어느덧 개인정보보호법이 제정된 지 10년이 넘었습니다. (2011. 3. 29) 일부 개정됐으나 이 법에 따른 개인정보의 안전성 확보조치 기준은 제4조(내부 관리계획의 수립·시행), 제5조(접근 권한의 관리), 제6조(접근통제), 제7조(개인정보의 암호화), 제8조(접속기록의 보관 및 점검), 제9조(악성 프로그램 등 방지), 제10조(관리용 단말기의 안전조치), 제11조(물리적 안전조치) , 제13조(개인정보의 파기)로 고시됐습니다.
이 중 제7조(개인정보의 암호화)에 대한 사항은 초기 법 제정 시 암호화에 많은 어려움이 있어 시행 시기를 1년간 유예하는 사항도 있었는데요. 지금은 여러 영역에서 개인정보에 안전조치가 이뤄지고 있다고 볼 수 있습니다. 법의 제정으로 암호화 기능을 제공하는 다양한 솔루션이 시장에 활성화됐으며, 이로 인한 매출은 꾸준히 늘고 있습니다.
이미 많은 기업이 이런 암호화 적용에 대비하고 구현을 완료했는데요. 중앙에서 효과적으로 집중적으로 관리할 수 있는 체계를 만들어 관리하는 부분은 아직 보완이 필요한 기업도 있습니다. 이를 위해 중앙에서 통제가 가능한 방안을 적용한 한 기업의 사례를 알려드리겠습니다. 이 사례가 각 업무별 암호화에 대한 응대를 하는 수준에서 중앙 관리가 가능한 통합 관리 체계를 고려하는데 도움이 될 것입니다.
중앙 관리를 위한 제반 요건
사례의 기업은 둘 이상의 금융권 기업의 적용 사례를 조합해 제시해 드립니다. 암호화를 중앙에서 제어하기 위해서는 기존의 암호화 정책 외에 추가로 관련 정보를 시스템을 통해 관리할 수 있는 방안이 필요합니다. 보통 기업에서는 메타 시스템을 이용해 도메인/용어에 대해 전사 표준을 관리하고 있으므로 이를 활용하면 될 것입니다.
사례의 기업에서도 메타 시스템을 이용해 중앙에서 관리하는 상황이었는데요. 여기에 개인정보 관리를 위한 기능을 부가적으로 요청했습니다. 그래서 도메인별로 개인정보 여부를 식별하도록 했습니다. 그리고 개인정보로 식별되는 경우 암호화 여부 및 유형(단방향, 양방향), 마스킹 여부 및 유형(항목별 패턴 정의), 비식별화 방안을 관리하도록 했죠. 이렇게 메타에서 관리된 사항을 토대로 추후 전체 시스템에 대한 개인정보 포함 여부와 그 목록을 추출 관리할 수 있게 됐습니다.
이와 더불어, 적용 예외를 위한 권한 정보 관리방안을 마련했는데요. 이 정보는 전사 권한 관리시스템을 통해 관리됐습니다. 그리고 사용자의 개인정보 처리 화면에 대한 접근 권한 관리, 역할 기준으로 개인정보 마스킹 해제 처리를 관리하도록 했습니다. 이 시스템을 통해 개인정보에 대한 접근 권한 부여에 대한 승인 관리를 통합하도록 했죠. 또한, 마스킹 예외 권한이 있는 사용자의 화면 처리 시 관련 역할 정보를 점검 및 이력을 로깅 하도록 준비했습니다.
다음으로 정책적으로 모든 권한 부여 로직은 각 업무에서 구현하지 않고, 권한 관리시스템을 통해 정보를 처리하도록 단일화했습니다. 일부 권한 관리에서 적용하지 못하는 대상자에 대해서는 권한 관리에 적용된 기능 중 사용자 관리 부분의 기능을 각 업무에서 구현하도록 예외로 허용하기도 했습니다. 이때에도 권한 관리에서 리소스에 대한 관리를 통해 사용자에 특정 역할을 부여하는 부분의 관리로 한정해 적용했습니다.
본 사례는 이러한 제반 요건을 이미 구현한 기업 또는 구현을 계획 중인 기업에 적용하는 방안입니다. 중앙 관리를 위한 메타시스템, 권한 관리 시스템이 운영 중이 아닌 기업에서는 이를 선행할 필요가 있습니다.
암호화 적용 방안
이미 메타에서 정의가 되어 있는 정보를 토대로 암호화를 적용하게 됩니다. 여기서 말하는 암호화는 DB 저장 시 암호화를 의미하는데요. 사례의 기업은 API 방식의 암호화를 적용했습니다.
프레임워크를 통해 개발자가 DB IO를 요청하는 경우, 항목별로 메타 시스템의 용어에 등록된 개인정보 암호화 유무를 통해 확인하게 되는데요. 이 정보를 통해 개발자가 요청한 암복호화를 자동으로 수행하도록 했습니다. 즉, DB에 저장하는 경우 메타에 있는 값을 통해 암호화 대상의 유형에 따른 API를 호출해 암호화를 적용하고, 반대로 DB에 있는 값을 추출하는 경우 메타에 있는 값을 통해 암호화 대상의 유형에 따른 API를 호출해 복호화를 적용했습니다.
초기에는 암호화 항목별 키를 유지하는 정책이 있었습니다. 그래서 프로그램 개발 시점에 개발자가 관련 정보를 property로 설정하도록 했는데요. 내부 사정으로 이를 항목별 키로 유지하지 않도록 해 별도의 Property 설정 작업이 필요 없게 개선했습니다. 이를 통해 개발자로서는 플러그인 방식에 준하게 공수를 덜 수 있게 됐습니다.
이렇게 구성함으로써 메타에서 정의된 개인정보 항목에 대해 암복호화가 DB로 처리될 때 자동으로 구현돼 컴플라이언스 요건에 대한 중앙 관리가 가능해졌습니다.
DB 암호화 적용 방안을 File System 또는 DB에서 제공하는 플러그인 암호화 방식으로 적용하는 경우, 관련 솔루션 제공사를 통해 연동 방안을 별도로 고민해 보시길 추천합니다. 그럼 이처럼 중앙에서 관리된 항목과 연동을 통해 관리할 방안이 충분히 도출될 것입니다.
마스킹 적용 방안
앞서 제시한 암호화 적용과 유사한 방식으로 마스킹 적용을 프레임워크에서 제공하도록 했습니다.
프레임워크를 통해 개발자가 DB IO를 요청하는 경우, 항목별로 메타 시스템의 용어에 등록된 개인정보 마스킹 유형을 통해 확인하게 됩니다. 이 정보를 통해 개발자가 요청한 마스킹을 자동으로 수행하도록 했죠. 즉, DB에 있는 값을 추출하는 경우 메타에 있는 값을 통해 마스킹 대상의 유형에 따른 API를 호출해 마스킹을 적용했습니다. 단, 업무상 마스킹 예외가 필요한 때를 대비해 권한 관리시스템에서 관리되는 마스킹 해제 권한을 참고했고, 마스킹 해제 권한이 있는 경우 마스킹을 적용하지 않도록 반영했습니다.
이렇게 서버 사이드에서 마스킹을 하게 되어 마스킹에 대한 중앙관리 역시 가능해졌습니다. 다만, 조회, 출력, 다운로드 등 업무 세분화에 따른 마스킹 유예 권한을 처리하게 되는 경우, 역할별로 관련 기능을 설정하려다 보니 세분된 역할 관리에 따른 업무 복잡도가 높아지는 현상이 발생했습니다. 따라서 관련 기능에 대해서는 세분화하지 않는 적정한 수준의 방안을 찾는 것이 효과적일 것으로 보입니다.
비식별화 적용 방안
비식별화 역시 앞서 제시한 암호화 적용과 유사한 방식으로 제공할 수 있습니다. 사례가 적용된 기업의 경우, 비식별화의 요건에 대해 테스트 데이터 변환 업무와 AI 사용을 위한 통계 분석 작업에 이를 이용하는 때도 있었습니다.
비식별화는 정형화된 업무 형태와 비정형화된 업무 형태로 나눠 볼 수 있습니다. 정형화된 업무에 대해서는 앞서 설명해 드린 방안을 동일하게 제공할 수 있습니다. 차이점이 있다면 프레임워크를 통하는 경우도 있지만, 별도의 추출 프로그램을 사용하는 경우가 많다는 것입니다. 예를 들어, 테스트 데이터 변환 솔루션 등이 그렇습니다. 테스트 변환 솔루션은 DB에 접속해 변환이 필요한 요건에 따라 동작하도록 구성됩니다. 이 과정에서 메타시스템에 있는 정보를 이용해 처리하도록 강제화합니다.
비식별화는 용어에서 느껴지는 것처럼 다양한 추출 프로그램을 통해 처리되는데요. 이러한 특성 때문에 중앙에서의 관리가 프레임워크를 통한 관리보다 어렵습니다. 따라서 비식별화된 데이터를 사용하기 위한 절차를 만들어 승인을 받도록 하는 등 부가적인 통제 장치를 마련해 보완하게 됩니다.
마치며
지금까지 개인정보 안전성 확보 조치 기준에 있는 개인정보 암호화를 중앙에서 통제하는 사례를 살펴보았습니다. 이를 요약하면, 메타와 권한 관리 시스템에서 관련 설정 정보를 관리하도록 하고 이를 구현을 하는 업무 프레임워크에서 자동화할 방안을 제공하는 것입니다. 이미 적용한 기업이 있을 수도 있고, 이 사례보다 더 좋은 방안을 적용한 기업도 있을 것입니다.
그동안 개인정보 암호화를 중앙에서 통제하지 않고 각 업무 담당자에게 개별적으로 처리하도록 요구한 경우, 이러한 사례를 통해 개선을 고려해 볼 수 있습니다. 단, 모든 일에는 업무를 맡아서 진행할 수 있는 담당자와 해당 업무 수행을 위한 제반 여건을 만들어 주는 경영진의 의지가 매우 중요합니다. 이러한 제반 여건이 갖춰지지 않는 상황에서 중앙 통제를 하고자 하면 관련 담당자 R&R에 따른 충돌만 야기하게 되는 상황이 될 것입니다.
개인정보보호법이 제정된 지 10년이 넘어선 지금, 개인정보 안전성 확보 조치를 한 단계 높일 수 있는 컴플라이언스 요건에 대한 경영진의 준수 의지가 필요한 때입니다. 이를 토대로 관련 담당자가 중앙에서 효과적으로 업무 관리할 기회가 되길 바랍니다.
글 ㅣ LG CNS 사이버시큐리티팀 최원규 총괄