본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

보안 점검, AI로 자동화! “개인정보 오남용 막는다”

2023.03.30

2021년 과학기술정보통신부의 정보보호 실태조사에 따르면, 개인정보 침해 상담 신고는 2016년 10만여 건에서 2021년 21만여 건으로 매년 증가하고 있습니다. 피해자들은 개인정보 유출로 인해 사생활 침해와 피싱, 스미싱 같은 사기성 범죄에 노출되는 등 심각한 피해를 경험하는 것으로 확인됐습니다.

[그림 1] 개인정보 침해 문제의 심각성 (출처: 한국인터넷진흥원)

개인정보 오남용 문제의 위험성을 단적으로 보여준 사례로는 전 국민에게 큰 충격을 안겨준 ‘N 번방’ 사건을 들 수 있는데요. 사회복무요원이 국민의 개인정보를 무단 조회해 오남용 한 사건입니다. 이처럼 공공기관은 업무 특성상 민감 정보를 포함한 개인정보를 다량으로 보유하고 있습니다. 공공기관 특성상 시스템 운영 담당자가 자주 바뀔 수 있기 때문에 오남용의 위험성은 더욱 커집니다. 이러한 문제를 방지하기 위해 많은 공공기관은 개인정보 통합 관제 시스템을 구축하고 있습니다. 통신사, 금융사 역시 많은 고객의 개인정보를 수집·저장·보유하고 있기에 공공기관과 마찬가지로 개인정보 오남용 관리가 무엇보다 중요합니다.

개인정보 보호법 법규 및 컴플라이언스에 대한 이해

최근 정부는 개인정보를 보유한 공공기관이나 민간기업의 책임을 확대하는 방향으로 개인정보 보호법 법규 및 컴플라이언스를 강화했습니다.

2020년 개정된 개인정보 보호법에 따르면, 단순 과실의 경우 형사처벌은 면제하되, 과징금 상한을 ‘위반 행위 관련 매출액의 3%’에서 ‘연간 총매출액의 3%’로 확대하며 법인에 대한 경제 제재를 강화했습니다. 이러한 규모의 과징금이 부과된다면 기업 이미지에 타격은 물론, 큰 위기를 맞을 수도 있는데요. 따라서 기업들은 충분한 투자를 바탕으로 개인정보 보호법 및 컴플라이언스 준수 방안을 확립하는 것이 필수적인 상황입니다.

[그림 2] 개인정보 침해사고 제재 (출처: 2020년 개정 개인정보보호법 개정안)

개인정보 보호법 제31조(개인정보 보호 책임자의 지정)에 따르면, 공공기관이나 기업의 개인정보 보호 책임자는 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제 시스템을 구축해야 합니다.

또한 ‘개인정보의 안정성 확보 조치 기준 해설서’의 제8조(접속기록의 보관 및 점검)에는 ‘개인정보처리자는 개인정보의 오‧남용, 분실‧도난‧유출‧위조‧변조 또는 훼손 등에 대응하기 위하여 개인정보 처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부 관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.’고 명시되어 있습니다.

위의 개인정보 오남용을 막기 위한 법규 관련 컴플라이언스를 정리하면 아래의 표와 같습니다.

[표 1] 개인정보 오남용 관련 컴플라이언스

각 항목에 대해 더 자세히 알아보겠습니다.

1) 개인정보 처리자는 개인정보 처리시스템의 접속 기록 등을 월 1회 이상 점검해야 합니다. 개인정보 안정성 확보 조치 기준 해설서에는 점검 시, 접속 기록상 탐지돼야 할 비정상 행위의 예시를 다음과 같이 명시하고 있습니다.

  •  계정: 접근 권한이 부여되지 않은 계정으로 접속한 행위
  •  접속 일시: 출근 전, 퇴근 후, 새벽, 휴무일 등 업무시간 외에 접속한 행위
  •  접속 장소: 인가되지 않은 단말기 또는 지역(IP)에서 접속한 행위
  •  정보 주체: 특정 정보 주체에 대해 과도하게 조회, 다운로드 등의 행위
  •  접속 빈도: 짧은 시간에 하나의 계정으로 여러 지역(IP)에서 접속한 행위

2) 개인정보를 다운로드한 기록이 발견되면 반드시 그 사유를 확인해야 합니다. 다운로드 사유를 확인해야 하는 기준의 예시는 비정상 행위의 기준과 유사하게 정보 주체 수, 다운로드 빈도, 업무시간 외 다운로드 등으로 제시돼 있습니다. 명확한 기준이 있는 항목도 있지만 비정상 행위에 대한 구체적인 정의와 기준이 필요한 내용도 다수 존재합니다.

개인정보 오남용 점검 자동화 솔루션 AI 활용방안

하지만 개인정보 오남용을 완벽하게 탐지하기는 매우 어렵습니다. 이러한 어려움을 AI 기술로 극복할 수 있는데요. LG CNS의 ‘SecuXper AI 개인정보 오남용 점검 자동화 솔루션’은 네 가지의 AI 활용방안을 제시합니다.

[표 2] 개인정보 오남용 탐지의 어려운 점과 AI 활용방안

1) 개인정보 취급 중요도 프로파일링 기능은 개인정보별 취급 중요도를 관리하는 기능입니다. AI가 개인정보 보유 현황의 현행화를 도와주는 개념인데요. 기존의 개인정보 처리 시스템 관리 업무는 시스템 구축 시, 데이터 소스별 개인정보·민감정보 포함 여부 등을 최초로 작성해야 합니다. 이후 테이블 추가, 컬럼 추가 및 삭제 등의 변경 사항들을 매번 현행화하기도 만만치 않습니다. 또한, 시스템이 적절히 관리되고 있는지 확인하기 어려운 경우도 많습니다.

개인정보 취급 중요도 프로파일링 기능은 개인정보 접속 로그의 쿼리에서 사전에 관리되는 개인정보 관련 컬럼명과 함께 유사 컬럼명 항목을 추출하거나, 웹 접속 기록에서 관리되는 개인정보 관련 파라미터 항목과 함께 유사 파라미터 항목을 추출합니다. 이 과정을 통해 개인정보 포함 테이블과 메뉴에 대한 일차적인 관리를 자동화하는데요. 관리자는 관련 화면에서 추가로 AI가 판정해 준 개인정보 포함 테이블이나 메뉴를 신속하게 검증하고, 등급에 따른 접근 권한을 부여 및 회수하도록 관리할 수 있습니다.

2) 업무시간 판정 기능은 개인정보 취급자의 개별 업무시간을 판정합니다. 유연 근무제나 해외근무자에 대한 출입 로그 등을 기반으로 개별 업무시간에 적용해 ‘업무시간 외 처리’에 대한 정확도를 향상시킵니다.

3) 급증이상 판정 기능은 접속기록 내 비정상 행위 중 ‘과도한 접근’을 탐지합니다. 기존의 고정된 임계치 기준으로 탐지하면, 담당 업무나 역할에 따라 개인 정보에 빈번하게 접근하는 취급자에 대한 반복적인 탐지가 발생합니다. 이를 해결하기 위해서는 취급자별 과거 이력 분석을 바탕으로 본인의 과거 대비 급증이상 기준을 동적으로 적용해야 합니다. 이를 통해 개인별 ‘과도한 접근’을 탐지할 수 있고, 같은 방식으로 조회 건수/휴일/야간/조회 결과의 사이즈 등 다양한 항목에 대해 유의미한 급증이상을 탐지할 수 있습니다.

4) 개인정보 취급자 프로파일링 기능은 앞서 언급된 AI 판정 모듈의 결과들을 종합해 개인정보 오남용 위험도가 높은 취급자들을 판별합니다. 기존 시스템은 오남용 탐지를 위해 대량의 시나리오가 필요하고, 시나리오별 과탐이 발생될 경우 탐지 대상에 대한 전수 점검에 많은 시간이 소요됩니다. 이에 비해, 프로파일링 모델은 개인정보 취급 중요도, 업무시간 여부, 급증이상 여부 등 파생 변수를 종합적으로 판단해 점검 우선순위를 제시합니다. 점검 및 소명 처리 대상에 대한 판정이 효율적으로 진행될 수 있도록 도와주는 것이죠.

개인정보 오남용 점검 자동화 솔루션 향후 고려사항

개인정보 오남용 점검 자동화 솔루션에서 AI를 활용 시 고려해야 할 3가지를 알아보겠습니다.

[그림 3] 설명가능한 AI

1) 기존 룰 기반 시나리오로는 탐지하기 어려웠던 ‘잠재된 위협’을 탐지하려면 이상 징후 탐지에 업무별 고유 정상 패턴을 학습시켜야 합니다. 그리고 비지도 학습을 활용해 정상 패턴을 벗어난 비정상을 찾도록 해야 하는데요. 이는 하향식 접근 방식이 아닌, 상향식 접근 방식으로서 다량의 데이터 분석을 통해 예상치 못한 인사이트 도출이 가능합니다.

2) 개인정보 오남용 점검의 기준은 법적 규제이며, 이에 따라 소명 대상자에게 제시할 근거는 명확해야 합니다. 따라서, 프로세스 자동화를 위한 AI 탐지 결과에 대한 설명이 필요한데요. 근거 있는 AI 탐지 결과를 위해서는, 우선 다수의 탐지 대상에 대한 적절한 파생 변수를 뽑아야 합니다. 모델은 이를 바탕으로 탐지 결과를 도출하도록 하고, 탐지 건 별 파생 변수 값을 탐지 결과와 함께 제공해야 합니다. 최대한 다양한 파생 변수를 추출하고 설명 가능한 AI를 적용하면 설명력을 확보할 수 있는 것이죠.

3) AI 모델 적용은 일회성 구축으로만 끝내는 것이 아닙니다. 운영 시 추가로 도출되는 점검 노하우를 반영해 추가 라벨링과 모델 업데이트를 관리해야 합니다. 또한 AI 탐지 결과 기반의 추가 인사이트로 시나리오를 정교화할 수 있는 플랫폼 구축이 필요한데요. 이를 통해 AI 모델의 성능 고도화와 시나리오 정교화가 선순환 구조를 이루며, 지속해서 개선될 수 있습니다. 결과적으로 점검 업무 자동화가 가능한 수준으로 나아갈 수 있는 것이죠.

[그림 4] 지속적인 AI 모델의 관리를 통한 점검 업무 자동화

지금까지 개인정보 보호법 법규 및 컴플라이언스를 기준으로 개인정보 오남용 점검 자동화를 위한 AI 활용 방안과 향후 고려 사항에 대해 살펴보았는데요.

관련 법규와 컴플라이언스 내용과 같이, 개인정보 접속 기록에서 탐지해야 하는 비정상 행위는 담당자의 사전 지식과 경험에 따라 다양한 시나리오 및 기준이 적용될 수 있습니다. 즉, 일관성이 있는 기준을 마련해 자동화하는 것이 핵심인데요. AI는 조회 대상 데이터의 개인정보 포함 여부 판단, 다양한 업무시간 패턴 및 조회 등 업무 패턴에 대한 개인화된 분석, 다양한 변수를 종합적으로 고려해 집중 점검 대상을 판단합니다. 그 판단을 기반으로 개인정보 오남용 점검에 대한 일관된 기준을 마련하고 자동화합니다.

개인정보 오남용 점검 자동화에서 AI를 활용 시, 데이터 자체를 분석해 담당자의 지식만으로는 도출하기 어려웠던 새로운 탐지 룰을 찾는 것도 고려해야 합니다. 또한 모델의 탐지 결과가 설명 가능하도록 설계해, 모델 성능을 지속적 해서 관리할 수 있는 플랫폼을 구축하는 것이 중요합니다.

개인정보 침해 방지! 그 중요성은 아무리 강조해도 지나치지 않은데요. LG CNS의 개인정보 오남용 점검 자동화 솔루션 SecuXper AI로 개인정보 보호의 새로운 패러다임을 구축해 보는 건 어떨까요?

ChatGPT와 AI시대, 보안전문가 생존전략이 궁금하다면?

글 ㅣ 보안서비스Innovation팀 박수현 선임

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

목록

관련 아티클

챗봇과 대화를 할 수 있어요