"내 PC엔 얼마나 많은 개인정보가 남아있을까?"

[FPIS 2013] 김대환 소만사 대표 "개인정보 가버넌스 체계를 구축해야"

"지금까지 1000명 이상 되는 기업 보안 관리자를 만나 '당신 PC에서 주민등록번호가 100만건 이상 발견된다는 데 100만원을 건다'고 내기했을 때 제가 져서 100만원을 냈던 적은 한 번도 없습니다."

김대환 소만사(소프트웨어를만드는사람들) 대표(사진)는 14일 양재동 엘타워에서 열린 '금융보안&개인정보보호 페어 2013(FPIS 2013)' 행사에서 '컴플라이언스와 개인정보보호 2.0'이라는 주제로 기조연설을 진행했다.

개인정보 유출사고는 빈번히 발생한다. 고객 개인정보를 빼돌려 해당 기업을 협박하거나 거래하기 위해, 경쟁업체를 곤란에 빠뜨리기 위해 또는 정치적·군사적 목적에 의해서도 발생한다.

이러한 유출 사고의 경우 상당수 수십만명의 집단소송이 발생할 여지가 있다. 또 소송 시 천문학적 비용을 배상해야 하는 경우도 있기 때문에 기업 보안담당자로서는 법규 준수와 의무를 다 했는가의 여부가 매우 중요하다.

하지만 문제는 이 같은 보안사고를 완벽하게 막는 방법이 없다는 점이다. 법적인 판단에서도 주요하게 보는 점은 '보안을 위해 최선을 다 했는가'의 여부다. 법에서 정한 최소한의 보안요건을 갖추고 있었는지, 동종업계의 평균치에 달하는 투자가 있었는지, 또 재발방지를 위한 어떤 노력을 했는지를 판단근거로 삼는다.

김 대표는 "각 기업에서는 개인정보에 대한 전사적 통제체제(가버넌스)를 제대로 구축해 둘 필요가 있다"고 강조한다. 우리 회사 시스템 중 어디에 얼마나 많은 개인정보가 저장돼 있는지, 어떻게 관리되고 있는지, 얼마나 많은 사람이 개인정보에 접근할 권한을 가지고 있는지 등을 정확하게 파악할 수 있어야 한다는 것.

그는 "출력물은 차치하고서라도 기업의 DBMS(데이터베이스), 서버, PC, 스마트폰 등 수많은 저장장치에 개인정보가 얼마나 있는지 정확하게 답변할 수 있는 사람은 거의 없을 것"이라고 했다.


우선 개인정보 보유현황을 분석하고 나면 개인정보 조회나 취득을 통제할 수 있고, 이를 전송하거나 유출하는 것까지 감시하는 체계를 구축할 수 있다는 것이다.

특히 DBMS의 경우, 오랫동안 운영되다 보면 무수히 많은 영역이 생성됐다 삭제되기 때문에 어떤 정보가 어디에 얼마나 보관돼 있는지 파악하기가 어렵다. 그렇기 때문에 신규 생성된 개인정보를 포함하는 영역을 꾸준히 추적해 현황을 분석하는 시스템이 필요하다.

개인정보 보안 영역에서 빅데이터 처리 인프라가 도입될 필요가 있다는 점도 지적했다. 빅데이터 분석을 활용하면 방화벽이나 웹접속 로그분석, 개인정보 유출 사후통합 분석 등이 이전에 비해 10~1000배 이상 빨라질 수 있다는 장점이 있기 때문이다.

김 대표는 "기존 유출사고를 바탕으로 재발을 방지하고, 개인정보 보호에 대한 최소한의 법규(컴플라이언스)를 준수하는 등 관리자의 의무를 다하는 것이 매우 중요하다"고 덧붙였다.