본격적인 5G 시대가 열리면서 개인정보 보호에 비상이 걸렸다. 5G를 기반으로 한 다양한 융복합 서비스가 등장해 사람들의 삶을 풍요롭게 만들어 줄 것으로 기대되지만, 이러한 서비스는 광범위한 개인정보를 기반으로 설계되기 때문에 개인정보의 수집과 활용, 그 과정에서 개인정보 탈취와 오남용 등의 문제가 발생할 수 있다. 개인정보 보호와 활용의 이상적인 방안을 살펴본다.<편집자>
개인정보 기반 데이터 보호 전략 필수
개인정보 유출은 해킹을 당하거나 악의를 가진 내부자 혹은 실수에 의해 발생한다. 해킹으로 인한 정보유출은 빈도는 낮지만 대규모 정보가 유출되고 많은 피해를 입힌다. 대부분의 정보유출은 내부자에 의해 발생하는 것으로 나타난다. 두 사례 모두 금전적으로나 신뢰도에 있어서 심각한 영향을 미치므로 개인정보 보호에 각별히 주의해야 한다.
개인정보 유출 사고를 막기 위해서는 해킹을 방어할 수 있는 보안 시스템을 갖추고 보안 정책을 정비해야 한다. 내부자 위협을 방지하기 위해 단말과 네트워크, 시스템 등에 모니터링 체계를 두고 이상행위를 탐지해야 한다. 웹서버나 클라우드에 개인정보를 올리면서 정책을 잘못 설정해 전체 공개로 하는 실수도 자주 발생하기 때문에 이러한 설정에 주의하는 것도 필요하다.
무엇보다 ‘개인정보 보호’를 기반으로 한 데이터 전략을 수립하는 것이 우선이며, 전사적으로 보유하고 있는 개인정보의 규모와 저장 위치, 활용하는 업무, 보관 기간과 접근권한 제어 등의 정책을 수립하고 운영하는 것이 필요하다.
클라우드 환경으로 확장되면 데이터 중심 보호전략이 더 중요해진다. 클라우드를 이용해 비즈니스 민첩성을 높이고자 할 때, 개인정보 보호 문제가 걸림돌이 되어서는 안 되지만, 개인정보를 위험에 노출시켜서도 안된다.
최동욱 엑스큐어넷 상무는 “보안 사고는 한 가지 기술로 막을 수 없으며, 중요 정보에 접근할 수 있는 모든 요소에 대해 보안을 고려해야 한다”며 “외부 해킹 방지 대책 뿐 아니라 내부자에 의한 공격도 차단해야 한다. 2014년 카드사 정보유출 사고처럼 외주직원에 의한 사고가 발생하지 않도록 최소한의 접근만 허용하고 중요한 개인정보를 암호화하며, 외부저장매체 사용을 제한하는 등 강력한 조치가 필요하다”고 말했다.
클라우드 지원 암호화 솔루션 필요
개인정보 보호를 위해 가장 안전하고 확실한 방법은 ‘암호화’다. 복호화 키가 없으면 열어볼 수 없기 때문에 유출된다 해도 안전하게 보호할 수 있다. 공격자들은 암호화된 데이터와 키를 함께 훔쳐가기 때문에 암호화의 핵심은 ‘키관리’라 할 수 있다. 또한 멀티 클라우드까지 지원 가능한 암호화를 찾는 것도 필요하다.
김현준 탈레스코리아 이시큐리티 이사는 “클라우드 데이터 암호화를 간단하게 생각할 수 있지만, 실제로는 그렇지 않다. 업무에 변화를 주지 않으면서 다양한 클라우드 환경에서 암호화된 데이터를 관리할 수 있어야 한다. 정상 권한을 가진 관리자에 의한 데이터 유출을 막을 수 있는 방법도 고민해야 하며, 암호화되지 않은 데이터가 클라우드로 전송되지 않도록 정책을 설정하는 것도 중요하다”고 말했다.
탈레스 이시큐리티는 국내 암호화 시장에서 가장 높은 점유율을 가진 외산 암호화 솔루션으로, 온프레미스와 모든 클라우드 환경에서 일괄적인 데이터 보호를 제공한다. ‘보메트릭 데이터 시큐리티 플랫폼(VDSP)’은 금융권에서 가장 높은 점유율을 확보하고 있으며, 의료기관에도 다수 공급되면서 의료 개인정보 보호 시장에서 성장을 이어가고 있다. 울산대학교병원의 경우 개인정보보호법 준수를 위해 OCS, DUR, PACS, EMR 등 다양한 포맷의 의료 데이터를 보호하기 위해 보메트릭 솔루션을 도입했다.
VDSP에 포함된 암호화 솔루션 중 ‘보메트릭 트랜스페어런트 암호화(VTE)’가 있으며, 온프레미스와 클라우드의 데이터를 암호화해 보호할 수 있다. 탈레스는 클라우드 기반 암호화 키관리 솔루션 ‘사이퍼트러스트 클라우드 키 관리(CCKM)’와 애플리케이션 레벨 데이터 암호화 솔루션 ‘보메트릭 애플리케이션 크립토 스위트(VACS)’를 추가하면서 모든 환경에서, 모든 형태의 데이터를 보호할 수 있게 한다.
정승훈 탈레스 이시큐리티 사업본부장은 “암호화는 개인정보 보호뿐 아니라 기업의 기밀정보를 보호하기 위해 활용된다. 금융·의료기관은 컴플라이언스를 위해 보메트릭 제품군을 도입하고 있으며, 제조 등 일반 기업에서는 규제준수 외에도 도면, 영상, 기밀정보 등 비즈니스 데이터 보호를 위해 도입하고 있다”고 말했다.
한편 탈레스는 안전한 데이터 보호 솔루션으로 하드웨어 보안 모듈(HSM) ‘엔쉴드(nShield)’ 제품군을 공급해왔는데, 젬알토를 인수하면서 HSM 시장 독점우려가 제기됐다. 젬알토는 세이프넷을 인수하면서 HSM 제품군을 획득했는데, 이 제품이 엔쉴드와 업계 1~2위를 다투고 있었다.
탈레스는 반독점법 위반 소지를 없애기 위해 엔쉴드사업을 ‘엔사이퍼’라는 별도 법인으로 분리 독립시켰으며, 이 회사가 데이터카드 엔트러스트에 다시 인수됐다. 엔트러스트는 PKI 기술 기업으로, IoT 보안인증 분야에서 두각을 나타내고 있다.
