[데이터 보호] 가장 완벽한 데이터 보호 방법, 암호화
상태바
[데이터 보호] 가장 완벽한 데이터 보호 방법, 암호화
  • 김선애 기자
  • 승인 2017.10.11 17:17
  • 댓글 0
이 기사를 공유합니다

정형·비정형 형태의 개인정보 모두 암호화 해야…데이터·업무 특성 맞는 데이터 보안 방법 마련해야

대형 개인정보 유출 사고가 이어지면서 제정된 개인정보보호법이 시행 5년이 지났다. 그동안 많은 개정을 거쳐 DB 시스템 뿐 아니라 모든 형태로 존재하는 데이터에서 주민등록번호를 없애도록 하고 있다. 이로 인해 다양한 데이터 암호화 시장이 성장하게 됐다. 개인정보보호법 특수가 완료되고 있는 현재, 의료 분야 등 다른 분야로 암호화 특수를 이어가는 한편, 클라우드·IoT에 맞는 데이터 보안 전략을 제공하고자 한다. 데이터 암호화 시장을 분석한다.<편집자>

개인정보 유출 사고는 이제 더 이상 충격적인 소식조차 되지 않는다. 개인정보 유출 범죄 피해자가 우리나라 인구의 2배에 달한다는 분석도 발표됐지만, ’우리나라 국민의 개인정보는 이미 전 세계인의 공공 데이터‘라는 자조적인 목소리가 여전히 나오고 있다.

젬알토의 데이터 유출 사고 분석 보고서 ‘2017 상반기 브리치 레벨 인덱스(BLI)’에 따르면 올해 상반기 전 세계에서 유출된 데이터는 19억개에 이르며, 지난해 하반기보다 164% 늘어난 것이다. 젬알토는 1초에 122개가 유출되는 수준이라고 설명하며, 암호화 데이터는 전체의 1%도 안 되며, 지난해 하반기 4%보다 감소했다고 지적했다.

▲유출된 데이터 유형과 데이터 유출 사고 유형(자료: 젬알토 ‘2017년 상반기 데이터 브리치 인덱스)

개인정보보호법 강화되며 암호화 요구 높아져

개인정보 유출 사고가 반복되면서 위험의 체감도가 낮아지고 있지만, 개인정보 유출은 제 2, 제 3의 피해를 야기할 수 있다. 유출된 개인정보를 이용한 대출사기, 신용카드 부정발급, 보이스피싱, 피싱·파밍 등의 공격 피해를 입을 수 있다.

개인정보 유출로 인한 피해를 막기 위해 우리나라에서는 2012년부터 개인정보보호법을 시행, 기업/기관이 보유하고 있는 개인정보에 대한 보안 조치를 취하도록 했다. 개인정보보호법은 여러차례의 개정이 이뤄졌으며, 현재는 데이터베이스 뿐 아니라 기업/기관이 저장하는 모든 주민등록번호도 암호화하도록 했다. ‘모든 주민등록번호’에는 로그, 이미지, 녹취, 문서파일, OCR 등 비정형 데이터 전체를 포함한다.

지난해 말까지 100만명 미만의 주민등록번호를 보관하는 기업이 의무화 대상이며, 올해 말 100만명 이상 주민등록번호를 보관하는 기업이 대상이다. 대부분의 금융사가 의무화 대상으로 현재 암호화 프로젝트를 진행하고 있다.

정보보호관리체계(ISMS)에서도 중요 개인정보는 암호화하도록 권고하고 있으며, 전자금융감독규정에서도 안전한 암호화와 키관리를 권장하고 있다. 또한 내년 5월 시행되는 유럽 개인정보보호법(EU GDPR)에서도 개인정보 침해 사고 시 막대한 과태료를 물게 할 방침이어서 개인정보 보호를 위한 방법 마련이 시급하다.

“금융권 암호화 사업 절반 정도 진행”

개인정보 보호의 가장 확실한 방법은 암호화다. 암호화 된 데이터는 복호화 키가 없으면 해독할 방법이 없다. 데이터가 유출된다 해도 안전하게 보호할 수 있다. 이 때문에 개인정보보호법이 개정될 때 마다 암호화 시장이 성장을 거듭하고 있다.

개인정보보호법 시행 초기에는 DB 암호화와 DB접근제어 시장이 크게 성장했으며, 규제준수를 위해 진행한 정형 데이터 암호화 사업은 완숙기에 접어들었다고 평가된다. 비정형 데이터 암호화의 경우도, 올해 말 까지 모두 완료해야 하기 때문에 중요한 핵심 사업은 진행중이거나 마무리 되고 있다.

이문형 탈레스 이시큐리티 이사는 “금융권의 암호화 사업은 50% 가량 진행된 것으로 파악하고 있다. DB암호화는 마무리 단계에 이른 것으로 보이며, 비정형 데이터 암호화는 한창 진행 중이다. 특히 이 시장은 금융 외에 다른 산업군으로도 화대, 성장이 기대된다”고 말했다.

비정형 데이터 암호화, 준수 요건 맞추기 어려워

비정형 데이터 암호화는 완벽하게 만족시키기 까다로운 규제이다. 문서, 로그파일, 전자청약서, 녹취파일 등 많은 형태의 데이터에 개인정보가 포함돼 있다. 이러한 개인정보는 서버, 로그서버, 임직원 단말, 공인전자문서보관소, 외부 협력업체, 클라우드 등에 보관돼 있다.

산재된 시스템에서 찾아낸 개인정보를 암호화할 때, 파일의 형태에 따라 다른 암호화 기술을 적용하는 것은 준수하기 까다로운 문제다. 개인정보가 포함된 파일 전체를 암호화 할 것인지, 파일 중 개인정보만을 암호화 처리 할 것인지 판단해야 한다. 로그 암호화의 경우, 지속적으로 쌓이는 대량의 로그를 모두 암호화 처리하는데 어려움을 겪는다.

개인정보 암호화에 대한 비판적인 시각도 데이터 암호화의 걸림돌이다. 신영호 이니텍 팀장은 “개인정보에 대한 정확한 정의 및 업무 분석에 대한 미비로 인하여 단순 암호화 처리만으로 개인정보가 완료된다고 생각하거나 암호화는 업무의 불편을 야기하므로 도입을 꺼리는 부분이 있다”며 “개인정보 보호 솔루션은 암호화를 기본으로 하고 있으며, 해당 업무에 대한 정확한 분석과 최적의 방안을 적용한다면 안전한 상태에서 개인정보를 업무적으로 사용할 수 있는 환경을 제공할 수 있다”고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.