개인정보 보호와 기업 보안

대부분의 기업에서는 물리적 보안을 담당하는 부서와 IT보안을 담당하는 부서가 이원화되어 있으며, 서로 보안업무라는 공통분모가 있음에도 불구하고 물과 기름처럼 섞이지 못하고 개별적인 보안통제 활동이 이루어져 왔다. 정보통신기술의 발전으로 초고속 통신망이 보급되면서 인터넷의 보편화와 급격한 인터넷 사용자 증가를 가져왔다. 정보화의 진전으로 기업의 비즈니스와 개인의 행동양식이 인터넷을 적극적으로 이용하는 방향으로 변화했다. 개인들은 인터넷을 하나의 삶의 공간으로 활용해 자신의 가치 부여와 효용을 극대화 했고,

기업은 인터넷을 이용한 새로운 비즈니스 모델 개발을 통해 이윤을 극대화 했다. 기업은 인터넷을 통한 마케팅, 제품개발, 서비스 제공 등에 활용할 목적으로 개인정보를 수집하고 있으며, 개인은 비용할인, 서비스 및 콘텐츠 이용을 목적으로 개인정보를 기업에 제공하고 있다. 그러나 이러한 개인정보 이용의 증가는 정보윤리 인식 부족과 IT기술의 보안 취약성과 맞물려서 개인정보 침해 사고 증가라는 정보사회의 역기능을 초래하고 있다.

개인정보 유출 및 기업보안 현황

최근 개인정보 유출 및 오남용 사고로 사회적 이슈가 되고 있는 대표적인 사례를 분석해 보고자 한다.

사례 1 전사차원의 보안 통제 활동 부재로 인한 개인정보 유출(악성 프로그램)국내 오픈마켓을 주도하는 유통업체로 부터 중국 해커에 의해 1,081만 명의 회원정보가 유출되었다. 유출된 개인정보 대다수는 ID, 주민번호, 그리고 약 10% 회원의 계좌번호와 거래내역 등도 유출되었다.사고는 이메일로 유입된 악성 프로그램을 통해 서버관리자의 ID 및 비밀번호가 유출되었고, 이후 해당 계정을 이용해 대량의 개인정보가 유출된 것으로 추정된다. 이 업체는 전사적인 보안전담 조직이 없으며, 각 조직별 보안인력을 통해 보안업무를 수행했었다.

그러다보니 보안 라이프 사이클에 따른 전사차원의 보안 방향성 및 정책 수립에 통한 보안 영역별 유기적인 연계와 일정 수준의 보안통제 활동이 제대로 수행되지 못했고, 각 조직 별 보안인력에 의한 임기응변적 보안통제로 인해 발생한 보안영역별 보안통제 수준의 편차로 인한 결과라 생각된다.즉 전사 IT인프라 전반에 대한 보안수준을 진단하고 노출된 보안 취약점에 대해 상호 유기적인 대응체계를 마련하여 어느 한 영역도 소홀함이 없어야 한다. 이를 위해서는 전사적인 보안정책과 방향성을 제시하고 지속적인 보안통제 활동 그리고 진단을 통한 조정 등을 오너십을 가지고 이행할 수 있는 전담 보안조직이 반드시 필요하다.

사례 2 내부 인가자에 의한 개인정보 유출 당시 현직에 있던 이통사 간부가 자사 고객 600여만 명의 개인정보를 불법으로 유출해 텔레마케팅 업체, 스팸 메일 발송업체, 휴대전화 문자발송업자에게 수억 원을 받고 매매한 사건이 있었다. 뿐만 아니라 검찰 수사관이 사직 후 불법 채권추심업체를 차려 이전 근무지 직원을 통해 불법으로 개인신상 정보를 취득한 사건으로 모 기관의 공무원까지 연루된 인가된 내부자에 의한 개인정보 유출이 사회적 큰 파장을 일으킨 적도 있다.

가까운 일본의 경우, 아르바이트생이 PC에 보관 중인 교토 우치시의 주민표 데이터를 유출해 인터넷에 판매하였고, 야후 BB의 이전 파견 근무자가 일하던 당시 사용하던 아이디와 비밀번호로 사직한 다음달부터 수 개월간 수차례에 걸쳐 야후 BB의 데이터서버에 접속해 460만 건의 고객정보를 취득, 야후 BB를 협박하여 금품을 갈취하려고 하였다.

이 경우는 외주 인력을 포함한 내부자들이 개인정보보호에 대한 인식제고가 미흡하고, 내부자뿐만 아니라 퇴사자 및 이전 근무자들에 대한 접근권한의 삭제 및 변경, 업무 및 직무 변경에 따른 접근권한 관리, 개인정보, 기업정보 등 민감한 정보의 내부자에 의한 유출방지를 위한 보안 통제 및 모니터링 체계 등의 관리적, 물리적, 기술적, 통합적인 보안통제 체계가 이루어지지 않은 결과라고 할 수 있다.

개인정보 보호를 위한 기업의 정보보호 체계

기업의 개인정보 보호를 위한 정보보호 체계 구축 절차는 개인정보 분석, 개인정보 위험분석, 개인정보 보호 모델링의 3단계로 진행한다.

1단계 : 개인정보 분석

기업의 비즈니스 관점에서 개인정보의 개념을 정의하고 실질적인 개인정보 유형 및 내용을 식별, 식별된 개인정보의 가치 및 민감도를 평가한다.

2단계 : 개인정보 위험분석

개인정보의 수집, 처리, 보관, 이용, 폐기 등 개인정보 라이프 사이클별 업무 프로세스와 IT인프라 및 물리 환경에서의 개인정보 취급현황을 파악하고 각 취급 단계별로 발생할 수 있는 개인정보 침해사고 잠재위험을 파악하고 평가한다.

3단계 : 개인정보 보호 모델링

식별된 개인정보 침해사고의 잠재위험에 대해 기업의 환경을 고려하고 적용 가능성이 있는 관리적·물리적·기술적 개인정보보호 대응방안을 수립한다. 법률이 정하는 개인정보는 ‘개인정보란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.’라고 명시되어 있다. 따라서 기업에서도 보호되어야 하는 개인정보에 대해 법률적 근거 및 사업적 필요에 따라 개인정보에 대한 명확한 정의 및 범위를 정의할 필요가 있다. 개인정보 분류에 대한 명확한 기준은 없으나 일반적인 분류사례를 소개하면, 크게 개인 식별정보와 개인 활동정보로 나뉜다. 개인 식별정보는 다시 속성정보(이름, 주민번호, 운전면허정보, 여권정보 등), 가족정보, 신체정보, 의료정보로 나눠볼 수 있다. 그리고 개인 활동정보는 직장·직업정보, 신용·금융정보, 학력·병력정보, 재산·소득정보, 사회활동정보, 통신정보(메일주소, 핸드폰번호, 개인홈페이지 등) 등으로 나눌 수 있다.

식별된 개인정보는 기업의 유형에 따라 가치가 달라진다. 즉 기업 활동 및 이윤에 영향을 미치는 정도에 따라 민감도를 평가할 수 있다. 예를 들면, 주민번호와 같은 개인 속성정보는 법률적으로 주요 관심 대상이기 때문에 당연히 기업의 유형과 무관하게 중요한 정보이지만, 가족사항, 취미, 레저 등의 활동정보는 일반적인 기업에 있어서는 민감도가 낮지만 결혼정보회사에게는 민감도가 높게 평가된다.

결국 개인정보의 가치는 법적으로 혹은 일반적인 시각에서 높게 평가되는 개인 속성을 나타내는 개인정보 외에 기업의 비즈니스 모델에 따라 민감도가 결정된다고 볼 수 있다. 따라서 개인정보의 가치평가 시 개인정보보호 관련 법·제도의 법률적 준수 요구수준과 기업 비즈니스와의 직간접적인 연관 수준을 고려하여 평가해야 한다.

IT 및 물리 영역의 융합보안 관점에서의 개인정보 위험분석

대부분 개인정보의 위험을 분석할 경우 IT인프라 즉 PC, 네트워크, 서버, 어플리케이션 영역에서 취급될 때 발생할 수 있는 개인정보 보안사고에 대한 잠재적 위험을 파악해 왔다. 그러다 보니 IT보안과 물리보안의 보안통제 수준 편차로 인하여 지속적인 보안사고가 발생되어 왔다. 그래서 개인정보의 라이프 사이클별 취급현황 및 프로세스 분석 시 IT인프라 영역뿐만 아니라 물리적 환경까지 고려하여 잠재적인 위험요소를 식별하고 분석하는 것이 필요하다고 본다. 이는 궁극적으로 IT인프라 영역에서의 보안취약점에 의한 정보유출 시도 시 물리적 보안통제를 통해 예방적인 보안통제 활동을 수행할 수 있도록 한다.

또한 대부분의 보안위험을 분석할 경우 자산 중심의 보안위험 분석을 진행하여 왔다. 즉 보호해야 하는 자산 식별과 그 자산에 잠재되어 있는 보안 취약성과 위협을 파악하여 보안위험을 평가하여 왔다. 그로 인해 자산 중심의 보안대책으로 인해 최근에 이슈가 되고 있는 것처럼 핵심자산에 접근하는 내부 인가자에 대한 차별적인 보안통제가 이루어지지 못했다. 이에 자산 중심의 보안위험 분석뿐만 아니라 사용자 중심의 보안위험 분석을 병행함으로써 중요 자산의 비인가자에 대한 기본적인 보안통제와 중요 자산에 접근하는 인가자 유형별 세부적인 보안통제를 통해 외부자 뿐만 아니라 내부자에 대한 적절한 보안통제를 수행할 수 있다.

보안 솔루션의 도입으로 끝나는 것이 아니다

기업의 개인정보보호는 일반적으로 알려진 보안솔루션을 도입해 구축한다고 해서 이루어지지 않는다. 기업의 환경에 적합한 최적의 개인정보보호 체계를 구축하기 위해서는,

첫째, 비즈니스 요구관점의 융합보안관리가 이루어져야 한다.기업의 프로세스가 과거에는 하나의 기업 내부 프로세스로만 정의되고 실행되어 왔으나, 최근에는 기업 경계의 확장으로 인해 기업 비즈니스 프로세스 영역 또한 기업간 혹은 국제적 영역으로 확대되고 있는 실정이다. 때문에 보안 제품 및 솔루션 또는 IT인프라와의 통합뿐만 아니라 비즈니스 요구관점에서 보안을 융합할 수 있는 방향으로 전환되어야 한다. 이를 통해 보안관리가 기업의 비용요소가 아닌 기업 비즈니스 전략의 일부분으로 자리 매김 될 수 있도록 노력해야만 한다고 본다.

둘째, IT보안과 물리보안의 융합이 필수 기업가치가 물리적인 자산뿐만 아니라 무형자산(정보기반)으로 이동하는 디지털 시대에 맞춰 기존의 자산 중심의 보안관리를 사용자 중심으로까지 확대하여, 사용자의 물리적인 오프라인 환경과 IT기반의 온라인 환경에서의 융합적인 보안관리가 이루어질 수 있도록 보안정책 및 통제의 범위를 확장해야 한다. 이를 위해서는 조직적으로도 과거 물리보안팀과 IT보안팀으로 이원화되어 있던 보안조직의 단일화와 보안전략 및 정책 수립에 있어서도 통합화되어야 한다. 그럼으로 인해 상호 보완적인 보안통제로 시너지를 극대화할 수 있다고 본다.

마지막으로, 보안통제의 서비스화가 되어야 한다. 임직원의 근무환경이 과거에는 오프라인의 로컬영역을 벗어나지 않았지만, 요즘은 유비쿼터스화 되어 정적인 근무환경이 보다 다이내믹한 동적 환경으로 전환되고 있다. 때문에 고도화되고 있는 IT인프라 환경에서 보안관리가 통제 위주로만 전개된다면 임직원의 업무 생산성에 지대한 영향을 끼치게 되어 궁극적으로 기업의 이윤추구에 반하게 될 것이다. 이에 보안통제를 보안 서비스로 전환함으로써 임직원의 편의성을 향상시키고 임직원의 능동적인 보안활동으로 인하여 보안이 기업의 문화로 자리매김될 수 있도록 해야 한다고 본다.

결론적으로, 이를 위해 현업에서 근무하는 보안담당자의 역할이 그 어느 때 보다 중요한 만큼, 소신 있게 그리고 자긍심을 가지고 기업의 보안관으로서의 역할을 수행하였으면 하는 바람이다

- Beyond Promise 7월호 (진인택 LG CNS 보안솔루션팀)