규제 대상 및 과징금 확대, 유출 사고 시 소명 의무화 등에 도입 확대 기대
아이티데일리, 2023.05.31 (정종길 기자)
‘개인정보 보호법’ 전면 개정안이 올해 3월 공포되고, 5월부터는 입법예고 기간에 들어갔다. 이에 국민의 개인정보 데이터에 대한 권리가 한층 강해지고, 그간 산업 진흥을 이유로 활용에 초점이 맞춰져 있던 개인정보를 이제는 안전하게 관리해야 할 필요성이 높아지고 있다. 특히 개인정보 유출 사고 발생 시 과징금 상한이 높아진 데다 개인정보 취급자의 보호 노력 소명이 필수가 된 만큼, 자연스럽게 개인정보 접속기록 관리 솔루션에 대한 관심이 높아지고 있다. 관련 내용을 살펴본다.
개인정보 보호법 전면개정안 시행
지난 3월 14일 ‘개인정보 보호법’ 전면 개정안이 공포되면서 개인정보 보호 관련 업계는 앞으로 있을 시장 변화에 주목하고 있다. 개인정보 보호법의 규제 대상과 과징금이 확대되면서 개인정보 접속기록 관리 솔루션을 도입하는 기업들이 향후 더욱 늘어날 것으로 기대되기 때문이다. 업계는 크게 △개인정보 전송요구권 및 국외이전 요건 다양화 근거 신설 △과징금·벌칙 규정 개정 △공공기관의 개인정보 보호 수준 평가 근거 신설 △온·오프라인 규제 일원화 △개인정보 분쟁 심의 시 모든 개인정보 처리자 의무 참여 등의 핵심 내용들에 주목하면서 개인정보 보호 솔루션에 대한 민간의 수요 증가를 기대하고 있다.
개인정보 보호 솔루션 수요 증가 기대
먼저 개정 개인정보 보호법의 ‘제35조의2(개인정보의 전송 요구)’에 따라 개인정보 전송요구권이 신설되고, ‘제4절 개인정보의 국외 이전’에 따라 개인정보의 국외 이전 요건을 다양화하기 위한 근거가 새롭게 마련됐다. 이로써 금융·공공 분야에서만 제한적으로 도입됐던 마이데이터 서비스가 모든 영역에서 보편적으로 이뤄질 수 있는 기반이 마련됐고, 자연히 개인정보의 활용 빈도가 급격히 늘어날 것으로 예상된다. 업계는 이에 맞춰 디지털 환경에서 국민과 기업·기관 간 개인정보 처리에 대한 신뢰를 충족할 수 있는 개인정보 보호 솔루션에 대한 수요가 증가할 것으로 예상하고 있다.
‘제64조의2(과징금의 부과)’에 따라 개정된 과징금·벌칙 규정도 주목된다. 해당 조항으로 인해 개인정보보호에 대한 책임이 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환됐다. 특히 과징금이 ‘위반행위와 관련된 매출액의 3% 상한’에서 ‘전체 매출액의 3% 상한’으로 확대되면서 기업들의 부담이 크게 늘어난다는 점도 큰 영향을 줄 것으로 보인다. 이로써 업계는 기업이 개인정보 보호 솔루션에 투자할 수 있는 계기가 마련됐다고 평가하고 있다. 그리고 기존에 공공 중심이었던 개인정보보호 시장이 민간으로 더욱 가속화될 것으로 업계는 기대하고 있다.
‘제63조의2(사전 실태점검)’으로 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거도 새롭게 마련됐다. 2022년 7월에 발표된 ‘공공기관 개인정보 유출 방지 대책’으로 개인정보 침해사고 발생의 위험성이 높고 개인정보 보호의 취약점을 사전에 점검해야 하는 기관에 한해 개인정보 보호 실태를 점검할 수 있는 조항이 신설된 바 있다. 이번에 법적 근거가 마련됨으로 인해 공공기관은 개인정보보호에 대한 인식을 지속적으로 개선시켜나가야 하게 됐고, 이에 따라 업계는 개인정보보호 솔루션에 대한 꾸준한 수요 증가를 예상하고 있다.
뿐만 아니라 기존에 온라인 사업자에 한하던 규제 조항들이 오프라인에서 개인정보를 처리하는 사업자에게도 동일하게 적용될 예정이라 더 많은 기업과 기관에서 개인정보 보호 솔루션을 도입할 것으로 예상된다. 마지막으로 개인정보 관련 분쟁 조정 시 모든 개인정보 처리자가 의무적으로 참여해 개인정보 보호 노력을 소명해야 하는 만큼 개인정보 접속기록 관리 솔루션의 도입이 확대될 것으로 기대하고 있다.
현재 개인정보 보호법은 5월 19일부터 6월 28일까지 40일간의 입법예고 기간에 돌입한 상태다.
'개인정보 보호법' 개정 주요내용 요약
개인정보 접속기록 관리 솔루션 주목
그동안 각종 산업계에서는 개인정보의 중요성과 보호의 필요성을 인지하지 못하고 편리함을 이유로 무분별하게 관리, 사용해온 것이 사실이다. 이지서티 관계자는 “현대 사회에서는 인공지능(AI), 빅데이터, 마케팅, 금융, 의료, 교육 등 다양한 분야에서 개인정보가 중요한 데이터로 활용되고 있다. 게다가 현재의 인터넷 기술 환경에서 개인정보의 유출 및 악용 가능성이 훨씬 높아지고 있어, 개인정보보호는 선택이 아닌 필수가 됐다”고 설명하면서 “개인정보를 보호해야 하는 이유는 개인 신원 정보 도난 방지, 기업의 무분별한 데이터 활용 방지, 범죄 피해 예방, 사회적 불이익 방지, 미래 보안 위협 예방 등이 있다. 이를 위해 다수의 공공기관과 민간기업에서는 자체적인 개발을 통해 타인의 개인정보를 열람할 경우 접속기록 로그를 생성하고, 오남용 되지 않도록 관리하는 절차를 수립하고 있다. 하지만 강화되는 법적 규제를 충족하기 위한 업무 부담이 증가하면서 개인정보 접속기록 관리 솔루션에 대한 관심이 높아지고 있다”고 강조했다.
피앤피시큐어 솔루션사업본부 공공채널사업부장 김상헌 상무는 “개인정보의 오남용을 방지하고 위험을 탐지하기 위해서는 접속기록의 정확한 로깅과 모니터링 방안이 필요하다. 또한 관련 법규 준수와 함께 ISMS-P 인증까지 규제 준수(Compliance)에 대한 대응이 마련돼야 한다”면서 “개인정보 접속기록 관리 솔루션이 도입되면, 개인정보 취급자의 접속기록을 분석하고 위험 규칙에 따라 이상 행위를 감지해 개인정보를 오·남용하거나 불필요한 다운로드 행위를 소명 처리할 수 있다. 이로써 규제를 준수하고, 개인정보 책임자가 보다 편리하고 효율적인 점검 활동을 할 수 있도록 보장할 수 있기 때문에 개인정보 접속기록 관리 솔루션의 도입이 필요하다”고 설명했다.
피앤피시큐어|필수적 기본 기능에 집중한 '인포세이퍼(INFOSAFER)'
피앤피시큐어는 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’를 개발, 공급하고 있다. 피앤피시큐어 솔루션사업본부 공공채널사업부장 김상헌 상무는 “인포세이퍼는 그간 개인정보접속기록관리 솔루션으로서 반드시 갖춰야 할 기본 기능에 집중해 왔다. 기본 기능을 강조하는 이유는 이미 먼저 출시한 경쟁제품 대부분 기본기능이 제대로 동작하지 않아 고객의 불만이 발생하는 경우가 많았기 때문이다”라고 설명했다.
김상헌 상무는 피앤피시큐어가 생각하는 개인정보 접속기록 관리 솔루션의 기본기능에 대해 △고객이 보유한 주요 정보자산인 개인정보를 정확히 식별하고 그 위치를 파악/추적하는 것 △그렇게 식별한 개인정보에 접속하는 다양한 구간에서 접속기록을 생성/수집하는 것 △생성/수집된 접속기록을 안전하게 보관 및 관리하는 것 등으로 요약해 설명했다.
김상헌 상무는 “이렇게 기본기에 집중한 ‘인포세이퍼’는 출시 후 고객으로부터 좋은 평가를 받고, 이미 다른 제품의 유통 및 지원 경험을 토대로 전국 기술지원 체계를 운영해 제품구매로 이어져 높은 만족도를 이끌어냈다”고 밝히고 “앞으로는 개인정보 활용이 증가하고, 접속기록의 보관기간도 늘어나 대용량의 접속기록 관리에 대한 부분이 강조될 것”이라고 전망했다.
피앤피시큐어는 향후 빅데이터 분석 기술 적용을 통해 개인정보취급자, 부서, 개인정보주체 등 다양한 분류를 기준으로 그 현황을 확인하고, 이를 분석해 위험규칙을 추천 및 수립할 수 있도록 솔루션을 강화할 계획이다. 또한 고객사 맞춤식 위험 규칙을 적용해 내부 관리 계획 및 규정에서 정하는 바에 따라 이상행위 탐지 방법을 정밀화할 수 있도록 할 예정이다. 마지막으로 정밀해진 이상 행위 탐지를 바탕으로 개인정보 취급자의 소명에 대한 부분까지 관리영역을 폭넓게 적용하도록 솔루션을 발전시킬 계획이다.
'인포세이퍼(INFOSAFER)' 핵심 기능
1. 자유롭고 합리적인 위험 행위 관리(위험관리 및 소명 관리)
● 개인정보를 조회 및 사용하는 고객사의 부서/업무/사용자 등 다양한 개인정보 취급자 영역과, 업무시간/대량데이터조회/비인가IP/정보주체정보/결과값 등을 조합해 고객사 특정 상황에 맞는 개인정보 위협 행위를 맞춤 정의할 수 있음.
● 기록된 접속기록을 기반으로 빅데이터 분석을 통해 탐지하고 싶은 취급자 그룹에 대해 각종 데이터 임계치를 추천받을 수 있으며, 이를 통해 손쉬운 규칙 생성 또한 가능함. 이는 관리자 입장에서 내부관리 계획에 따른 비정상 행위 탐지 규칙 생성을 용이하게 하고, 시각적으로 위협을 알려주기 때문에 빠른 인지와 대응이 가능함.
● 위 과정을 통해 선별된 위험도 높은 사용자는 별도의 소명 프로세스에 의해 관리됨.
2. 다운로드 파일 분석 기능
● 3-Tier 구조(WEB-WAS)환경 하에서 개인정보 취급자가 파일을 다운로드하는 경우, ‘인포세이퍼’의 파일 분석 기능을 통해 실제 파일 내에 사용된 개인정보에 대한 분석이 가능함.
3. DBSAFER 연동 및 2티어 감사로그에 대한 로깅(V1.0 기준)
● ‘인포세이퍼(INFOSAFER)’는 피앤피시큐어의 데이터베이스(DB) 보안 솔루션인 ‘디비세이퍼(DBSAFER)’와 연동되어, 3-Tier 이외에 *2-Tier 사용자에 대한 개인정보 접속 기록도 정확하게 수집, 분석 결과를 제공함.
(*참고 : 2-Tier 접근이란, CS프로그램을 통해 DB에 직접 접근해 개인정보를 취득하는 행위를 의미함)
솔루션 구축 사례
구분 | 사례 |
공공기관 | A기관 : 기존 도입한 개인정보 접속기록 솔루션에서 대용량 로그 관리가 제대로 지원되지 않았으나, ‘인포세이퍼(INFOSAFER)’에서 이를 원활하게 지원하며 전체 시스템을 윈백함 |
B기관 : 개인정보 접속기록 도입이 계획돼 있어 여러 솔루션들을 비교하던 중, ‘인포세이퍼(INFOSAFER)’의 정확한 접속기록 로깅과 함께 컴플라이언스 대응을 위한 레포팅 자료출력이 잘 된다는 점에서 도입을 결정함 |
C기관 : 개인정보 유출 위험성이 가장 큰 DB 직접 접속자에 대한 통제가 필요해 DB접근제어 솔루션과 함께 로그/정책 연동이 가능한 ‘인포세이퍼’를 선정함 |
기업 | G기업 : 자체 개발해 운영 중이었으나 ISMS-P 인증심사 대응에 필요한 윈도우 IIS(Internet Information Services), 아파치(Apache) 등과 같은 다양한 환경 지원이 불가능해 전문 솔루션인 ‘인포세이퍼’를 도입, 컴플라이언스 요구사항을 간편하게 만족함 |
금융사 | A금융사: 개인정보 접속기록 관리 시스템 구축을 위해 다양한 솔루션을 비교했으며, 개인정보 처리시스템에 대한 전문적 분석을 통한 접속기록 로깅과 기타 업무시스템에 대한 접속기록 수집·분석이 우수해 ‘인포세이퍼(INFOSAFER)’를 최종 선정함 |
아이티데일리, 정종길 기자
기사 본문 보기
‘개인정보 보호법’ 전면 개정안이 올해 3월 공포되고, 5월부터는 입법예고 기간에 들어갔다. 이에 국민의 개인정보 데이터에 대한 권리가 한층 강해지고, 그간 산업 진흥을 이유로 활용에 초점이 맞춰져 있던 개인정보를 이제는 안전하게 관리해야 할 필요성이 높아지고 있다. 특히 개인정보 유출 사고 발생 시 과징금 상한이 높아진 데다 개인정보 취급자의 보호 노력 소명이 필수가 된 만큼, 자연스럽게 개인정보 접속기록 관리 솔루션에 대한 관심이 높아지고 있다. 관련 내용을 살펴본다.
개인정보 보호법 전면개정안 시행
지난 3월 14일 ‘개인정보 보호법’ 전면 개정안이 공포되면서 개인정보 보호 관련 업계는 앞으로 있을 시장 변화에 주목하고 있다. 개인정보 보호법의 규제 대상과 과징금이 확대되면서 개인정보 접속기록 관리 솔루션을 도입하는 기업들이 향후 더욱 늘어날 것으로 기대되기 때문이다. 업계는 크게 △개인정보 전송요구권 및 국외이전 요건 다양화 근거 신설 △과징금·벌칙 규정 개정 △공공기관의 개인정보 보호 수준 평가 근거 신설 △온·오프라인 규제 일원화 △개인정보 분쟁 심의 시 모든 개인정보 처리자 의무 참여 등의 핵심 내용들에 주목하면서 개인정보 보호 솔루션에 대한 민간의 수요 증가를 기대하고 있다.
개인정보 보호 솔루션 수요 증가 기대
먼저 개정 개인정보 보호법의 ‘제35조의2(개인정보의 전송 요구)’에 따라 개인정보 전송요구권이 신설되고, ‘제4절 개인정보의 국외 이전’에 따라 개인정보의 국외 이전 요건을 다양화하기 위한 근거가 새롭게 마련됐다. 이로써 금융·공공 분야에서만 제한적으로 도입됐던 마이데이터 서비스가 모든 영역에서 보편적으로 이뤄질 수 있는 기반이 마련됐고, 자연히 개인정보의 활용 빈도가 급격히 늘어날 것으로 예상된다. 업계는 이에 맞춰 디지털 환경에서 국민과 기업·기관 간 개인정보 처리에 대한 신뢰를 충족할 수 있는 개인정보 보호 솔루션에 대한 수요가 증가할 것으로 예상하고 있다.
‘제64조의2(과징금의 부과)’에 따라 개정된 과징금·벌칙 규정도 주목된다. 해당 조항으로 인해 개인정보보호에 대한 책임이 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환됐다. 특히 과징금이 ‘위반행위와 관련된 매출액의 3% 상한’에서 ‘전체 매출액의 3% 상한’으로 확대되면서 기업들의 부담이 크게 늘어난다는 점도 큰 영향을 줄 것으로 보인다. 이로써 업계는 기업이 개인정보 보호 솔루션에 투자할 수 있는 계기가 마련됐다고 평가하고 있다. 그리고 기존에 공공 중심이었던 개인정보보호 시장이 민간으로 더욱 가속화될 것으로 업계는 기대하고 있다.
‘제63조의2(사전 실태점검)’으로 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거도 새롭게 마련됐다. 2022년 7월에 발표된 ‘공공기관 개인정보 유출 방지 대책’으로 개인정보 침해사고 발생의 위험성이 높고 개인정보 보호의 취약점을 사전에 점검해야 하는 기관에 한해 개인정보 보호 실태를 점검할 수 있는 조항이 신설된 바 있다. 이번에 법적 근거가 마련됨으로 인해 공공기관은 개인정보보호에 대한 인식을 지속적으로 개선시켜나가야 하게 됐고, 이에 따라 업계는 개인정보보호 솔루션에 대한 꾸준한 수요 증가를 예상하고 있다.
뿐만 아니라 기존에 온라인 사업자에 한하던 규제 조항들이 오프라인에서 개인정보를 처리하는 사업자에게도 동일하게 적용될 예정이라 더 많은 기업과 기관에서 개인정보 보호 솔루션을 도입할 것으로 예상된다. 마지막으로 개인정보 관련 분쟁 조정 시 모든 개인정보 처리자가 의무적으로 참여해 개인정보 보호 노력을 소명해야 하는 만큼 개인정보 접속기록 관리 솔루션의 도입이 확대될 것으로 기대하고 있다.
현재 개인정보 보호법은 5월 19일부터 6월 28일까지 40일간의 입법예고 기간에 돌입한 상태다.
'개인정보 보호법' 개정 주요내용 요약
개인정보 접속기록 관리 솔루션 주목
그동안 각종 산업계에서는 개인정보의 중요성과 보호의 필요성을 인지하지 못하고 편리함을 이유로 무분별하게 관리, 사용해온 것이 사실이다. 이지서티 관계자는 “현대 사회에서는 인공지능(AI), 빅데이터, 마케팅, 금융, 의료, 교육 등 다양한 분야에서 개인정보가 중요한 데이터로 활용되고 있다. 게다가 현재의 인터넷 기술 환경에서 개인정보의 유출 및 악용 가능성이 훨씬 높아지고 있어, 개인정보보호는 선택이 아닌 필수가 됐다”고 설명하면서 “개인정보를 보호해야 하는 이유는 개인 신원 정보 도난 방지, 기업의 무분별한 데이터 활용 방지, 범죄 피해 예방, 사회적 불이익 방지, 미래 보안 위협 예방 등이 있다. 이를 위해 다수의 공공기관과 민간기업에서는 자체적인 개발을 통해 타인의 개인정보를 열람할 경우 접속기록 로그를 생성하고, 오남용 되지 않도록 관리하는 절차를 수립하고 있다. 하지만 강화되는 법적 규제를 충족하기 위한 업무 부담이 증가하면서 개인정보 접속기록 관리 솔루션에 대한 관심이 높아지고 있다”고 강조했다.
피앤피시큐어 솔루션사업본부 공공채널사업부장 김상헌 상무는 “개인정보의 오남용을 방지하고 위험을 탐지하기 위해서는 접속기록의 정확한 로깅과 모니터링 방안이 필요하다. 또한 관련 법규 준수와 함께 ISMS-P 인증까지 규제 준수(Compliance)에 대한 대응이 마련돼야 한다”면서 “개인정보 접속기록 관리 솔루션이 도입되면, 개인정보 취급자의 접속기록을 분석하고 위험 규칙에 따라 이상 행위를 감지해 개인정보를 오·남용하거나 불필요한 다운로드 행위를 소명 처리할 수 있다. 이로써 규제를 준수하고, 개인정보 책임자가 보다 편리하고 효율적인 점검 활동을 할 수 있도록 보장할 수 있기 때문에 개인정보 접속기록 관리 솔루션의 도입이 필요하다”고 설명했다.
피앤피시큐어는 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’를 개발, 공급하고 있다. 피앤피시큐어 솔루션사업본부 공공채널사업부장 김상헌 상무는 “인포세이퍼는 그간 개인정보접속기록관리 솔루션으로서 반드시 갖춰야 할 기본 기능에 집중해 왔다. 기본 기능을 강조하는 이유는 이미 먼저 출시한 경쟁제품 대부분 기본기능이 제대로 동작하지 않아 고객의 불만이 발생하는 경우가 많았기 때문이다”라고 설명했다.
김상헌 상무는 피앤피시큐어가 생각하는 개인정보 접속기록 관리 솔루션의 기본기능에 대해 △고객이 보유한 주요 정보자산인 개인정보를 정확히 식별하고 그 위치를 파악/추적하는 것 △그렇게 식별한 개인정보에 접속하는 다양한 구간에서 접속기록을 생성/수집하는 것 △생성/수집된 접속기록을 안전하게 보관 및 관리하는 것 등으로 요약해 설명했다.
김상헌 상무는 “이렇게 기본기에 집중한 ‘인포세이퍼’는 출시 후 고객으로부터 좋은 평가를 받고, 이미 다른 제품의 유통 및 지원 경험을 토대로 전국 기술지원 체계를 운영해 제품구매로 이어져 높은 만족도를 이끌어냈다”고 밝히고 “앞으로는 개인정보 활용이 증가하고, 접속기록의 보관기간도 늘어나 대용량의 접속기록 관리에 대한 부분이 강조될 것”이라고 전망했다.
피앤피시큐어는 향후 빅데이터 분석 기술 적용을 통해 개인정보취급자, 부서, 개인정보주체 등 다양한 분류를 기준으로 그 현황을 확인하고, 이를 분석해 위험규칙을 추천 및 수립할 수 있도록 솔루션을 강화할 계획이다. 또한 고객사 맞춤식 위험 규칙을 적용해 내부 관리 계획 및 규정에서 정하는 바에 따라 이상행위 탐지 방법을 정밀화할 수 있도록 할 예정이다. 마지막으로 정밀해진 이상 행위 탐지를 바탕으로 개인정보 취급자의 소명에 대한 부분까지 관리영역을 폭넓게 적용하도록 솔루션을 발전시킬 계획이다.
1. 자유롭고 합리적인 위험 행위 관리(위험관리 및 소명 관리)
● 개인정보를 조회 및 사용하는 고객사의 부서/업무/사용자 등 다양한 개인정보 취급자 영역과, 업무시간/대량데이터조회/비인가IP/정보주체정보/결과값 등을 조합해 고객사 특정 상황에 맞는 개인정보 위협 행위를 맞춤 정의할 수 있음.
● 기록된 접속기록을 기반으로 빅데이터 분석을 통해 탐지하고 싶은 취급자 그룹에 대해 각종 데이터 임계치를 추천받을 수 있으며, 이를 통해 손쉬운 규칙 생성 또한 가능함. 이는 관리자 입장에서 내부관리 계획에 따른 비정상 행위 탐지 규칙 생성을 용이하게 하고, 시각적으로 위협을 알려주기 때문에 빠른 인지와 대응이 가능함.
● 위 과정을 통해 선별된 위험도 높은 사용자는 별도의 소명 프로세스에 의해 관리됨.
2. 다운로드 파일 분석 기능
● 3-Tier 구조(WEB-WAS)환경 하에서 개인정보 취급자가 파일을 다운로드하는 경우, ‘인포세이퍼’의 파일 분석 기능을 통해 실제 파일 내에 사용된 개인정보에 대한 분석이 가능함.
3. DBSAFER 연동 및 2티어 감사로그에 대한 로깅(V1.0 기준)
● ‘인포세이퍼(INFOSAFER)’는 피앤피시큐어의 데이터베이스(DB) 보안 솔루션인 ‘디비세이퍼(DBSAFER)’와 연동되어, 3-Tier 이외에 *2-Tier 사용자에 대한 개인정보 접속 기록도 정확하게 수집, 분석 결과를 제공함.
(*참고 : 2-Tier 접근이란, CS프로그램을 통해 DB에 직접 접근해 개인정보를 취득하는 행위를 의미함)
아이티데일리, 정종길 기자
기사 본문 보기