개인, 기업 할 것 없이 개인정보보호에 대한 인식이 점점 높아지고 있지만, 개인정보 유·노출 등 개인정보 침해 사고는 전 세계적으로 증가하고 있다.
한국인터넷진흥원에 따르면 '개인정보 보호법' 시행 이후 개인정보 유출 신고는 2016년을 제외하고 매년 지속적으로 발생하고 있다. 업무 과실로 의한 유출 사고는 2017년 이후 매년 증가하고 있다.
고의 유출 사고와 이메일 오발송, 검색엔진 노출, 비인가자의 접근 통제 등 업무 과실로 인한 유출 비중이 높았던 과거와 달리 최근에는 고의적인 해킹으로 인한 유출 사례가 58%로 가장 많은 비중을 차지했다.
코로나19 이후 사이버범죄 증가 및 암호화폐 가격 상승 등으로 다크 웹을 통한 개인정보의 불법 거래 규모도 지속적으로 증가하여 개인정보를 보호하기 위한 세심한 관심이 필요하다.
개인정보를 취급하는 정보통신서비스 제공자 등의 개인정보 처리자는 내부관리계획을 수립하고 개인정보보호 및 관리 책임자를 지정하여 개인정보가 분실·도난·유출·위조·변조 등으로부터 안전하게 보호될 수 있도록 기술적·관리적 보호 조치를 해야 한다.
위반 시에는 '개인정보 보호법'에 따라 과징금 및 과태료 등이 부과된다.
개인정보를 기술적으로 보호하기 위한 대표적인 방법으로는 데이터베이스 ‘접근 통제’와 ‘암호화’가 있다. 접근통제는 비인가자의 개인정보처리 시스템(데이터베이스) 접속을 차단하고 조회 및 수정 등의 권한을 인가자에게만 부여하여 불법적인 접근과 침해사고를 방지한다. 암호화는 평문의 데이터를 알 수 없는 문자로 변환하여 개인정보가 유·노출되더라도 평문 데이터를 확인할 수 없도록 하는 보안 기술이다.
정보보안원칙 준수할 수 있는 제품 선택해야
데이터베이스 보안을 위한 정보보호 제품 도입 시에는 도입 목적과 대상 시스템이 명확해야 효과적인 보안 시스템을 구축할 수 있다. 보안의 기본은 직무 분리와 최소 권한 원칙을 준수한 접근통제이다. 내부관리계획을 잘 수립하였더라도 최소 권한의 원칙을 준수하지 못하면 보안의 허점이 생기기 마련이기 때문이다.
DB 암호화는 PP준수, DB 접근제어는 EAL4 보증 등급과 1등급의 GS 인증을 획득한 제품을 사용해야한다. 정보보안원칙을 준수할 수 있는 제품으로 제품 도입시 인증여부를 반드시 확인해야 한다.
정보보호 요구사항과 관계 법령, 컴플라이언스 만족 여부도 중요
개인정보는 처리하고자 하는 업무 또는 시스템에 따라 개인정보보호법외 다른 법률을 적용받을 수 있어 정보보호 요구사항과 관계 법령, 컴플라이언스 만족 여부를 반드시 확인해야 한다.
금융권의 경우 '전자금융감독규정'에 전산원장 변경 시 전·후 데이터 내용들을 기록하고 중요 원장을 조회, 수정, 삭제 및 삽입하는 경우 작업자 및 작업내용 등을 기록하여 5년간 보관하게 되어 있다.
'의료법'에도 개인정보 관련 내용을 명시하고 있다. 의료 관련 개인정보보호는 '의료법'을 우선 적용하고 '의료법'에서 규정하지 않는 경우라면 '개인정보 보호법'을 적용한다.
데이터베이스 보안 전문 기업 신시웨이(대표 정재훈)는 민감정보 및 개인정보 보호를 위해 DB 접근통제 '페트라(Petra)', DB 암호화 '페트라 사이퍼(PetraCipher)'등의 페트라 시리즈를 개발했다.GS 인증 인증과 EAL4(페트라), PP준수(페트라 사이퍼)의 보안 인증을 획득했다.
페트라 시리즈는 데이터를 세밀하게 분석하고 저장하기 위해 MM-DBMS(SOHA)를 자체 개발해 사용하고 있으며 ‘데이터베이스 로그 정보 관리 장치 및 방법‘, ‘SQL 마스킹 장치 및 방법’ 등 DBMS 접근 통제에 있어 다수의 국내 특허를 보유하고 있다. 'DB 암호화' 분야에서는 국내 최초 국정원 인증을 획득하면서 지금까지도 기술력을 인정받고 있다.
페트라 시리즈는 정책과 감사 데이터를 손쉽게 백업, 복구할 수 있고 감사 데이터는 위·변조로부터 안전하게 보호된다. 또한 보안 정책을 빠르게 스캔하여 정책 적용에 딜레이가 발생하지 않아 접속 및 서비스의 지연을 최소화한다. 다양한 유형의 SQL 통제가 가능하고 SQL 변조 방식의 마스킹으로 보안성이 우수한것도 페트라 시리즈의 특징이다.
국내 기업뿐 아니라 인도네시아, 일본, 중국 등 세계 여러 기업들에게도 기술력을 인정받아 해외 기업의 레퍼런스도 보유하고 있으며 국내에서는 공공기관, 일반 사업체, 금융권을 중심으로 레퍼런스를 지속해서 확장해 나가고 있다.
신시웨이 정재훈 대표는 “신시웨이의 최종 목표는 데이터의 시작과 끝 모든 단계의 흐름을 추적하고 관리하는 데이터 통합 관리를 목표로 하고 있다.”며 “완벽한 통합 관리는 보안의 새로운 패러다임 변화를 필요로 하며, 그 변화에 첫번째는 튼튼하고 인간중심의 조직 변화가 핵심이다.” 라고 말했다.
신시웨이는 ▲일생활균형 기업우수사례 최우수 ▲2021 청년친화강소기업 ▲2021 인재 육성형 중소기업 ▲2020 서울시 일·생활균형 우수 기업 ▲2020 고용노동부 근무혁신 인센티브제 우수 기업 등으로 선정되었다.
한경닷컴 뉴스룸 open@hankyung.com