개인정보호보법은 개인정보의 유출, 오용, 남용을 방지함으로써 사생활 등의 비밀을 보호하고, 개인의 존엄과 가치를 구현하기 위해 규정된 법입니다. 개인정보보호법은 2011년 3월 첫 공포돼 2012년 9월에 전면 시행됐는데요. 변화하는 사회환경, 새로운 기술에 대응하기 위해 2023년 9월 전면 개정이 이루어졌습니다.
이번 법 전면 개정에서 주목할 부분은 공공분야 개인정보 처리의 안전성 강화입니다. 개인정보보호법은 공공부문에서 발생하는 개인정보 침해 사고 근절을 위해 대규모 공공시스템을 운영하는 공공기관의 안전조치 의무를 강화하고, 개인정보 파일 등록, 개인정보 영향평가 등 제도를 보완했습니다. 특히 공공시스템의 개인정보 유출로 발생할 수 있는 국민의 피해를 방지하기 위해 공공시스템 운영기관에 대한 안전조치 특례를 신설했습니다. 그러나 개인정보유출 문제는 공공뿐만 아니라 일반 기업에서도 우려하고 있는 사회문제이기도 합니다.
개인정보 접속기록 관리 솔루션의 등장
기업과 공공기관이 개인정보를 보호해야 하는 이유는 △개인 신원 정보 도난 방지 △기업의 무분별한 데이터 활용 방지 △범죄 피해 예방 △사회적 불이익 방지 △미래 보안 위협 예방 등이 있습니다. 이를 위해 기업과 공공 기관은 통합 로그 관리 솔루션을 활용하거나 변화하는 개인정보보호법 규정에 맞춰 솔루션을 다시 개발해 사용하는 것이 일반적이었는데요. 해당 방법은 시스템 초기 구축 이후 운영 및 유지 보수 비용이 증가한다는 단점이 있습니다. 부분적인 시스템 확장의 경우 기존 개인정보보호 처리 대응 누락, 기록 누락 문제 등이 발생하기도 했습니다.
강화되는 법적 규제에 대응하기 위해 개발자와 운영자 및 개인정보보호 담당자의 업무 부담이 증가함과 동시에 개인정보 접속기록 관리 솔루션에 대한 관심이 높아지고 있습니다. 법과 제도가 변하면서 다양한 솔루션이 도입, 검토됐는데요. 개인정보 접속기록관리 솔루션에 대한 수요가 높아지며 효율적인 개인정보관리를 제공하는 새로운 기술이 시장에 등장하고 있습니다.
개인정보보호법 제29조(안전조치의무) 조항에는 “개인정보처리자는 개인정보가 분실, 도난, 유출,위조, 변조, 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 해야 한다”고 규정돼 있습니다. 또한, 개인정보의 안전성 확보조치 기준 제8조에선 “개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관, 관리해야 한다. 다만, 5만 명 이상의 정보 주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관 관리해야 한다”고 규정했습니다. 개인정보시스템 접속기록의 보관기간은 2024년부터 3년 이상, 2025년부터는 5년 이상으로 확대될 것으로 예상되고 있습니다.
개인정보 접속기록관리 솔루션이 제공하는 기능!
개인정보 처리시스템 접속기록은 기본적으로, 개인정보취급자 등이 개인정보처리시스템에 접속해 수행한 업무 내역에 대한 개인정보취급자의 계정, 접속 일시, 접속지 정보, 처리한 정보주체, 수행 업무 등을 전자적으로 기록한 것입니다.
1. 자동화된 개인정보 접속기록의 생성 및 수집을 제공
개인정보 접속기록관리 솔루션은 육하원칙 형태로 표준화된 개인정보 접속기록을 수집하고, 개인정보 처리시스템의 소스 코드 수정 없이 접속기록을 생성, 수집할 수 있습니다. 이전에는 응용시스템 내에서 개인정보 접속기록관리 처리를 위한 공통 모듈을 개발하거나, 필요시 로그통합솔루션과 연동해 접속기록을 수집, 분석(파싱, Parsing, 데이터를 분해 분석하여 원하는 형태로 조립하거나 빼내는 프로그램), 처리, 보관을 해야만 했습니다. 이는 응용 개발자의 개발 시간과 노력 비용이 수반됐고, 초기 구축 이후 추가, 수정되는 과정에서 적용이 필수적인 공통 모듈이 누락돼 처리 기록이 남지 않게 되는 문제점이 발생했습니다.
개인정보 접속기록관리 솔루션은 N/W 프록시, WEB/WAS(Web Application Server, 웹 서버가 요청을 받으면 애플리케이션에 대한 로직을 실행해 웹 서버로 다시 반환해주는 소프트웨어) 설치 모듈, DB 프록시 등을 연계해 접속기록에 대해 자동화된 수집과 분석 기능을 제공합니다.
2. 법에서 요구하는 보안처리 규제에 따라 개인정보 접속기록을 안전하게 보관
개인정보 접속기록솔루션은 다음과 같은 처리 과정을 거칩니다.
1. 개인정보 접속기록을 수집 후 Elastic 엔진(정형, 비정형 데이터 등 모든 유형의 데이터를위한 무료 검색 및 분석 엔진)을 사용해 통계 및 분석 작업을 진행합니다.
2. 다양한 솔루션에서 제공하는 방식으로 접속기록 원본에 대한 위·변조 방지하는 Hash(다양한 길이를 가진 데이터를 고정된 길이를 가진 데이터로 매핑(mapping)한 값) 정보를 생성합니다.
3. 국정원에서 인증하는 방식으로 접속기록을 암호화해 위·변조, 도난, 분실되지 않도록 보관 관리 방안을 제공합니다. 최근에는 ‘S3’ 등의 저렴한 스토리지를 사용해 클라우드 환경에서 대인정보 접속기록을 안전하게 보관하는 것도 가능합니다.
3. 이상 행위, 오남용 탐지
개인정보의 생성, 수정, 삭제, 조회, 다운로드 등 이용행위에 따른 처리 단계별 현황과 개인정보를 취급하는 업무 담당자별, 부서별 개인정보 접속기록을 관리할 수 있습니다. 또한 개인정보 오남용 등 이상 행위에 대한 소명 기능을 제공해 법/규정 준수와 개인정보 유출 사고 모니터링, 예방, 사후 관리가 가능합니다.
4. 개인정보 접속기록에 대한 통계, 분석 보고서 지원
접속기록의 처리 현황과 분석, 통계를 바탕으로 다양한 개인정보 접속기록 보고서, 이상행위 분석, 다운로드 이력관리 등 개인정보 접속 현황과 행위를 분석할 수 있도록 보고서를 제공합니다. 특히 기업과 공공기관의 개인정보보호 담당자에게 다양한 통계 분석 보고서 기능을 제공함으로써 개인정보 담당자의 업무 효율성을 높일 수 있도록 지원합니다.
개인정보 접속관리솔루션 도입을 준비한다면
• 구축 방식
개발 서비스환경에서의 최대한 사전 이슈 식별이 필요하며, 운영 장비의 자원 사용률 사전 파악 역시 필요합니다. 기존 서비스의 자원 소모율이 높은 경우엔 자원을 사전에 증설한 후 솔루션을 설치해야 합니다.
• 프로젝트 수행 시 고려 사항
솔루션 구축 시 IT 담당 조직, 운영자, 유관 팀과 긴밀하게 협조해 진행하는 것이 필요합니다. 또한 프로젝트 구성원 멤버 선정 시 경험이 많은 인원을 선별해 구축 진행하는 것이 중요합니다.
LG CNS는 다수의 보안 전문가와 높은 기술력을 바탕으로 다양한 개인정보 접속기록관리솔루션을 활용, 보안 컴플라이언스 대응과 새로운 기술 환경에 대한 보안 방안을 고민하는 고객의 성공을 지원하고 있습니다.
[참고자료]
[법령] 개인정보보호법 개정 (2023. 03. 07.), – CELA
[PIS FAIR 2023] 9월 본격 시행 개인정보보호법 개정안, 꼭 기억해야 할 8가지 – 보안뉴스
글 ㅣ LG CNS 사이버보안서비스팀 김진우 책임