이 시각 주요 뉴스

여백

협력업체에 위탁한 개인정보, 외부DRM 기반 보안 관리 필요하다

외부DRM, 파일 암호화 등의 유출방지 기능 통해 개인정보 보호 이승윤 기자l승인2019.01.22 09:06:44l수정2019.01.22 11:28

크게

작게

메일

인쇄

신고

[CCTV뉴스=이승윤 기자] 전 세계적으로 많은 개인정보 유출 사건이 발생하면서 다양한 피해가 발생하고 있다. 특히 기업이 개인정보를 위탁한 협력업체에서 악의적인 목적으로 개인정보를 유출하는 사건이 지속적으로 발생하고 있다. 협력업체를 통한 개인정보 유출을 막기 위해서는 철저한 개인정보 보안 관리와 개인정보 유통 시 보안 인증 절차 진행 등의 보안 체계가 중요하다. 외부 문서보안(DRM)은 협력업체에 위탁한 개인정보나 중요정보를 관리해 주는 보안 솔루션으로 협력업체에게 중요정보를 안전하게 활용할 수 있는 보안환경을 제공하며 유통 시 강력한 보안 통제를 통해 개인정보와 중요정보의 대한 유출을 방지한다.

글 국윤길 소프트캠프 DRM사업본부 본부장

지속해서 발생하고 있는 개인정보 유출 사고

개인정보 유출 사고는 전세계적으로 지속적으로 나타나고 있다. 특히 4차 산업시대에 개인정보가 중요 자산으로 주목받으면서, 금전적인 목적으로 개인정보를 유출하는 사고가 많이 발생하고 있다.

2014년 1월, 국민카드/롯데카드/농협카드 3사의 개인정보가 협력업체에 의해 유출되는 사건이 발생했다. 당시 국민 5300만 건, 롯데 2600만 건, 농협 2500만 건의 개인정보가 유출돼 지금까지 국내에서 발생한 금융회사 개인정보유출 사건 중 최대 규모의 정보유출 사건이었다.

이 사건은 3개 카드사의 부정사용방지시스템(Fraud Detection System, FDS) 개발 책임자로 일하던 협력업체 직원 박모 씨의 소행으로 밝혀졌다. 검찰 조사 결과, 신용정보회사 코리아크레딧뷰로(KCB) 직원인 범인 박모 씨는 2012년 5월부터 2013년 12월까지 USB를 이용해 카드사 고객 정보를 빼돌렸으며, 빼낸 고객 정보 가운데 7800만 건을 대출광고업자에게 팔았고, 광고업자는 다시 대출업자에게 팔아 넘겼다. 이 사건으로 카드 3사는 2014년 2월부터 3개월간 영업정지 처분을 받았다.

국내 전자금융감독 규정은 전산 프로그램 실험 시 실데이터의 사용을 금지하고 이를 변환해 사용하도록 규정하고 있다. 그러나 당시 3개 카드사는 범인 박 씨에게 고객정보를 변환 없이 그대로 제공했으며, 박씨가 USB로 PC에 접근하는 것을 통제하지 않았다. 그 결과 고객 정보가 카드사 운영서버에서 내부 직원 PC나 개발서버를 거친 후 USB 통제 프로그램이 설치되지 않은 박 씨의 PC로 옮겨진 뒤 USB에 저장, 반출되는 경로로 유출이 이뤄졌다.

2018년 3월, 페이스북 협력업체 캠프리지애널리티카가 2014-2015년 페이스북 가입자 5000만 명의 개인정보를 2016년 미국 대선 후보를 위해 일한 기업에 대량으로 넘기는 세계적인 개인정보유출 사건이 발생했다. 이 사건으로 페이스북은 하루 만에 39조원의 주가가 하락하고, 미국과 영국에서 대형소송에 휘말릴 가능성도 제시되고 있으며, 해시태그 탈퇴운동도 번지기 시작해 창립 이후 최대 위기를 맞고 있다.

국내와 세계적으로 최대 개인정보유출 사건이라 불리는 두 사건 모두 위탁업무를 맡았던 협력업체에 의해 발생한 것이다. 국내에서는 이러한 위탁업체에 의한 개인정보유출 사건을 방지하기 위해 정부 차원에서 개인정보보호법을 개선하고 IT 수탁사에 대한 개인정보보호 처리 방침을 강화하고 나섰다.

국내, 개인정보보호 위탁업무 관리 규정

국내 개인정보 보호법에는 개인정보보호 위탁업무 관한 관리 규정이 지정돼 있다. 규정에서는 개인정보 처리 위탁에 대해 ‘계약의 형태와 종류를 불문하고 사업자가 개인정보 취급(수집·보관·처리·이용·제공·관리·파기 등)의 전부 또는 일부를 대신하는 내용을 계약 일체에 포함하는 것’이라고 규정했다. 수탁사의 경우 ‘업무상 제휴를 맺고 있는 업체’를 말한다고 규정했다. 예로 영업을 위해 본사가 대리점에 업무 위탁을 하는 경우, 본사가 위탁사에 해당하고, 대리점이 수탁사에 해당하게 된다.

관리 규정에서는 사업자는 개인정보취급업무에 대한 위탁계약을 체결하는 경우 기술적·관리적 보호의무, 개인정보에 관한 비밀유지 의무, 처리하는 개인정보의 제3자 제공과 목적 외 이용 금지의 의무, 개인정보 침해로 인한 손해배상 책임의 의무 등이 있다고 규정했다. 또한, 수탁사에 대한 철저한 관리감독을 이행해야 할 뿐 아니라, 개인정보 처리로 인해 발생하는 손해에 대해 사용자로서 책임을 져야 한다.

[표 1] 개인정보의 위탁업무와 제3자 제공의 구분 (출처:행정안전부)

협력업체 정보 유출 방지 위해 외부 DRM 솔루션 필요

기업은 업무의 효율성과 생산성을 위해서는 외주 용역을 통해 업무를 진행할 수밖에 없다. 지금까지 위탁/수탁 업체와 업무를 진행할 때의 보안 조치로는 계약서에 의한 관리적인 차원의 보안이 대부분이었다. 그러나 개인정보 위탁업무를 맡고 있는 협력업체에 의한 개인정보유출 사건이 계속 발생하고 있으며, 계약서에 의한 관리에 한계가 있기 때문에 추가적으로 기술적인 보안 관리가 필요한 상황이다. 또한, 위탁업체에 제공했던 개인정보가 계약기간 이후에도 파기되지 않은 채 제3의 기관에 보관되고 있거나, 수탁/제휴업체의 PC 보안 환경이 미흡해 해킹으로 인해 정보유출이 발생될 우려가 있다. 이를 방지하기 위해서는 외부 DRM을 적용한 기술적 보안 관리가 필요하다.

최근 고객의 개인정보와 중요정보에 대한 법규 준수와 사회적 책임이 강화되고 있는 추세이다. 이런 흐름은 국내와 함께 세계적으로 협력업체에 의한 개인정보유출 사건이 중요 쟁점으로 떠오르면서, 이를 방지하기 위한 규정이 강화되고 있는 추세이다. 국내에서는 전자금융감독 규정과 개인정보보호 관련 법규를 통해 개인정보 위탁업무에 대한 규정을 구체화하고 자율점검 체계를 구축하며 강화하고 있다. 유럽연합에서도 올 5월부터 GDPR을 시행하면서 개인정보보호법에 위탁업무에 대한 지침을 강화하고 있다. 개인정보를 다루는 기업/금융/기관은 개인정보 위탁업무 관리 규정 준수를 위해 외부 DRM 도입이 시급하다.

외부 DRM 시스템 구성도 인포그래픽

위탁업체들은 중소규모의 조직으로 구성된 업체가 대부분이다. 이 업체들이 갖고 있는 업무환경을 모두 관리와 통제할 수 없기 때문에 이를 보완할 수 있는 외부 DRM이 필요하다. 외주업체는 또 하나의 다른 회사이기 때문에 고객이 원하는 업무에 필요한 모든 보안 시스템을 구축할 수 없다. 비용이나 규모적으로 봤을 때 고객이 원하는 보안 시스템을 구축하는데 어려움이 있으며, 여러 고객을 대상으로 업무를 위탁 받기 때문에 현실적으로 그 모든 고객의 요건에 맞추기 힘들다. 따라서, 계약된 업무에 필요한 보안 환경을 적용할 수 있는 방안이 필요하다.

외부 DRM 주요 기술과 기능

외부 DRM은 협력업체에 위탁한 개인정보나 중요정보를 관리해 주는 보안 솔루션이다. 외부 DRM의 가장 중요한 요건은 위탁업체가 고객사에 준하는 보안환경에서 개인정보를 안전하게 사용할 수 있는 환경을 구현하고, 업무 이외의 용도로 개인정보를 사용할 수 없도록 문서 파기에 대해 관리 감독하는 것이다. 관련 기술과 주요기능, 기대효과는 다음 [표 2]와 같다.

[표 2] 외부 DRM 기술과 주요기능, 기대효과 정리

외부 DRM 도입 대상과 도입 사례

외부 DRM은 현재 외주업체를 통해 개인정보를 위탁하고, 개인정보보호법 규정을 의무로 준수해야 하는 공공기관과 금융기관에서 주로 도입하고 있다. 향후 개인정보를 가장 중요하게 다루는 통신사나 대기업으로 확대될 것으로 예상하고 있다. 특히, 외주 협력업체를 통해 개인정보 위탁업무를 진행하는 기업들에게는 필수적인 보안 시스템으로 자리매김할 것으로 전망된다.

국내 A은행은 외주(위탁)업체와 개인정보 위탁업무 진행 시 가장 근본적으로 개인정보를 안전하게 유통하는 것, 유통하는 채널을 일원화하는 것, 외주업체에 보낸 개인정보 파일에 대한 파기를 관리 감독하는 것을 목적으로 외부 DRM을 도입했다.

외부로 유통되는 개인정보 파일에 대한 이력을 남겨 정보를 추적할 수 있게 했으며, 개인정보를 주고받는 채널을 일원화하고, 개인정보를 안전하게 열람할 수 있는 환경을 제공하고, 문서 파기에 대한 관리 감독을 하고 있다. 업무 이후 서버상에서 다운받을 수 있는 개인정보 파일을 파기하고, 외주업체가 개인정보를 파기했다는 것을 증명하는 원장을 피드백하고 있다.

또한, A은행에 준하는 보안성을 유지하면서 외주업체 PC에서 개인정보를 열람할 수 있는 보안환경을 구현하고, 파기하지 않고 남아있을 수 있는 개인정보 파일에 대한 사용권한을 통제하고 관리하기 위해 외부 DRM을 사용하고 있다.

외부 DRM의 가장 중요한 요건은 위탁업체가 고객사에 준하는 보안환경에서 개인정보를 안전하게 사용할 수 있는 환경을 구현하고, 업무 이외의 용도로 개인정보를 사용할 수 없도록 문서 파기에 대해 관리 감독하는 것이다. 개인정보는 문서 DRM을 통한 내부유출 방지뿐 아니라 외부 DRM을 도입해 안팎으로 관리하는 것이 필요하다.

개인정보, 내부와 외부 모두 철저한 보호와 관리 필수

개인정보 보호와 관리의 중요성은 아무리 강조해도 모자람이 없다. 그 동안 기업은 중요정보 유출을 방지하기 위해 다양한 종류의 내부정보보호 솔루션을 도입해 왔다. 하지만 예기치 못한 새로운 방식으로 계속해서 정보가 유출되고 있다. 이제는 안에 있는 정보를 보호하는 것 못지않게 외부로 유통되는 중요정보에 대한 보안 관리도 매우 중요해지고 있다. 특히, 개인정보를 위탁해서 업무협업을 할 수밖에 없는 기업은 위탁업체에 제공하는 개인정보가 악용되지 못하도록 외부 DRM을 도입해 보호와 관리가 필요하다.

개인정보보호법상 위탁업무에 따른 개인정보 처리의 제한 내용

#개인정보#유출#외부DRM#암호화

이승윤 기자  hljysy@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이승윤 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .