이미지 등 문서 파일에서 개인정보 유무를 파악하고 유출을 방지하는 데 활용된다.
명의도용 차단 솔루션은 휴대폰 개통 등의 통신 서비스나 대출 등의 금융거래를 할 때 꼭 필요한 개인 명의를 차단함으로써 보호해 주는 솔루션이다.
개인정보보호 솔루션 산업, 가파르게 성장 중
그렇다면 개인정보보호 솔루션 산업은 현재 어떤 상황일까? 글로벌 시장 조사 기관 포춘 비즈니스 인사이트(Fortune Business Insight)는 2024년 데이터 프라이버시 소프트웨어 시장 규모를 38억 4000만달러(한화 약 5조 4412억원)로 평가했다. 이 시장은 2025년 53억 7000만달러(한화 약 7조 6109억원)에서 2032년 451억 3000만달러(한화 약 63조 9627억원)에 이르며, 연평균 성장률 35.5%를 보일 것으로 예측됐다.
Precedence Research는 2025년 개인정보보호 강화 컴퓨팅 시장 규모가 67억달러(한화 약 9조 5555억원)로 추산되며, 2034년 269억달러(한화 약 38조 3647억원)에 이르며, 연평균 성장률 19.85%로 성장할 것으로 예상했다. 또한 Precedence Research는 2024년 북미 시장 규모를 15억 8000만달러(한화 약 2조 2524억원)로 예측했다.
국내 개인정보보호 솔루션 산업은 생각보다 빨리 시작됐다. 일각에서는 세계 시장보다 빨리 형성됐다고 볼 수 있다고도 말한다. 개인정보보호 산업이 빠르게 형성될 수 있던 배경에는 인터넷의 확산과 그로 인한 개인정보 침해 사고의 발생, 그리고 빠른 개인정보보호법 제정 등이 있다는 설명이다.
국내 시장의 정확한 시장 규모는 집계되지 않고 있지만, 업계에 따르면 연평균 10%의 성장세를 보이는 것으로 판단된다.
최근 개인정보보호법이 개정되면서 강화된 개인정보보호 수준이 요구되고 있고, 빅데이터와 클라우드 환경의 변화로 인한 개인정보보호 이슈는 계속되고 있다. 이에 맞춰 개인정보보호 솔루션은 점점 더 세분화되고 기능 또한 고도화되면서 시장이 확대되고 있다. 특히 개인정보보호 솔루션 기업들도 AI 기술과 분석기능까지 추가하는 등 다양한 기술 진보를 이루고 있는 것으로 알려졌다. 이러한 상황에 따라 개인정보보호 산업 전반의 매출이 커지고 있으며, 조달 나라장터에서도 지속해서 구매 제안이 등록되고 있다고 업계에서는 설명한다.
가장 최근에는 가상자산 사업자와 선불전자지급 사업자(전자금융업자) 등에 대한 정보보안 인증과 이슈가 늘어나고, 알뜰폰(MVNO)의 ISMS 인증 등으로 인해 개인정보보호 솔루션에 대한 문의도 늘어난 것으로 알려졌다.
현재 대한민국에서 개인정보보호 솔루션을 공급하고 있는 기업은 △데이티스바넷 △벨로크 △삼오씨엔에스 △세이퍼존 △센티널테크놀로지 △시큐어링크 △아이티언 △안랩 △에스에이티정보 △엔소프테크놀러지 △엔텀 △엘세븐시큐리티 △워터월시스템즈 △위즈코리아 △이너버스 △이스톰 △이지서티 △인스피언 △지란지교데이터 △컴트루테크놀로지 △클로잇 △파수 △피앤피시큐어 △프라이버시지 △한국기업보안 △홈넘버메타(가나다순) 등이다.
개인정보보호법 시행령 개정 등 정부의 개인정보보호 강화 방안 이어져
개인정보를 노리는 사이버 공격이 계속 이어지자, 정부에서는 개인정보보호를 위한 법을 강화하고 있다. 규제를 강화함으로써 기업과 기관의 개인정보보호 수준을 높이겠다는 것이다. 실제로 개인정보보호위원회는 2024년 3월 ‘개인정보보호법 시행령 2차 개정안’을 통해 ‘공공기관 관리수준 진단’을 ‘공공기관 관리수준 평가’로 격상하고 대상을 확대했다. 특히 이번 개정안을 통해 개인정보 접속기록 등 개인정보보호 솔루션이 주목받을 것으로 업계는 기대했다.
파수는 “개인정보보호법의 강화 추세는 관련 기관 및 기업들이 경각심을 가지고 관련 보안 솔루션을 도입하는 데 큰 영향을 주고 있다”며, “개정안 한건 한건 보다는, 전반적인 규제 강화 추세가 지속적으로 개인정보보호 솔루션 산업 성장을 이끌고 있다고 본다”고 판단했다.
피앤피시큐어는 “이번 개정안은 기술적·관리적 보호조치를 기존의 원칙 수준에서 벗어나, 구체적이고 실질적인 기준으로 강화됐다”고 분석하고, “단순한 보안 권고가 아닌 준수해야 할 구체적 기준으로 변화되었기 때문에, 단편적인 기능보다는 접근통제, 계정관리, 암호화, 로그관리, 이상행위 탐지 등 통합적으로 대응할 수 있는 보안 구조를 마련해야 한다”고 권고했다.
이지서티는 “정보 주체의 결정권을 강화한 안전한 개인정보 전송 제도에서 개인정보관리 전문기관 지정은 개인정보보호 솔루션 산업뿐만 아니라 보안 솔루션 산업 전반에 영향을 줄 것”이라고 예상하면서, “제3자 제공을 위한 정보수신자의 경우 자격요건이 쉽지 않고 전송 데이터에 대한 규격도 세밀하게 마련되어 있어서 정보주체의 정보관리와 보호 측면에서 매우 긍정적이며, 이에 따른 보안 기술, 관리적 기술이 기존 레벨에서 좀 더 고도화되어야 할 것”이라고 설명했다. 아울러 “개인정보보호 솔루션과 함께 전송기술, 암호화, 네트워크 보안 등 데이터 전송과 보호 관리 전반 보안 솔루션이 함께 움직여야 할 것”이라고 덧붙였다.
최근 발표된 ‘개인정보 손해배상책임 보장제도 합리화 방안’도 시장에 긍정적인 영향을 끼칠 것으로 보인다. 이 제도는 사이버 공격으로 개인정보가 유출돼 이용자가 피해를 볼 경우 기업이 이에 대한 손해배상책임을 이행하기 위해 ①보험이나 공제에 가입하거나 ②준비금을 적립하도록 의무화하는 제도다.
지란지교데이터는 “개인정보 손해배상책임 보장제도 합리화 방안이 발표되면서 보험 의무 가입 기준이 매출액 1,500억원 이상, 정보 주체 100만명 이상으로 상향됐다”면서, “보험 가입 대상 기관과 기업들은 배상 책임 의무를 다하기 위한 조치는 물론, 개인정보 침해 사고가 발생하지 않도록 개인정보 보호 솔루션을 도입하고 있어 시장에도 긍정적인 영향을 미치고 있다”고 설명했다.
위즈코리아는 “개인정보보호를 단순한 규제 준수 차원이 아닌 기업의 재무적 리스크관리 차원으로 인식을 전환시키면서, 개인정보보호 솔루션 산업이 더욱 성숙하고 다양화되는 계기를 마련했다”면서, “기업들은 손해배상 위험을 줄이기 위해 사전 예방 차원의 솔루션 도입이 늘어날 것”으로 내다봤다.
워터월시스템즈 역시 “개인정보보호 솔루션 도입의 가장 큰 이유 중 하나는 개인정보보호법의 의무 때문인데, 법안의 해석에 따라 기업들의 대응이 변화할 수 있다”면서, “최근 정부가 개인정보 유출 사고 발생에 대한 기업의 손해배상책임 범위를 확대하고 보험 가입을 적극적으로 권장하고 있고, 이에 따라 기업들이 금전적 손실뿐 아니라 신뢰도 하락에 따른 간접적 손실까지 고려한 대응 전략이 필요해지면서, 솔루션 도입을 적극적으로 검토하고 있다”며 긍정적인 시장 상황을 설명했다.
마크애니도 “기업들이 손해배상 리스크를 줄이기 위해 예방적 보안 솔루션에 투자하는 경향이 뚜렷해졌다”라고 짚으면서, “개인정보보호 솔루션이 보험 가입 시 신뢰성 요소로 작용함에 따라, 산업 전반에 걸쳐 솔루션 도입과 기술 고도화가 가속화되고 있다”고 판단했다.
개인정보보호 솔루션이 꼭 필요한 이유
이처럼 개인정보보호 솔루션은 늘어나는 사이버 공격과 강화되는 개인정보보호 컴플라이언스로 인해 높은 관심을 받고 있다. 또한 빅데이터와 AI, 클라우드 등 환경의 변화에 따른 개인정보보호 관리 범위는 더욱 커지고 늘어나고 있고, 정보주체의 개인정보 전송 요구권과 같은 신설 법 조항과 같은 기존 보호 수준으로 대처하기 어려운 이슈도 있다.
따라서 업계에서는 단순한 방어의 개념에서 유연하게 대처하고 확대되는 보호 범위에 대응하는 수준 높은 기술이 요구되는 시대의 상황에 직면했다고 보고 있으며, 개인정보 처리자가 개인정보를 운영 및 관리하는 체계에서 보호 수준은 그 이상의 수준으로 유지해야 하는 것이 개인정보보호 솔루션의 역할이라고 강조한다.
최근 각 산업에서 부각되는 생성형 AI 이슈도 개인정보 이슈가 있다. 생성형 AI 서비스를 제공하는 기업에게 회사의 기밀정보와 개인정보가 넘어가는 것과 생성형 AI가 입력한 데이터를 학습해 추후 다른 응답에도 활용할 수 있다는 점이다. 최근 개인정보보호위원회가 중국의 생성형 AI 서비스인 딥시크의 국내 서비스를 차단한 이유도 바로 이 때문이다.
이처럼 개인정보의 범위가 넓어지고, 개인정보가 침해될 수 있는 채널이 다양해지는 만큼, 개인정보보호 체계와 솔루션의 필요성도 높아지고 있다는 것이 업계의 판단이다.
▲개인정보보호 솔루션 사용자 선호도 조사[자료: 보안뉴스]
개인정보보호 솔루션, 사용자 선호도 조사
그렇다면 실제 사용자들의 개인정보보호 솔루션에 관한 생각은 어떨까? <시큐리티월드>와 <보안뉴스>는 사용자들의 의견을 물어보기 위해 2025년 4월 11일부터 17일까지 8일간 약 10만 명의 보안담당자에게 ‘개인정보보호 솔루션 인식 및 선호도 조사’를 실시했다. 이번 설문조사에는 공공(34.1%)과 민간(65.9%)의 보안담당자 2,143명이 답했다.
먼저 조직에서 보유하고 있는 개인정보의 규모를 물어봤다. 1만명 미만이 40.7%로 가장 많았지만, 70만~100만명 미만의 개인정보를 보유하고 있는 곳도 22.4%에 달했다. 이어 1만~5만명 미만이 14.5%, 10만~30만명 미만이 7.9%, 5만~10만명 미만이 7.5%, 30만~50만명 미만이 4.7%, 50만~70만명 미만이 2.3%였다.
그럼 기업이나 기관에 개인정보보호 전담인력은 몇 명이나 있을까? 1명이라고 응답한 곳이 38.3%로 가장 많았으며, 없다고 답변한 곳이 34.1%로 뒤를 이었다. 이어 2명인 곳이 12.6%였으며, 5명 이상이라고 답한 곳도 10.3%에 달했다. 또한 3명이라고 응답한 곳이 2.8%였으며, 4명이라고 응답한 곳이 1.9%였다.
개인정보 유출사고에 대한 경험을 묻자 79.9%가 없다고 답했고 나머지 20.1% 있다고 답했다. 유출사고의 원인에 대해서는 40.2%가 내부자의 관리상 실수라고 답했으며, 32.7%가 피싱 등 외부 해킹 공격이라고 답했다. 이어 16.4%가 API와 서버 등 정보처리시스템의 오류였으며 9.3%가 내부자의 고의 유출이라고 답했다.
개인정보보호 담당자나 정보보호 담당자들이 개인정보보호 업무를 수행하면서 가장 어려움을 겪는 것은 무엇일까? 응답자의 37.4%는 사내 보안 전담 부서 및 인력 부족을 꼽았다. 이어 14.1%는 솔루션 도입과 전담 부서 신설 등 필요성에 대한 경영진의 인식 부족을 선택했으며, 12.6%는 사용 중인 솔루션으로 탐지가 어려운 고도화된 외부 공격을 선택했다.
또한 12.1%는 직원들의 피싱, 스팸메일에 대한 무분별한 클릭을, 9.8%는 자주 변경되는 정책과 제도 변화에 따른 혼란이라고 답했다. 이어 개인정보보호 관련 사내교육에 대한 임직원들의 비협조적인 태도(7.9%)와 잦은 부서 이동으로 전문성 결여(4.7%)가 뒤를 이었다.
그렇다면 개인정보보호를 위해 조직들은 어떤 솔루션을 사용하고 있을까? 가장 많이 사용한다고 답한 솔루션(복수 응답)은 바로 52.8%가 선택한 정보유출방지(DLP) 솔루션이었다. 또한 개인정보 암호화 솔루션이 51.9%로 뒤를 이었고, 개인정보 접속기록관리 솔루션이 40.2%를 기록했다. 이어 디지털 저작권 관리(DRM, 22.0%), 개인정보 비식별화(19.2%), 개인정보 라이프사이클 통합관리 8.4%, OCR 스캔 7.5%, 명의도용 차단 2.3% 등이 뒤를 이었다.
아울러 솔루션 선택 기준을 물어봤다. 솔루션의 성능을 꼽은 응답자가 25.7%로 가장 많았으며, 다양한 구축사례와 레퍼런스를 꼽은 응답자도 25.2%나 있었다. 도입 비용을 꼽은 응답자가 18.2%, 사내 IT 인프라 및 설비와의 호환성을 꼽은 응답자가 11.7%, 유지보수와 컨설팅 등 기술지원과 전문 인력의 수를 꼽은 응답자도 10.3%에 달했다. 또한 기업 브랜드 인지도(8.4%)와 특허 등 각종 인증 취득 이력(0.5%)도 선택받았다.
마지막으로 추가하고 싶은 개인정보보호 솔루션에 관해 물어봤다. 이번에는 개인정보 라이프사이클 통합관리 솔루션을 선택한 응답자가 37.9%로 가장 많았다. 개인정보 접속기록관리 솔루션이 27.1%로 뒤를 이었고, 정보유출방지(DLP) 솔루션이 23.8%, 개인정보 암호화 솔루션이 22.9%, 디지털 저작권 관리(DRM) 솔루션이 13.6%, OCR 스캔 솔루션이 9.8%, 명의도용 차단 솔루션이 7.5%의 선택을 받았다.
개인정보 보호와 활용, 개인정보보호 솔루션에 달렸다
4차 산업혁명의 원유, 혹은 디지털 시대의 원유라 불리는 데이터는 날이 갈수록 그 가치가 높아지고 있다. 그리고 그중에서도 가장 핵심 데이터로 꼽히는 것이 바로 개인정보다. 특히 데이터는 AI 산업이 발전하면서 더욱 빛을 발하고 있는데, 문제는 개인정보는 일반적인 데이터와 달리 무조건 활용이 가능하지 않다는 데 있다. 잘못 사용하면 개인정보 침해 사고가 될 수 있기 때문이다. 그러한 문제를 알기에 각국에서는 개인정보보호법을 강화하고 있고, 개인정보보호 솔루션은 그에 맞춰 개인정보 보호는 물론 컴플라이언스 준수를 위한 수단으로 활용된다.
이제 개인정보보호는 단순한 규제 준수를 넘어 기업의 신뢰와 ESG 경영의 핵심 요소로 잡고 있다. 업계에 따르면 글로벌 시장은 말할 것도 없고, 국내 시장도 연평균 10% 이상의 성장세를 보인다. 시간이 지날수록 데이터, 그중에서도 개인정보의 중요성은 커지고 있고, 안전한 활용에 대한 니즈도 지속적으로 증가하고 있는 만큼, 개인정보보호 솔루션 산업은 탄탄대로가 될 것으로 보인다.
▲위즈코리아 ‘위즈 블랙박스 시리즈’[자료: 위즈코리아]
[개인정보보호 솔루션 집중분석-1]
국내 최초, 시장점유율 1위 개인정보 접속기록 관리 솔루션
위즈코리아 ‘위즈 블랙박스 시리즈’, 완벽한 접속기록 생성 및 차별화된 AI 분석 기능 제공
끊임없이 진화하는 사이버 위협 환경 속에서 기업의 핵심 자산인 내부 정보를 안전하게 관리하는 것은 생존을 위한 필수 조건이다. 기업들은 외부 공격뿐만 아니라 내부자에 의한 개인정보 유출 사고의 심각성을 인지하고, 효과적인 내부 통제 시스템 구축에 집중하고 있다. 위즈코리아는 개인정보 접속기록이 내부 통제의 핵심 요소임을 강조하며 효과적인 보안 전략을 제시한다.
개인정보 접속기록, 내부 보안통제의 시작
개인정보 접속기록은 개인정보처리시스템의 사용자 접근과 행위(열람, 수정, 삭제, 다운로드 등)를 시간, 사용자, 접근 정보, 행위 내용과 함께 기록한 데이터이며, 시스템 전체의 동작을 포괄적으로 기록하는 이벤트 정보 중심의 단순 로그 기록과는 확연히 구별된다.
위즈 트레이스: 누락 없는 완벽한 접속기록 생성 및 데이터 정합성 보장
개인정보보호 솔루션에서 접속기록 생성은 비행기 블랙박스나 건물의 CCTV와 같이 기업의 소중한 개인정보 자산에 대한 접근 및 활용 상황을 상세하게 기록하는 핵심 기능이다.
△일체의 누락, 유실 없는 완전한 접속기록 생성(logging) △사용자 계정(ID)과의 완벽한 정합성 보장 △SQL 전문 및 결과값 기록 △조회된 정보주체명과 건수 기록을 통한 완벽한 법규 준수 지원이는 생성한 접속기록의 정합성을 보장하기 어려운 JAVA 필터 방식(DB구간 기록 불가)이나 네트워크 패킷 방식(패킷 유실로 기록 누락 발생 가능) 등과 차별화된 강점이다.
위즈 트레이스를 활용해 접속기록을 생성·관리하는 기업들은 다음과 같은 효과를 기대할 수 있다. △개인정보보호법, 정보통신망법 등 관련 법규에서 요구하는 기술적·관리적 보호조치 사항 충족 △사고 발생 시 유출 경로, 접근자, 유출된 정보의 범위 등을 정확하게 파악하여 재발 방지 대책 수립의 근거 제공 △법적 분쟁 발생 시 명확한 증거 자료로 활용 가능.
위즈 블랙박스 스위트: AI 기반의 개인정보 접속기록 분석 및 이상행위 탐지
위즈 블랙박스 스위트는 자체 개발 AI 모델인 ‘구름(GUREUM)’을 탑재해 시장 선도적 위치를 더욱 공고히 하고 있다. 이 AI 모델은 조직 내 다양한 시스템에서 숨겨진 위험 행위와 중요 데이터를 식별·분석하고, 사용자의 이상행위에 대응하여 치명적인 위험으로부터 피해를 최소화한다.
풍부한 실제 고객 경험을 통해 축적된 개인정보 접속기록 분석·관리 경험과 노하우를 바탕으로 개발된 AI 모델은 기존의 규칙 기반이나 통계 기반 분석 방식의 한계를 넘어서는 혁신적 접근법이다. △사용자의 평소 행위 패턴, 업무 맥락, 데이터 중요도 등을 종합적으로 학습△정상 행위와 이상 행위를 보다 정확하게 구분하는 지능적이고 효과적인 보안 체계 구축 △기업 내부의 실제 행위 데이터, 위협 로그, 감사 기록 등을 학습하여 조직의 환경에 최적화된 위협 인텔리전스 구축.
위즈 보드 플러스: 이상행위 소명/판정 및 통합 소명
개인정보 취급자에게 이상행위 소명기회 제공과 기업 내 결재 시스템이 반영된 정확한 판정 과정은 개인정보/보안 담당자의 업무부하 감소 및 법적 책임 분산을 가능하게 한다. 개인정보 사용에 대한 이상행위 소명뿐만 아니라 다양한 시스템 내 정보 사용에 대한 통합 소명이 가능하여 관련 보안업무의 효율을 높일 수 있다.
위즈 ALM(Account Log Management): 권한 변경 이력 관리
개인정보처리시스템의 접근 권한 부여, 변경, 말소 내역을 자동으로 기록하고 최소 3년 이상 안전하게 보관함으로써 ‘개인정보의 안전성 확보 조치 기준 제5조 제3항’을 효과적으로 준수할 수 있도록 지원한다. 이는 단순한 로그 기록을 넘어, 권한 이력의 완전한 추적성과 규제 준수 기반 마련에 핵심적인 역할을 한다.
▲삼오씨엔에스 ‘파르고스 v3.0’[자료: 삼오씨엔에스]
[개인정보보호 솔루션 집중분석-2]
공공기관 공공서비스 운영기관의 접속기록 보관 및 개인정보 관리수준 평가/점검 지원
삼오씨엔에스 파르고스 v3.0, 집중관리시스템 및 AI 이상행위 탐지 시스템
개인정보위원회는 2024년 개정 시행 중인 개인정보보호법 제29조 안전조치 의무 및 시행령 제30조 개인정보의 안전성 확보 조치 기준에 따라 개인정보 접속기록 보관 및 점검 활동을 강화하고 있다. 삼오씨엔에스의 파르고스 v3.0은 고객사의 대/내외 개인정보처리시스템에 적용되어 개인정보 접속기록관리 및 AI 지능형 이상행위 탐지 시스템으로 활용하고 있다.
집중관리시스템 및 AI 이상행위 탐지 시스템인 파르고스v3.0은 최근 대형 증권사 및 광역 도교육청 프로젝트를 수주, 구축하고 있다.
제품의 장점은, 기존의 개인정보처리시스템 단위별 통제에서 시스템과 조직(부서)의 통합 통제가 가능한 점이다. 예를 들어 17개 시도광역시 혹은 240여 기초단체 개별로 △통제정책 △예외정책 △소명 관리 정책 △보고서 점검 적용이 가능하다.
이용기관의 관리자가 이용기관 취급자를 점검 관리할 수 있어, “제17조 공공시스템(집중관리시스템) 운영기관의 접속기록 보관 및 점검” 항목을 완벽하게 지원한다. 또한 AI 이상행위 탐지 기능의 고도화 진행으로, 취급자 단위까지의 패턴 분석을 강화, 인사정보 변경 때마다 재학습하는 번거로움을 줄일 수 있게 된다.
파르고스v3.0은 개인정보 접속기록 관리 및 AI 이상행위 탐지 시스템으로서의 기술을 명실공히 인정받아, 2024년 12월 조달청 우수제품으로 지정된 바 있다.
AI 지능형 분석 환경은 통계 모델 접속기록 이상탐지 및 라벨링 적용(서울시 실증 사업 성공 및 한수원, 한전기술 운영 중)
파르고스 v3.0은 2020년 11월부터 2021년 12월 말까지 서울시에서 지능형 개인정보 접속기록관리 및 안정성 확보 조치 고시 이행점검시스템 실증 사업을 성공적으로 마무리했다. 제품은 AI 이상행위 탐지 시스템으로 지도학습 및 비지도학습 알고리즘을 적용했다.
또한 취급자의 여러 행동 패턴 탐지를 위한 분석기능 및 접속계정, 접속시간, 수행업무 등에 대한 룰 분석 기능이 포함되어 있다.
2023년 9월 개정 시행되는 개인정보위의 안전성확보조치 기준 준수를 위해 파르고스 v3.0은 △접속기록 관리 △이상행위 탐지 △소명처리 관리 기능이 되도록 개인정보 통합관제시스템으로 활용하고 있다. 이 기능을 통해 공공기관 개인정보 관리수준 진단 계획 중 ‘신기술 환경에서의 데이터의 안전한 활용 및 안전조치 적절성’에 대해 최대 10점의 가산점을 받을 수 있다.
제17조 (공공시스템 운영기관의 접속기록의 보관 및 점검)
파르고스 v3.0은 2023년 9월 시행되고 있는 개인정보의 안전조치 추가사항으로 △법 제29조 △시행령 제30조 △기준 제17조(공공시스템 운영기관의 접속기록 관리 및 점검)가 시행(24.09.15)됨에 따라, 집중관리시스템(이하, 공공시스템) 이용기관이 소관 개인정보취급자의 접속기록을 직접 점검관리 할 수 있는 기능을 제공하고 있다. 공공시스템에 접속한 자의 접속기록을 자동화된 방식으로 분석해 불법적인 개인정보 유출 및 오·남용 시도를 탐지하고, 그 내용에 대해 사유 소명 등 필요한 조치를 이행하는 기능이 구현되어 있다.
▲벨로크 규정관리 솔루션 ‘B-CMS’[자료: 벨로크]
[개인정보보호 솔루션 집중분석-3]
체계적인 규정관리를 통한 보안관리 효율성 향상
벨로크, 규정관리 솔루션 ‘B-CMS’로 국가 망 보안체계(N2SF) 안정적인 전환
‘국가 망 보안 체계(N2SF) 가이드라인’이 발표됨에 따라 보안체계가 새로운 패러다임을 맞이하고 있다. 업무망을 인터넷망으로부터 구분하고 격리하는 형태인 망분리 환경의 전통적인 경계 기반 보안 체계에서 벗어나, 공공데이터와 신기술을 활용한 업무 환경 구성을 위한 데이터 중심 보안체계로 변화함에 따라 ISMS-P와 같은 공공기관 및 기업에서 준수해야 하는 다양한 보안규정의 세부 내용도 개정·신설되는 등 많은 변화가 예상된다.
이에 벨로크의 규정관리 솔루션 ‘B-CMS’는 변화하는 보안관리 업무에 대응하기 위해 규정 내용의 지속적 관리와 보안업무의 이행, 인증/평가까지 보안팀에서 수행해야 하는 일련의 모든 규정관리 보안업무를 체계적이고 효율적으로 관리 할 수 있도록 돕는다.
체계적인 규정관리와 보안 업무를 돕는 규정관리 솔루션 ‘B-CMS’
‘B-CMS’는 보안 현장에서의 실질적인 요구를 반영해 설계된 규정관리 솔루션이다. 공공기관에서 매년 심사/평가를 받아야 하는 ‘사이버보안 실태 평가’와 금융기관과 기업에서 받아야 하는 ‘ISMS-P’ 등 공통 보안규정을 비롯해 기관 내부에서 자체적으로 운영하는 보안규정 등 비표준 규정까지 다양한 규정을 모두 지원한다.
특히, 각각의 기관에서 준수해야 하는 서로 다른 규정과 체계에 대응하기 위해 전담 기술개발 인력을 통해 현장에 최적화된 솔루션을 제공한다.
제·개정 되는 규정의 세부 내용을 지속 관리하고, 규정의 세부 내용에 따라 필요한 보안 업무를 적시에 이행 할 수 있도록 각각의 담당 부서와 사용자에게 할당해 관리자가 보안 업무의 이행 현황을 한눈에 확인하고 관리할 수 있어, 기관 전반에 대해 제한된 보안 전담 인력만으로 관리해 발생했던 업무 부하에 따른 누락·지연이 발생되지 않도록 한다.
기관에서 준수해야 하는 규정의 세부항목별 이행 현황을 솔루션으로 확인할 수 있어, 준수해야 하는 규정에 대해 현재 기관의 현황을 기반으로 자체적으로 평가해 심사 전에 미비점을 보완할 수 있고, 별도로 심사/평가에 필요한 산출물(보고서)을 정리하지 않아도 솔루션을 통해 일괄 출력할 수 있어 업무 시간을 단축하는 등 업무의 효율성을 더한다.
보안 업무 현장에 최적화된 솔루션
벨로크의 ‘B-CMS’는 현업 담당자의 목소리를 기반으로 기획된 현장에 최적화된 솔루션이다. 단순 제품 공급만이 아닌 위탁운영, 통합유지보수 등의 사업을 통해 현장에서 보안업무와 관리를 수행하며 고객과 함께 필요한 기능을 개발·적용했다.
매년 반복적으로 수행해야 하는 규정관리 업무 특성으로 이전 현황과 비교하거나, 여러 규정에 중복되는 항목에 대해 동일한 업무를 여러 번 수행하지 않도록 하는 등 업무 효율성과 편의성을 비약적으로 개선하고, 필요한 경우 각 기관의 업무 특성에 맞춰 최적화된 기능을 개발 및 적용해 고객으로부터 많은 관심을 받고 있다.
▲피앤피시큐어 개인정보 접속기록 관리 솔루션 ‘INFOSAFER’[자료: 피앤피시큐어]
[개인정보보호 솔루션 집중분석-4]
강화된 개인정보 보호 환경에 대응하는 현실적 기능 중심의 솔루션 고도화 전략 제시
피앤피시큐어, 개인정보 접속기록 관리 솔루션 ‘INFOSAFER’ 고도화 방향성 발표
강화된 개인정보보호 환경 속, 피앤피시큐어 ‘INFOSAFER’..실시간 탐지·AI 기반 위협 대응으로 진화
2025년 개인정보보호 환경이 급격하게 변화하고 있다. 강화된 법제도, 고강도 감독체계, AI 시대의 보안 위협이 맞물리며 기업과 기관의 개인정보 관리 책임이 더욱 무거워진 상황이다. 2025년 개정 개인정보 보호법이 본격 시행되면서 개인정보보호위원회(PIPC)는 제재 중심의 정책 기조를 명확히 하고 있으며, 공공·민간 부문을 막론하고 대규모 개인정보 유출 사고가 잇따르고 있다.
데이터 활용 범위가 넓어지는 만큼, 내부 오·남용과 외부 해킹으로부터의 위협도 확대되고 있다. 이에 따라 개인정보 접속기록 관리 솔루션의 중요성이 드러나고 있으며, 단순한 기록 기능을 넘어 실시간 탐지와 지능형 대응이 가능한 솔루션이 요구되고 있다. 피앤피시큐어는 이러한 요구를 만족하는 고도화된 개인정보 접속기록 관리 솔루션 ‘INFOSAFER’를 통해 개인정보 보호 체계 강화에 기여하고 있다.
실시간 개인정보 현황 파악..누락 없는 접속기록 생성을 지원
개인정보 접속기록 관리의 핵심은 보호할 개인정보 자산을 누락 없이 정의하는 데 있다. 접속기록 생성보다 먼저 보호 대상 자산을 명확히 식별해야 하며, 이 과정은 솔루션 설치 시점에 한 번만 수행하는 것이 아니라 주기적으로 반복되어야 한다.
INFOSAFER는 자체 내장된 ‘DB SCANNER’를 통해 데이터베이스에 저장된 개인정보를 자동 식별한다. 스케줄러에 따라 정해진 주기마다 자산을 정밀하게 스캔하고, 신규 생성되거나 삭제된 개인정보 자산을 자동으로 탐지해 보안 정책에 반영한다. 이를 통해 최신 보호 대상 현황을 유지하고, 접속기록 누락을 방지할 수 있다.
특히 최근에는 ‘RT(Real-Time) SCANNER’를 추가로 개발해 기능을 확장했다. RT SCANNER는 기존 DB SCAN 기능뿐만 아니라, DBSAFER에서 기록된 접근 로그를 실시간으로 분석해 개인정보를 검출한다. 이 방식은 데이터베이스 연결정보 없이도 탐지가 가능하며, 스캔 주기 사이에 생성된 개인정보까지 탐지할 수 있어 정밀성과 편의성이 강화됐다.
RT SCANNER에서 검출된 개인정보 자산은 INFOSAFER에 자동 등록되어 누락 없는 접속기록 생성을 지원하며, 검출 자산의 위험도에 따라 DBSAFER와 연동하여 접근통제나 마스킹 정책을 자동 반영할 수 있다. 향후에는 AI 기술을 적용해 정규식 기반의 탐지 한계를 보완하고, 컬럼명 학습을 통한 오탐 최소화를 추진할 예정이다.
위험탐지 고도화..시나리오 기반 탐지와 AI 규칙 추천 기능 탑재
INFOSAFER는 개인정보 접속기록 관리 솔루션 중에서도 정밀한 위험탐지 기능을 제공한다. 단순 룰 기반 탐지를 넘어, 사용자 정의 시나리오 구성과 개인정보 사용 패턴 학습 기능을 함께 제공한다. 개인이나 조직 단위로 개인정보 사용량, 시간, 접근 방식 등을 학습하고, 평소와 다른 이상 징후 발생 시 자동 탐지하는 방식이다.
특히 위험탐지를 위한 규칙 구성 시, 임계값 설정은 보안 관리자에게 큰 부담이 된다. INFOSAFER는 빅데이터 기반의 분석 기술을 활용해 적절한 기준값을 자동으로 추천함으로써 설정 부담을 줄이고, 운영 효율성을 높인다.
위험탐지는 AI 기술을 가장 효과적으로 적용할 수 있는 영역이다. INFOSAFER는 정적인 Rule 기반 정책을 넘어, 동적이고 맥락형인 AI 기반 탐지 체계로 고도화되고 있다. 이를 위해
AI 모델 간 연동을 표준화하는 MCP(Model Context Protocol) 기반 로그 변환 기능도 개발을 완료했다. 해당 기능을 통해 INFOSAFER의 접속기록 로그는 외부 AI 모델과 연동되어 지능형 분석과 대응이 가능해진다.
유연한 소명 기능으로 사용자 불편 최소화
접속기록 관리의 마지막 단계인 소명 절차도 INFOSAFER는 체계적으로 정비했다. 복잡한 결재선 설정을 별도 개발 없이도 구성할 수 있도록 설계되어 있으며, 인사정보와의 연동을 통해 자동 결재선 설정이 가능하다. 대결과 후결 등 다양한 결재 방식도 지원해 기관별 업무방식에 유연하게 대응할 수 있다.
또한 파일 다운로드와 같은 행위에 대한 소명 방식도 개선됐다. 기존 후소명 방식 외에도, 사유가 시스템상에 사전 등록되어 있을 경우 소명 없이 자동 연동이 가능한 ‘선소명 프로세스’를 도입했다. 이를 통해 소명 절차로 인한 사용자 불편을 최소화하면서도 개인정보보호 체계를 견고히 유지할 수 있다.
INFOSAFER, 통합형 지능 보안 플랫폼으로 진화 중
INFOSAFER는 단순한 접속기록 생성 도구가 아니다. RT SCANNER를 통해 실시간 개인정보 현황을 탐지하고, 다양한 시나리오 기반의 위협탐지 기능과 AI 연동 기반 대응체계를 갖추고 있다. 또한 유연한 소명 시스템은 개인정보 보호 실무자의 업무 효율을 높이고 사용자 편의성도 동시에 고려하고 있다.
피앤피시큐어는 향후 INFOSAFER를 ‘기록 중심’ 솔루션을 넘어 ‘통제 중심’ 플랫폼으로 고도화할 계획이다. 단순히 개인정보 접속 이력을 남기는 데 그치지 않고, 개인정보의 수집부터 폐기까지 전 과정에서 접근 주체, 접근 목적, 접근 정당성을 평가하고 기록하는 지능형 통합 보안 플랫폼으로 진화해 나갈 것이다.
[원병철 기자(boanone@boannews.com)]
4차 산업혁명의 원유인 데이터, 그리고 데이터 위의 데이터 ‘개인정보’
개인정보보호 솔루션에 대한 사용자 선호도 설문조사
개인정보보호 솔루션 집중분석: 위즈코리아, 삼오씨엔에스, 벨로크, 피앤피시큐어
[보안뉴스 원병철 기자] 국내 최대 통신사인 SKT가 4월 19일 해킹으로 고객정보가 유출됐다고 밝혀 충격을 안겼다. 아직 조사가 진행되고 있어 정확한 피해 사항을 알긴 어렵지만, 고객의 유심 관련 일부 정보가 유출된 것으로 알려졌다.
또한 2024년 4월에는 미국의 신원조회 회사 NPD가 해킹당해 29억명의 민감정보가 다크웹에 유출됐다. 이 사건의 피해는 현재까지 가장 많은 개인정보가 유출된 사건인 ‘야후(Yahoo)’의 30억명 데이터 유출사건과 큰 차이가 없는 수준이다.
또한 2024년 7월에도 우리카드 인천영업센터가 가맹점 대표자 20만 7,538명의 정보를 카드 모집인에게 전달한 사건이 있었다. 이처럼 개인정보 유출사건은 끊이지 않고 발생하고 있다. 개인정보를 보호할 수 있는 방법은 정말 없는 걸까?
[자료: gettyimagesbank]
개인정보는 특정한 개인을 식별하거나 개인과 관련된 정보를 말한다. A라는 사람을 식별할 수 있는 정보(예를 들면, 이름, 생년월일, 주소, 전화번호, 이메일 주소 등)와 A에게 부여된 고유한 식별정보(주민등록번호, 여권번호, 운전면허번호 등), 그리고 계좌번호와 신용카드 정보와 같은 금융정보와 건강기록이나 고용기록 등과 같은 정보가 모두 개인정보에 속한다.
개인정보는 개인을 특정할 수 있는 정보인 만큼 매우 중요하며, 각 국가는 ‘개인정보보호법’을 통해 이를 보호하기 위해 노력한다. 반대로 사이버 범죄자들은 개인정보를 노리기 위해 다양한 사이버 공격을 무차별적으로 벌이고 있으며, 여러 이유로 개인정보를 수집하는 기관과 기업들은 이러한 공격에 대응하기 위해 보안 솔루션을 도입하고 있다.
SKT 해킹으로 고객 개인정보 유출...해커들은 개인정보를 노린다
사이버 범죄자들이 개인정보를 노리는 이유는 간단하다. 바로 돈이 되기 때문이다. 개인정보를 악용하면 은행 계좌나 신용카드 정보를 도용해 금융사기를 칠 수 있으며, 신분을 도용해 대출이나 불법 계약을 맺어 금품을 탈취할 수 있다. 또한 마케팅이 필요한 곳에 개인정보를 판매해 소득을 올릴 수도 있고, 탈취한 개인정보를 바탕으로 친분 있는 사람이나 기업, 기관 등에 연계 공격을 펼칠 수도 있다. 때문에 사이버 범죄자들은 다양한 방법으로 개인정보를 노린다.
실제로 개인정보보호위원회가 발간한 ‘2024 개인정보 유출 신고 동향 및 예방 방법’ 보고서에 따르면 2024년에 접수된 개인정보 유출신고는 총 307건으로, 2023년 318건과 비슷한 수준이다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지했으며, 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다. 전년도에 비해 해킹은 증가(151건 → 171건)한 반면, 업무 과실(116건 → 91건) 및 시스템 오류(29건 → 23건)로 인한 유출은 감소했다. 해킹 사고의 유형으로는 관리자 페이지 비정상 접속(23건), SQL인젝션(17건), 악성코드(13건), 크리덴셜 스터핑(9건) 순으로 나타났다. 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건도 절반(87건)이나 되었다.
2025년 4월 22일, 한국 최대 통신사인 SK텔레콤(이하 SKT)이 해킹 공격으로 고객정보가 유출됐다고 공지했다. SKT는 4월 19일 오후 11시, 악성코드로 인해 SKT 고객의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했다며, 관련법에 따라 KISA와 유관기관에 신고 후 조사에 적극 협조하고 있다고 밝혔다.
SKT는 유출 가능성 인지 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비도 격리했다면서, 고객의 피해를 예방하기 위해 △전체 시스템 전수 조사 △불법 유심 기변 및 비정상 인증 시도 차단 강화 △피해 의심 징후 발견시 즉각적인 이용 정지 및 안내 조치 강화 등의 조치를 시행했다고 설명했다.
특히 이번 공격은 유심(USIM) 고유번호 등 핵심 정보가 담긴 중앙 서버가 공격당한 것으로 알려져 추이가 주목된다. 유심 핵심 정보는 해당 유심을 사용하는 고객의 개인정보가 담겨있기 때문에, 이를 악용하면 ‘심 스와핑(SIM Swapping)’ 공격을 할 수 있기 때문이다. 심 스와핑 공격이란, 유심 정보를 새 유심에 복사해 ‘복제폰’을 만든 후, 개인정보나 금융정보를 탈취해 2차, 3차 피해를 주는 공격이다. 실제로 2022년 <보안뉴스>가 단독 보도한 심 스와핑 특집기사에 따르면 수십명의 피해자가 수억원의 피해를 본 것으로 알려졌다.
2024년 4월에는 해커 USDoD가 미국 신원조회 회사 NPD(National Public Data)에서 29억건의 개인기록을 탈취한 사건이 발생했다. 이 기록에는 미국과 영국, 캐나다에 거주하고 있는 사람들의 사회보장번호, 주소, 생년월일, 전화번호와 같은 민감한 개인정보가 포함돼 있으며, USDoD는 다크웹에 이 정보를 350만달러에 판매하겠다고 올렸다. USDoD는 FBI의 인프라가드(InfraGard)를 공격해 8만 7,000여명 회원들의 개인정보를 여러 다크웹 포럼에 공개한 것으로 잘 알려진 해커로, 2024년 10월 브라질 경찰에게 체포된 것으로 알려졌다.
우리카드는 2024년 4월 고객 사과문을 통해 가맹점 대표자의 이름과 휴대전화 번호, 우리카드 보유 여부 등 3개 항목이 유출됐다고 밝혔다. 특히 우리카드는 해당 사건이 해킹 등 외부 공격이 아닌 내부자의 소행이라고 밝혔는데, 이후 인천영업센터에서 발생한 것으로 알려졌다. 우리카드는 해당 사건으로 개인정보보호위원회로부터 과징금 134억 5,100만원을 부과받았다.
▲국내외 대표 개인정보보호 솔루션[자료: 보안뉴스 정리]
늘어나는 개인정보, 확대되는 개인정보보호 솔루션
이렇게 개인정보를 노리는 사이버 위협이 지속되면서 이에 대응할 수 있는 방법이 빠르게 발전하기 시작한다. 바로 개인정보보호 솔루션이다.
개인정보보호 솔루션은 말 그대로 ‘개인정보’를 보호해 주는 솔루션을 말한다. 개인정보의 유출, 오남용, 무단 접근 등을 사전에 차단해 개인정보 침해 사고를 예방하고, 개인정보보호법과 GDPR과 미국 캘리포니아 개인정보보호법 등 개인정보 관련 컴플라이언스를 준수하도록 돕는다.
개인정보보호 솔루션은 다양한 기술을 기반으로 이뤄진다. 개인정보 자체가 데이터로 보관되는 만큼, 대부분 데이터 보호 솔루션이나 기술이 활용된다. 즉, 개인정보 유출 방지, 암호화 등의 기능이 필요하기 때문에 DLP와 DRM 등의 데이터 보안 솔루션이 활용되고 있으며, 2020년 데이터 3법 개정에 따른 가명정보 개념이 도입되면서 개인정보 비식별화 솔루션도 포함되고 있다.
개인정보보호에 사용되는 솔루션을 살펴보면, △정보유출방지(DLP) △개인정보 암호화 △개인정보 접속기록관리 △디지털 저작권 관리(DRM) △개인정보 비식별화 △개인정보 라이프사이클 통합관리 △OCR 스캔 △명의도용 차단 등이 모두 포함된다.
각각의 솔루션을 설명하면, 정보유출방지(DLP·Data Loss Prevention)는 기업이나 조직의 중요한 데이터가 유출되거나 손실되는 것을 방지하기 위한 솔루션이다. 개인정보도 이 데이터에 포함되며, 데이터의 식별부터 이동 경로 감시, 유출 차단과 로그 기록과 분석 등을 통해 데이터를 보호한다.
개인정보 암호화는 민감정보인 개인정보를 암호화함으로써, 개인정보가 유출되더라도 보호할 수 있도록 돕는 솔루션이다.
개인정보 접속기록관리는 누가 개인정보에 접근하고 열람 및 복사하는지를 기록하고 보관해 개인정보의 오남용과 유출, 위조 등을 방지하는 솔루션이다. 단순 개인정보보호를 넘어 컴플라이언스 준수에도 꼭 필요한 솔루션이기도 하다.
디지털 저작권 관리(DRM·Digital Rights Management)는 원래 디지털 콘텐츠의 저작권을 보호하고 제어하기 위한 솔루션으로, 민감정보인 개인정보에 접근하거나 배포하는 과정을 제어하는 데 활용된다.
개인정보 비식별화 솔루션은 개인정보를 가명처리하거나 익명화해 식별할 수 없도록 만드는 솔루션이다. 단순히 개인정보를 보호하는 것을 넘어 안전하게 활용할 수 있도록 도우며, 개인정보보호 컴플라이언스에 최적화된 솔루션이다.
개인정보 라이프사이클 통합관리 솔루션은 개인정보의 생성부터 활용과 파기까지 전 과정을 관리해 데이터를 보호하고 컴플라이언스를 지원하도록 돕는다.
OCR(Optical Character Recognition) 스캔은 이미지나 스캔 된 문서에서 텍스트를 인식하고 이를 다시 디지털 텍스트로 변환하는 기술이다. 개인정보보호 분야에서는 이미지 등 문서 파일에서 개인정보 유무를 파악하고 유출을 방지하는 데 활용된다.
명의도용 차단 솔루션은 휴대폰 개통 등의 통신 서비스나 대출 등의 금융거래를 할 때 꼭 필요한 개인 명의를 차단함으로써 보호해 주는 솔루션이다.
개인정보보호 솔루션 산업, 가파르게 성장 중
그렇다면 개인정보보호 솔루션 산업은 현재 어떤 상황일까? 글로벌 시장 조사 기관 포춘 비즈니스 인사이트(Fortune Business Insight)는 2024년 데이터 프라이버시 소프트웨어 시장 규모를 38억 4000만달러(한화 약 5조 4412억원)로 평가했다. 이 시장은 2025년 53억 7000만달러(한화 약 7조 6109억원)에서 2032년 451억 3000만달러(한화 약 63조 9627억원)에 이르며, 연평균 성장률 35.5%를 보일 것으로 예측됐다.
Precedence Research는 2025년 개인정보보호 강화 컴퓨팅 시장 규모가 67억달러(한화 약 9조 5555억원)로 추산되며, 2034년 269억달러(한화 약 38조 3647억원)에 이르며, 연평균 성장률 19.85%로 성장할 것으로 예상했다. 또한 Precedence Research는 2024년 북미 시장 규모를 15억 8000만달러(한화 약 2조 2524억원)로 예측했다.
국내 개인정보보호 솔루션 산업은 생각보다 빨리 시작됐다. 일각에서는 세계 시장보다 빨리 형성됐다고 볼 수 있다고도 말한다. 개인정보보호 산업이 빠르게 형성될 수 있던 배경에는 인터넷의 확산과 그로 인한 개인정보 침해 사고의 발생, 그리고 빠른 개인정보보호법 제정 등이 있다는 설명이다.
국내 시장의 정확한 시장 규모는 집계되지 않고 있지만, 업계에 따르면 연평균 10%의 성장세를 보이는 것으로 판단된다.
최근 개인정보보호법이 개정되면서 강화된 개인정보보호 수준이 요구되고 있고, 빅데이터와 클라우드 환경의 변화로 인한 개인정보보호 이슈는 계속되고 있다. 이에 맞춰 개인정보보호 솔루션은 점점 더 세분화되고 기능 또한 고도화되면서 시장이 확대되고 있다. 특히 개인정보보호 솔루션 기업들도 AI 기술과 분석기능까지 추가하는 등 다양한 기술 진보를 이루고 있는 것으로 알려졌다. 이러한 상황에 따라 개인정보보호 산업 전반의 매출이 커지고 있으며, 조달 나라장터에서도 지속해서 구매 제안이 등록되고 있다고 업계에서는 설명한다.
가장 최근에는 가상자산 사업자와 선불전자지급 사업자(전자금융업자) 등에 대한 정보보안 인증과 이슈가 늘어나고, 알뜰폰(MVNO)의 ISMS 인증 등으로 인해 개인정보보호 솔루션에 대한 문의도 늘어난 것으로 알려졌다.
현재 대한민국에서 개인정보보호 솔루션을 공급하고 있는 기업은 △데이티스바넷 △벨로크 △삼오씨엔에스 △세이퍼존 △센티널테크놀로지 △시큐어링크 △아이티언 △안랩 △에스에이티정보 △엔소프테크놀러지 △엔텀 △엘세븐시큐리티 △워터월시스템즈 △위즈코리아 △이너버스 △이스톰 △이지서티 △인스피언 △지란지교데이터 △컴트루테크놀로지 △클로잇 △파수 △피앤피시큐어 △프라이버시지 △한국기업보안 △홈넘버메타(가나다순) 등이다.
개인정보보호법 시행령 개정 등 정부의 개인정보보호 강화 방안 이어져
개인정보를 노리는 사이버 공격이 계속 이어지자, 정부에서는 개인정보보호를 위한 법을 강화하고 있다. 규제를 강화함으로써 기업과 기관의 개인정보보호 수준을 높이겠다는 것이다. 실제로 개인정보보호위원회는 2024년 3월 ‘개인정보보호법 시행령 2차 개정안’을 통해 ‘공공기관 관리수준 진단’을 ‘공공기관 관리수준 평가’로 격상하고 대상을 확대했다. 특히 이번 개정안을 통해 개인정보 접속기록 등 개인정보보호 솔루션이 주목받을 것으로 업계는 기대했다.
파수는 “개인정보보호법의 강화 추세는 관련 기관 및 기업들이 경각심을 가지고 관련 보안 솔루션을 도입하는 데 큰 영향을 주고 있다”며, “개정안 한건 한건 보다는, 전반적인 규제 강화 추세가 지속적으로 개인정보보호 솔루션 산업 성장을 이끌고 있다고 본다”고 판단했다.
피앤피시큐어는 “이번 개정안은 기술적·관리적 보호조치를 기존의 원칙 수준에서 벗어나, 구체적이고 실질적인 기준으로 강화됐다”고 분석하고, “단순한 보안 권고가 아닌 준수해야 할 구체적 기준으로 변화되었기 때문에, 단편적인 기능보다는 접근통제, 계정관리, 암호화, 로그관리, 이상행위 탐지 등 통합적으로 대응할 수 있는 보안 구조를 마련해야 한다”고 권고했다.
이지서티는 “정보 주체의 결정권을 강화한 안전한 개인정보 전송 제도에서 개인정보관리 전문기관 지정은 개인정보보호 솔루션 산업뿐만 아니라 보안 솔루션 산업 전반에 영향을 줄 것”이라고 예상하면서, “제3자 제공을 위한 정보수신자의 경우 자격요건이 쉽지 않고 전송 데이터에 대한 규격도 세밀하게 마련되어 있어서 정보주체의 정보관리와 보호 측면에서 매우 긍정적이며, 이에 따른 보안 기술, 관리적 기술이 기존 레벨에서 좀 더 고도화되어야 할 것”이라고 설명했다. 아울러 “개인정보보호 솔루션과 함께 전송기술, 암호화, 네트워크 보안 등 데이터 전송과 보호 관리 전반 보안 솔루션이 함께 움직여야 할 것”이라고 덧붙였다.
최근 발표된 ‘개인정보 손해배상책임 보장제도 합리화 방안’도 시장에 긍정적인 영향을 끼칠 것으로 보인다. 이 제도는 사이버 공격으로 개인정보가 유출돼 이용자가 피해를 볼 경우 기업이 이에 대한 손해배상책임을 이행하기 위해 ①보험이나 공제에 가입하거나 ②준비금을 적립하도록 의무화하는 제도다.
지란지교데이터는 “개인정보 손해배상책임 보장제도 합리화 방안이 발표되면서 보험 의무 가입 기준이 매출액 1,500억원 이상, 정보 주체 100만명 이상으로 상향됐다”면서, “보험 가입 대상 기관과 기업들은 배상 책임 의무를 다하기 위한 조치는 물론, 개인정보 침해 사고가 발생하지 않도록 개인정보 보호 솔루션을 도입하고 있어 시장에도 긍정적인 영향을 미치고 있다”고 설명했다.
위즈코리아는 “개인정보보호를 단순한 규제 준수 차원이 아닌 기업의 재무적 리스크관리 차원으로 인식을 전환시키면서, 개인정보보호 솔루션 산업이 더욱 성숙하고 다양화되는 계기를 마련했다”면서, “기업들은 손해배상 위험을 줄이기 위해 사전 예방 차원의 솔루션 도입이 늘어날 것”으로 내다봤다.
워터월시스템즈 역시 “개인정보보호 솔루션 도입의 가장 큰 이유 중 하나는 개인정보보호법의 의무 때문인데, 법안의 해석에 따라 기업들의 대응이 변화할 수 있다”면서, “최근 정부가 개인정보 유출 사고 발생에 대한 기업의 손해배상책임 범위를 확대하고 보험 가입을 적극적으로 권장하고 있고, 이에 따라 기업들이 금전적 손실뿐 아니라 신뢰도 하락에 따른 간접적 손실까지 고려한 대응 전략이 필요해지면서, 솔루션 도입을 적극적으로 검토하고 있다”며 긍정적인 시장 상황을 설명했다.
마크애니도 “기업들이 손해배상 리스크를 줄이기 위해 예방적 보안 솔루션에 투자하는 경향이 뚜렷해졌다”라고 짚으면서, “개인정보보호 솔루션이 보험 가입 시 신뢰성 요소로 작용함에 따라, 산업 전반에 걸쳐 솔루션 도입과 기술 고도화가 가속화되고 있다”고 판단했다.
개인정보보호 솔루션이 꼭 필요한 이유
이처럼 개인정보보호 솔루션은 늘어나는 사이버 공격과 강화되는 개인정보보호 컴플라이언스로 인해 높은 관심을 받고 있다. 또한 빅데이터와 AI, 클라우드 등 환경의 변화에 따른 개인정보보호 관리 범위는 더욱 커지고 늘어나고 있고, 정보주체의 개인정보 전송 요구권과 같은 신설 법 조항과 같은 기존 보호 수준으로 대처하기 어려운 이슈도 있다.
따라서 업계에서는 단순한 방어의 개념에서 유연하게 대처하고 확대되는 보호 범위에 대응하는 수준 높은 기술이 요구되는 시대의 상황에 직면했다고 보고 있으며, 개인정보 처리자가 개인정보를 운영 및 관리하는 체계에서 보호 수준은 그 이상의 수준으로 유지해야 하는 것이 개인정보보호 솔루션의 역할이라고 강조한다.
최근 각 산업에서 부각되는 생성형 AI 이슈도 개인정보 이슈가 있다. 생성형 AI 서비스를 제공하는 기업에게 회사의 기밀정보와 개인정보가 넘어가는 것과 생성형 AI가 입력한 데이터를 학습해 추후 다른 응답에도 활용할 수 있다는 점이다. 최근 개인정보보호위원회가 중국의 생성형 AI 서비스인 딥시크의 국내 서비스를 차단한 이유도 바로 이 때문이다.
이처럼 개인정보의 범위가 넓어지고, 개인정보가 침해될 수 있는 채널이 다양해지는 만큼, 개인정보보호 체계와 솔루션의 필요성도 높아지고 있다는 것이 업계의 판단이다.
▲개인정보보호 솔루션 사용자 선호도 조사[자료: 보안뉴스]
개인정보보호 솔루션, 사용자 선호도 조사
그렇다면 실제 사용자들의 개인정보보호 솔루션에 관한 생각은 어떨까? <시큐리티월드>와 <보안뉴스>는 사용자들의 의견을 물어보기 위해 2025년 4월 11일부터 17일까지 8일간 약 10만 명의 보안담당자에게 ‘개인정보보호 솔루션 인식 및 선호도 조사’를 실시했다. 이번 설문조사에는 공공(34.1%)과 민간(65.9%)의 보안담당자 2,143명이 답했다.
먼저 조직에서 보유하고 있는 개인정보의 규모를 물어봤다. 1만명 미만이 40.7%로 가장 많았지만, 70만~100만명 미만의 개인정보를 보유하고 있는 곳도 22.4%에 달했다. 이어 1만~5만명 미만이 14.5%, 10만~30만명 미만이 7.9%, 5만~10만명 미만이 7.5%, 30만~50만명 미만이 4.7%, 50만~70만명 미만이 2.3%였다.
그럼 기업이나 기관에 개인정보보호 전담인력은 몇 명이나 있을까? 1명이라고 응답한 곳이 38.3%로 가장 많았으며, 없다고 답변한 곳이 34.1%로 뒤를 이었다. 이어 2명인 곳이 12.6%였으며, 5명 이상이라고 답한 곳도 10.3%에 달했다. 또한 3명이라고 응답한 곳이 2.8%였으며, 4명이라고 응답한 곳이 1.9%였다.
개인정보 유출사고에 대한 경험을 묻자 79.9%가 없다고 답했고 나머지 20.1% 있다고 답했다. 유출사고의 원인에 대해서는 40.2%가 내부자의 관리상 실수라고 답했으며, 32.7%가 피싱 등 외부 해킹 공격이라고 답했다. 이어 16.4%가 API와 서버 등 정보처리시스템의 오류였으며 9.3%가 내부자의 고의 유출이라고 답했다.
개인정보보호 담당자나 정보보호 담당자들이 개인정보보호 업무를 수행하면서 가장 어려움을 겪는 것은 무엇일까? 응답자의 37.4%는 사내 보안 전담 부서 및 인력 부족을 꼽았다. 이어 14.1%는 솔루션 도입과 전담 부서 신설 등 필요성에 대한 경영진의 인식 부족을 선택했으며, 12.6%는 사용 중인 솔루션으로 탐지가 어려운 고도화된 외부 공격을 선택했다.
또한 12.1%는 직원들의 피싱, 스팸메일에 대한 무분별한 클릭을, 9.8%는 자주 변경되는 정책과 제도 변화에 따른 혼란이라고 답했다. 이어 개인정보보호 관련 사내교육에 대한 임직원들의 비협조적인 태도(7.9%)와 잦은 부서 이동으로 전문성 결여(4.7%)가 뒤를 이었다.
그렇다면 개인정보보호를 위해 조직들은 어떤 솔루션을 사용하고 있을까? 가장 많이 사용한다고 답한 솔루션(복수 응답)은 바로 52.8%가 선택한 정보유출방지(DLP) 솔루션이었다. 또한 개인정보 암호화 솔루션이 51.9%로 뒤를 이었고, 개인정보 접속기록관리 솔루션이 40.2%를 기록했다. 이어 디지털 저작권 관리(DRM, 22.0%), 개인정보 비식별화(19.2%), 개인정보 라이프사이클 통합관리 8.4%, OCR 스캔 7.5%, 명의도용 차단 2.3% 등이 뒤를 이었다.
아울러 솔루션 선택 기준을 물어봤다. 솔루션의 성능을 꼽은 응답자가 25.7%로 가장 많았으며, 다양한 구축사례와 레퍼런스를 꼽은 응답자도 25.2%나 있었다. 도입 비용을 꼽은 응답자가 18.2%, 사내 IT 인프라 및 설비와의 호환성을 꼽은 응답자가 11.7%, 유지보수와 컨설팅 등 기술지원과 전문 인력의 수를 꼽은 응답자도 10.3%에 달했다. 또한 기업 브랜드 인지도(8.4%)와 특허 등 각종 인증 취득 이력(0.5%)도 선택받았다.
마지막으로 추가하고 싶은 개인정보보호 솔루션에 관해 물어봤다. 이번에는 개인정보 라이프사이클 통합관리 솔루션을 선택한 응답자가 37.9%로 가장 많았다. 개인정보 접속기록관리 솔루션이 27.1%로 뒤를 이었고, 정보유출방지(DLP) 솔루션이 23.8%, 개인정보 암호화 솔루션이 22.9%, 디지털 저작권 관리(DRM) 솔루션이 13.6%, OCR 스캔 솔루션이 9.8%, 명의도용 차단 솔루션이 7.5%의 선택을 받았다.
개인정보 보호와 활용, 개인정보보호 솔루션에 달렸다
4차 산업혁명의 원유, 혹은 디지털 시대의 원유라 불리는 데이터는 날이 갈수록 그 가치가 높아지고 있다. 그리고 그중에서도 가장 핵심 데이터로 꼽히는 것이 바로 개인정보다. 특히 데이터는 AI 산업이 발전하면서 더욱 빛을 발하고 있는데, 문제는 개인정보는 일반적인 데이터와 달리 무조건 활용이 가능하지 않다는 데 있다. 잘못 사용하면 개인정보 침해 사고가 될 수 있기 때문이다. 그러한 문제를 알기에 각국에서는 개인정보보호법을 강화하고 있고, 개인정보보호 솔루션은 그에 맞춰 개인정보 보호는 물론 컴플라이언스 준수를 위한 수단으로 활용된다.
이제 개인정보보호는 단순한 규제 준수를 넘어 기업의 신뢰와 ESG 경영의 핵심 요소로 잡고 있다. 업계에 따르면 글로벌 시장은 말할 것도 없고, 국내 시장도 연평균 10% 이상의 성장세를 보인다. 시간이 지날수록 데이터, 그중에서도 개인정보의 중요성은 커지고 있고, 안전한 활용에 대한 니즈도 지속적으로 증가하고 있는 만큼, 개인정보보호 솔루션 산업은 탄탄대로가 될 것으로 보인다.
▲위즈코리아 ‘위즈 블랙박스 시리즈’[자료: 위즈코리아]
[개인정보보호 솔루션 집중분석-1]
국내 최초, 시장점유율 1위 개인정보 접속기록 관리 솔루션
위즈코리아 ‘위즈 블랙박스 시리즈’, 완벽한 접속기록 생성 및 차별화된 AI 분석 기능 제공
끊임없이 진화하는 사이버 위협 환경 속에서 기업의 핵심 자산인 내부 정보를 안전하게 관리하는 것은 생존을 위한 필수 조건이다. 기업들은 외부 공격뿐만 아니라 내부자에 의한 개인정보 유출 사고의 심각성을 인지하고, 효과적인 내부 통제 시스템 구축에 집중하고 있다. 위즈코리아는 개인정보 접속기록이 내부 통제의 핵심 요소임을 강조하며 효과적인 보안 전략을 제시한다.
개인정보 접속기록, 내부 보안통제의 시작
개인정보 접속기록은 개인정보처리시스템의 사용자 접근과 행위(열람, 수정, 삭제, 다운로드 등)를 시간, 사용자, 접근 정보, 행위 내용과 함께 기록한 데이터이며, 시스템 전체의 동작을 포괄적으로 기록하는 이벤트 정보 중심의 단순 로그 기록과는 확연히 구별된다.
위즈 트레이스: 누락 없는 완벽한 접속기록 생성 및 데이터 정합성 보장
개인정보보호 솔루션에서 접속기록 생성은 비행기 블랙박스나 건물의 CCTV와 같이 기업의 소중한 개인정보 자산에 대한 접근 및 활용 상황을 상세하게 기록하는 핵심 기능이다.
△일체의 누락, 유실 없는 완전한 접속기록 생성(logging) △사용자 계정(ID)과의 완벽한 정합성 보장 △SQL 전문 및 결과값 기록 △조회된 정보주체명과 건수 기록을 통한 완벽한 법규 준수 지원이는 생성한 접속기록의 정합성을 보장하기 어려운 JAVA 필터 방식(DB구간 기록 불가)이나 네트워크 패킷 방식(패킷 유실로 기록 누락 발생 가능) 등과 차별화된 강점이다.
위즈 트레이스를 활용해 접속기록을 생성·관리하는 기업들은 다음과 같은 효과를 기대할 수 있다. △개인정보보호법, 정보통신망법 등 관련 법규에서 요구하는 기술적·관리적 보호조치 사항 충족 △사고 발생 시 유출 경로, 접근자, 유출된 정보의 범위 등을 정확하게 파악하여 재발 방지 대책 수립의 근거 제공 △법적 분쟁 발생 시 명확한 증거 자료로 활용 가능.
위즈 블랙박스 스위트: AI 기반의 개인정보 접속기록 분석 및 이상행위 탐지
위즈 블랙박스 스위트는 자체 개발 AI 모델인 ‘구름(GUREUM)’을 탑재해 시장 선도적 위치를 더욱 공고히 하고 있다. 이 AI 모델은 조직 내 다양한 시스템에서 숨겨진 위험 행위와 중요 데이터를 식별·분석하고, 사용자의 이상행위에 대응하여 치명적인 위험으로부터 피해를 최소화한다.
풍부한 실제 고객 경험을 통해 축적된 개인정보 접속기록 분석·관리 경험과 노하우를 바탕으로 개발된 AI 모델은 기존의 규칙 기반이나 통계 기반 분석 방식의 한계를 넘어서는 혁신적 접근법이다. △사용자의 평소 행위 패턴, 업무 맥락, 데이터 중요도 등을 종합적으로 학습△정상 행위와 이상 행위를 보다 정확하게 구분하는 지능적이고 효과적인 보안 체계 구축 △기업 내부의 실제 행위 데이터, 위협 로그, 감사 기록 등을 학습하여 조직의 환경에 최적화된 위협 인텔리전스 구축.
위즈 보드 플러스: 이상행위 소명/판정 및 통합 소명
개인정보 취급자에게 이상행위 소명기회 제공과 기업 내 결재 시스템이 반영된 정확한 판정 과정은 개인정보/보안 담당자의 업무부하 감소 및 법적 책임 분산을 가능하게 한다. 개인정보 사용에 대한 이상행위 소명뿐만 아니라 다양한 시스템 내 정보 사용에 대한 통합 소명이 가능하여 관련 보안업무의 효율을 높일 수 있다.
위즈 ALM(Account Log Management): 권한 변경 이력 관리
개인정보처리시스템의 접근 권한 부여, 변경, 말소 내역을 자동으로 기록하고 최소 3년 이상 안전하게 보관함으로써 ‘개인정보의 안전성 확보 조치 기준 제5조 제3항’을 효과적으로 준수할 수 있도록 지원한다. 이는 단순한 로그 기록을 넘어, 권한 이력의 완전한 추적성과 규제 준수 기반 마련에 핵심적인 역할을 한다.
▲삼오씨엔에스 ‘파르고스 v3.0’[자료: 삼오씨엔에스]
[개인정보보호 솔루션 집중분석-2]
공공기관 공공서비스 운영기관의 접속기록 보관 및 개인정보 관리수준 평가/점검 지원
삼오씨엔에스 파르고스 v3.0, 집중관리시스템 및 AI 이상행위 탐지 시스템
개인정보위원회는 2024년 개정 시행 중인 개인정보보호법 제29조 안전조치 의무 및 시행령 제30조 개인정보의 안전성 확보 조치 기준에 따라 개인정보 접속기록 보관 및 점검 활동을 강화하고 있다. 삼오씨엔에스의 파르고스 v3.0은 고객사의 대/내외 개인정보처리시스템에 적용되어 개인정보 접속기록관리 및 AI 지능형 이상행위 탐지 시스템으로 활용하고 있다.
집중관리시스템 및 AI 이상행위 탐지 시스템인 파르고스v3.0은 최근 대형 증권사 및 광역 도교육청 프로젝트를 수주, 구축하고 있다.
제품의 장점은, 기존의 개인정보처리시스템 단위별 통제에서 시스템과 조직(부서)의 통합 통제가 가능한 점이다. 예를 들어 17개 시도광역시 혹은 240여 기초단체 개별로 △통제정책 △예외정책 △소명 관리 정책 △보고서 점검 적용이 가능하다.
이용기관의 관리자가 이용기관 취급자를 점검 관리할 수 있어, “제17조 공공시스템(집중관리시스템) 운영기관의 접속기록 보관 및 점검” 항목을 완벽하게 지원한다. 또한 AI 이상행위 탐지 기능의 고도화 진행으로, 취급자 단위까지의 패턴 분석을 강화, 인사정보 변경 때마다 재학습하는 번거로움을 줄일 수 있게 된다.
파르고스v3.0은 개인정보 접속기록 관리 및 AI 이상행위 탐지 시스템으로서의 기술을 명실공히 인정받아, 2024년 12월 조달청 우수제품으로 지정된 바 있다.
AI 지능형 분석 환경은 통계 모델 접속기록 이상탐지 및 라벨링 적용(서울시 실증 사업 성공 및 한수원, 한전기술 운영 중)
파르고스 v3.0은 2020년 11월부터 2021년 12월 말까지 서울시에서 지능형 개인정보 접속기록관리 및 안정성 확보 조치 고시 이행점검시스템 실증 사업을 성공적으로 마무리했다. 제품은 AI 이상행위 탐지 시스템으로 지도학습 및 비지도학습 알고리즘을 적용했다.
또한 취급자의 여러 행동 패턴 탐지를 위한 분석기능 및 접속계정, 접속시간, 수행업무 등에 대한 룰 분석 기능이 포함되어 있다.
2023년 9월 개정 시행되는 개인정보위의 안전성확보조치 기준 준수를 위해 파르고스 v3.0은 △접속기록 관리 △이상행위 탐지 △소명처리 관리 기능이 되도록 개인정보 통합관제시스템으로 활용하고 있다. 이 기능을 통해 공공기관 개인정보 관리수준 진단 계획 중 ‘신기술 환경에서의 데이터의 안전한 활용 및 안전조치 적절성’에 대해 최대 10점의 가산점을 받을 수 있다.
제17조 (공공시스템 운영기관의 접속기록의 보관 및 점검)
파르고스 v3.0은 2023년 9월 시행되고 있는 개인정보의 안전조치 추가사항으로 △법 제29조 △시행령 제30조 △기준 제17조(공공시스템 운영기관의 접속기록 관리 및 점검)가 시행(24.09.15)됨에 따라, 집중관리시스템(이하, 공공시스템) 이용기관이 소관 개인정보취급자의 접속기록을 직접 점검관리 할 수 있는 기능을 제공하고 있다. 공공시스템에 접속한 자의 접속기록을 자동화된 방식으로 분석해 불법적인 개인정보 유출 및 오·남용 시도를 탐지하고, 그 내용에 대해 사유 소명 등 필요한 조치를 이행하는 기능이 구현되어 있다.
▲벨로크 규정관리 솔루션 ‘B-CMS’[자료: 벨로크]
[개인정보보호 솔루션 집중분석-3]
체계적인 규정관리를 통한 보안관리 효율성 향상
벨로크, 규정관리 솔루션 ‘B-CMS’로 국가 망 보안체계(N2SF) 안정적인 전환
‘국가 망 보안 체계(N2SF) 가이드라인’이 발표됨에 따라 보안체계가 새로운 패러다임을 맞이하고 있다. 업무망을 인터넷망으로부터 구분하고 격리하는 형태인 망분리 환경의 전통적인 경계 기반 보안 체계에서 벗어나, 공공데이터와 신기술을 활용한 업무 환경 구성을 위한 데이터 중심 보안체계로 변화함에 따라 ISMS-P와 같은 공공기관 및 기업에서 준수해야 하는 다양한 보안규정의 세부 내용도 개정·신설되는 등 많은 변화가 예상된다.
이에 벨로크의 규정관리 솔루션 ‘B-CMS’는 변화하는 보안관리 업무에 대응하기 위해 규정 내용의 지속적 관리와 보안업무의 이행, 인증/평가까지 보안팀에서 수행해야 하는 일련의 모든 규정관리 보안업무를 체계적이고 효율적으로 관리 할 수 있도록 돕는다.
체계적인 규정관리와 보안 업무를 돕는 규정관리 솔루션 ‘B-CMS’
‘B-CMS’는 보안 현장에서의 실질적인 요구를 반영해 설계된 규정관리 솔루션이다. 공공기관에서 매년 심사/평가를 받아야 하는 ‘사이버보안 실태 평가’와 금융기관과 기업에서 받아야 하는 ‘ISMS-P’ 등 공통 보안규정을 비롯해 기관 내부에서 자체적으로 운영하는 보안규정 등 비표준 규정까지 다양한 규정을 모두 지원한다.
특히, 각각의 기관에서 준수해야 하는 서로 다른 규정과 체계에 대응하기 위해 전담 기술개발 인력을 통해 현장에 최적화된 솔루션을 제공한다.
제·개정 되는 규정의 세부 내용을 지속 관리하고, 규정의 세부 내용에 따라 필요한 보안 업무를 적시에 이행 할 수 있도록 각각의 담당 부서와 사용자에게 할당해 관리자가 보안 업무의 이행 현황을 한눈에 확인하고 관리할 수 있어, 기관 전반에 대해 제한된 보안 전담 인력만으로 관리해 발생했던 업무 부하에 따른 누락·지연이 발생되지 않도록 한다.
기관에서 준수해야 하는 규정의 세부항목별 이행 현황을 솔루션으로 확인할 수 있어, 준수해야 하는 규정에 대해 현재 기관의 현황을 기반으로 자체적으로 평가해 심사 전에 미비점을 보완할 수 있고, 별도로 심사/평가에 필요한 산출물(보고서)을 정리하지 않아도 솔루션을 통해 일괄 출력할 수 있어 업무 시간을 단축하는 등 업무의 효율성을 더한다.
보안 업무 현장에 최적화된 솔루션
벨로크의 ‘B-CMS’는 현업 담당자의 목소리를 기반으로 기획된 현장에 최적화된 솔루션이다. 단순 제품 공급만이 아닌 위탁운영, 통합유지보수 등의 사업을 통해 현장에서 보안업무와 관리를 수행하며 고객과 함께 필요한 기능을 개발·적용했다.
매년 반복적으로 수행해야 하는 규정관리 업무 특성으로 이전 현황과 비교하거나, 여러 규정에 중복되는 항목에 대해 동일한 업무를 여러 번 수행하지 않도록 하는 등 업무 효율성과 편의성을 비약적으로 개선하고, 필요한 경우 각 기관의 업무 특성에 맞춰 최적화된 기능을 개발 및 적용해 고객으로부터 많은 관심을 받고 있다.
▲피앤피시큐어 개인정보 접속기록 관리 솔루션 ‘INFOSAFER’[자료: 피앤피시큐어]
[개인정보보호 솔루션 집중분석-4]
강화된 개인정보 보호 환경에 대응하는 현실적 기능 중심의 솔루션 고도화 전략 제시
피앤피시큐어, 개인정보 접속기록 관리 솔루션 ‘INFOSAFER’ 고도화 방향성 발표
강화된 개인정보보호 환경 속, 피앤피시큐어 ‘INFOSAFER’..실시간 탐지·AI 기반 위협 대응으로 진화
2025년 개인정보보호 환경이 급격하게 변화하고 있다. 강화된 법제도, 고강도 감독체계, AI 시대의 보안 위협이 맞물리며 기업과 기관의 개인정보 관리 책임이 더욱 무거워진 상황이다. 2025년 개정 개인정보 보호법이 본격 시행되면서 개인정보보호위원회(PIPC)는 제재 중심의 정책 기조를 명확히 하고 있으며, 공공·민간 부문을 막론하고 대규모 개인정보 유출 사고가 잇따르고 있다.
데이터 활용 범위가 넓어지는 만큼, 내부 오·남용과 외부 해킹으로부터의 위협도 확대되고 있다. 이에 따라 개인정보 접속기록 관리 솔루션의 중요성이 드러나고 있으며, 단순한 기록 기능을 넘어 실시간 탐지와 지능형 대응이 가능한 솔루션이 요구되고 있다. 피앤피시큐어는 이러한 요구를 만족하는 고도화된 개인정보 접속기록 관리 솔루션 ‘INFOSAFER’를 통해 개인정보 보호 체계 강화에 기여하고 있다.
실시간 개인정보 현황 파악..누락 없는 접속기록 생성을 지원
개인정보 접속기록 관리의 핵심은 보호할 개인정보 자산을 누락 없이 정의하는 데 있다. 접속기록 생성보다 먼저 보호 대상 자산을 명확히 식별해야 하며, 이 과정은 솔루션 설치 시점에 한 번만 수행하는 것이 아니라 주기적으로 반복되어야 한다.
INFOSAFER는 자체 내장된 ‘DB SCANNER’를 통해 데이터베이스에 저장된 개인정보를 자동 식별한다. 스케줄러에 따라 정해진 주기마다 자산을 정밀하게 스캔하고, 신규 생성되거나 삭제된 개인정보 자산을 자동으로 탐지해 보안 정책에 반영한다. 이를 통해 최신 보호 대상 현황을 유지하고, 접속기록 누락을 방지할 수 있다.
특히 최근에는 ‘RT(Real-Time) SCANNER’를 추가로 개발해 기능을 확장했다. RT SCANNER는 기존 DB SCAN 기능뿐만 아니라, DBSAFER에서 기록된 접근 로그를 실시간으로 분석해 개인정보를 검출한다. 이 방식은 데이터베이스 연결정보 없이도 탐지가 가능하며, 스캔 주기 사이에 생성된 개인정보까지 탐지할 수 있어 정밀성과 편의성이 강화됐다.
RT SCANNER에서 검출된 개인정보 자산은 INFOSAFER에 자동 등록되어 누락 없는 접속기록 생성을 지원하며, 검출 자산의 위험도에 따라 DBSAFER와 연동하여 접근통제나 마스킹 정책을 자동 반영할 수 있다. 향후에는 AI 기술을 적용해 정규식 기반의 탐지 한계를 보완하고, 컬럼명 학습을 통한 오탐 최소화를 추진할 예정이다.
위험탐지 고도화..시나리오 기반 탐지와 AI 규칙 추천 기능 탑재
INFOSAFER는 개인정보 접속기록 관리 솔루션 중에서도 정밀한 위험탐지 기능을 제공한다. 단순 룰 기반 탐지를 넘어, 사용자 정의 시나리오 구성과 개인정보 사용 패턴 학습 기능을 함께 제공한다. 개인이나 조직 단위로 개인정보 사용량, 시간, 접근 방식 등을 학습하고, 평소와 다른 이상 징후 발생 시 자동 탐지하는 방식이다.
특히 위험탐지를 위한 규칙 구성 시, 임계값 설정은 보안 관리자에게 큰 부담이 된다. INFOSAFER는 빅데이터 기반의 분석 기술을 활용해 적절한 기준값을 자동으로 추천함으로써 설정 부담을 줄이고, 운영 효율성을 높인다.
위험탐지는 AI 기술을 가장 효과적으로 적용할 수 있는 영역이다. INFOSAFER는 정적인 Rule 기반 정책을 넘어, 동적이고 맥락형인 AI 기반 탐지 체계로 고도화되고 있다. 이를 위해
AI 모델 간 연동을 표준화하는 MCP(Model Context Protocol) 기반 로그 변환 기능도 개발을 완료했다. 해당 기능을 통해 INFOSAFER의 접속기록 로그는 외부 AI 모델과 연동되어 지능형 분석과 대응이 가능해진다.
유연한 소명 기능으로 사용자 불편 최소화
접속기록 관리의 마지막 단계인 소명 절차도 INFOSAFER는 체계적으로 정비했다. 복잡한 결재선 설정을 별도 개발 없이도 구성할 수 있도록 설계되어 있으며, 인사정보와의 연동을 통해 자동 결재선 설정이 가능하다. 대결과 후결 등 다양한 결재 방식도 지원해 기관별 업무방식에 유연하게 대응할 수 있다.
또한 파일 다운로드와 같은 행위에 대한 소명 방식도 개선됐다. 기존 후소명 방식 외에도, 사유가 시스템상에 사전 등록되어 있을 경우 소명 없이 자동 연동이 가능한 ‘선소명 프로세스’를 도입했다. 이를 통해 소명 절차로 인한 사용자 불편을 최소화하면서도 개인정보보호 체계를 견고히 유지할 수 있다.
INFOSAFER, 통합형 지능 보안 플랫폼으로 진화 중
INFOSAFER는 단순한 접속기록 생성 도구가 아니다. RT SCANNER를 통해 실시간 개인정보 현황을 탐지하고, 다양한 시나리오 기반의 위협탐지 기능과 AI 연동 기반 대응체계를 갖추고 있다. 또한 유연한 소명 시스템은 개인정보 보호 실무자의 업무 효율을 높이고 사용자 편의성도 동시에 고려하고 있다.
피앤피시큐어는 향후 INFOSAFER를 ‘기록 중심’ 솔루션을 넘어 ‘통제 중심’ 플랫폼으로 고도화할 계획이다. 단순히 개인정보 접속 이력을 남기는 데 그치지 않고, 개인정보의 수집부터 폐기까지 전 과정에서 접근 주체, 접근 목적, 접근 정당성을 평가하고 기록하는 지능형 통합 보안 플랫폼으로 진화해 나갈 것이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
