체계적인 선행준비와 ‘보안 프레임워크’ 도입 통한 확보 필요


[보안뉴스=최 용 한국IBM GTS 차장] 개인정보보호법이 지난 3월말로 계도기간이 만료되면서 행정안전부에서는 본격적인 실태조사와 위반행위에 대한 점검과 철저한 관리 감독을 할 것이라고 밝힌 바 있다. 기업 입장에서는 개인정보보호법 실태 점검에서 요구하는 ‘안전성 확보조치’를 더 이상 피해 갈 수 없는 현실이다.

안전성 확보조치 미비로 인한 벌칙과 과태료는 누적 적용이 가능해 위반 행위에 따라서 기업은 최대 억대의 과태료를 물어야 하며, 기업의 정보보호 담당자 개인에게는 돌이킬 수 없는 상처로 남게 된다.

이에 따라 기업과 정보보안 담당자들은 당장 실태조사에서 과태료와 처벌을 피하기 위한 안전성 확보조치를 울며 겨자 먹기로 준비하고 있는 실정이며, 안전성 확보 조치를 위한 솔루션 도입 요건으로는 가격과 성능을 가장 중요시 여기고 있다.

다시 말해 당장 눈앞에 닥친 안전성 확보조치의 항목에 대한 실태 점검을 모면하고자 장기적인 계획이 수립되지 않은 채 말 그대로 실태 점검 대비를 위한 솔루션 도입을 서두르고 있는 실정인 것이다.

이러한 현실은 개인정보보호법이 추구하는 ‘종합적인 개인정보보호 관리체계의 지속적인 유지를 통한 유출위험 최소화 및 대비’에 어긋난다고 할 수 있다. 개인정보보호법은 과태료와 벌칙을 통해서 기업의 이미지와 개인에게 불명예를 주기 위해서 만들어진 법률이 결코 아니라는 점을 알아야 한다.

개인정보보호법의 원래 취지인 ‘종합적인 개인정보보호 관리체계의 지속적인 유지를 통한 유출위험 최소화 및 대비’를 위해서는 다음과 같은 사항을 고려해야 할 것이다.

안전성 확보 조치를 위한 선행 준비 필요
개인정보의 안전성 확보조치를 위한 선행 준비과정에서는 먼저 이미 도입되어 운영하고 있는 솔루션들에 대한 분석을 통해서 이미 도입 및 운영하고 있는 솔루션들 중 개인정보보호법의 안전성 확보 조치 기준에 부합하는 솔루션을 먼저 구분해야 한다.

둘째로 개인정보 안전성 확보 조치 기준을 부합하기 위한 관리적·기술적·물리적 보호 조치에 대한 솔루션을 도입 운영하기 전에 기존 업무에 대한 영향 및 파급효과에 대한 분석을 통해서 기존 비즈니스 환경을 해치지 않은 솔루션과 방법론을 선택해야 한다.

특히, 개인정보 암호화의 경우 암호화 솔루션에 대한 검토보다 암호화로 인한 비즈니스 영향 분석이 반드시 선행되어야 하는 과제라 할 수 있으며, 이를 통해서 성능저하를 최소화하는 방법론과 솔루션으로 암호화를 진행하여야 한다. 하지만 대부분의 회사의 경우 이를 간과 하는 경우가 대부분이다. 대부분의 기업은 업무 파급 효과와 영향분석은 외면한 채 암호화 솔루션의 가격과 성능을 도입 시 가장 우선적으로 고려하고 있는 실정이다.

◇ 안전성 확보 조치를 위한 선행 준비 단계
단계
업무
내용
1단계
기존 도입 운영중인 솔루션에 대한 분석
-개인정보 보호법의 안정성 확보 조치 준수여부 확인
2단계
개인정보의 안전성 확보 조치 이행에 따른 비즈니스 파급 효과 분석
-관리적·기술적·물리적 보호 솔루션 도입에 따른 비즈니스 파급효과 분석 -개인정보 암호화에 따른 비즈니스 파급효과 및 영향도 분석
3단계
개인정보의 안전성 확보 조치에 대한 이행 계획 수립
-관리적·기술적·물리적 보호 조치 솔루션 검토
4단계
선행 가능한 관리적 보호 조치 시행 및 단기 도입 시작
-선행 가능한 관리적 보호 조치 시행 및 중장기 도입 계획 수립


보안 프레임워크를 통한 개인정보 안전성 확보
위에서 말한 방법론대로 개인정보의 안전성 확보조치를 구축했다면, 문제는 다 해결될까? 위에서 언급한 실태조사 및 점검을 위한 개별 솔루션 개념의 안전성 확보조치를 갖추었다고 할지라도 ‘종합적인 개인정보보호 관리체계의 지속적인 유지를 통한 유출위험 최소화 및 대비’의 측면에서 아직 부족하다고 할 수 있다. 그렇다면 어떻게 ‘종합적인 개인정보보호 관리체계의 지속적인 유지가 가능한 안전성 확보’에 다가갈 수 있을까?

답은 보안 프레임워크를 구축해야 한다. 기업이 보안 프레임워크를 구축한다는 것은 2가지 의미를 갖는다.

첫째는 ‘통합화된 형태(Integration)’라는 것이다. 개인정보 안전성 확보 조치에서 나열하고 있는 접근권한, 접근통제 시스템 운영, 비밀번호 관리 및 접속기록 보관이 개별 솔루션으로 도입 및 운영되는 것이 아니라, 하나의 통합화된 형태로 유기적인 협업 관계로 운영되어야 한다는 것이다. 일반적으로 기업에서 정보 유출사고 발생시에 이에 대한 추적 및 원인 분석이 오래 걸리는 이유도 바로 통합화된 형태로 구축되어 있지 않기 때문에 유출 사고 발생시 개별솔루션에서 발생한 로그에 수집 및 상관관계 분석에 많은 시간을 필요로 하고 있다.

둘째는, ‘유지 및 지속 가능한 관리체계’라는 것이다. 단순한 단편적인 솔루션 도입이 아니라, 기업에서 지켜야 하는 법규와 그 법규에서 규정하고 있는 안전성 확보조치에 대해서 기업의 인프라(PC, 네트워크), 애플리케이션(웹서버 및 중요업무 서버), 데이터(고객정보DB(개인정보)), 사람(관리적 측면) 등 여러 측면에서 지켜야 하는 관리적·기술적·물리적 보호 조치를 반영한 보안 프레임워크를 구축해야 한다.
 

▲보안 프레임워크.

 
이 보안 프레임워크를 통해서 기업은 통합화된 형태의 ‘종합적인 개인정보 관리체계’를 구축하고 기존에 구축한 안전성 확보 조치에 대한 부족한 부분을 보완함으로써 ‘지속적인 유지’를 통해서 더욱 더 강화해 나갈 수 있다. 따라서 기업은 개인정보보호법 준수를 위한 개인정보 안전성 확보조치 계획과 함께 보안 프레임워크 구축 및 도입을 반드시 고려해야 할 것이다.
[글_최 용 한국IBM GTS 차장]
 
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>