Home > 전체기사

[가명정보 처리 솔루션 리포트] 안전한 개인정보 활용으로 ‘新보안체계 구축’

  |  입력 : 2022-06-30 18:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
데이터 3법, 가명정보 처리 가이드라인 개정으로 가명정보 처리 솔루션에 ‘관심’
가명정보 활용이 곧 경쟁력, 관련 산업과 솔루션 시장도 큰 폭 성장세
기업에서 가장 어려워하는 가명정보 처리, 개인정보 업무담당자들의 설문조사 결과
대표적인 가명정보 처리 솔루션 집중해부 : 스파이스웨어 ANP, 이노코어 Innover De-ID, 펜타시스템테크놀러지 ‘DataEye PIDI’


[보안뉴스 기획취재팀] 제20대 대통령직 인수위원회 디지털 플랫폼 정부 TF에서 지난 5월 4일 발표한 디지털 플랫폼 정부 구현 중점 추진과제 중 하나가 바로 안전하고 신뢰할 수 있는 이용환경 보장이다. 개인정보 활용 시에는 이력 상시 확인, 이상 행위 탐지 등으로 데이터 유출을 방지하고, 개인정보 활용을 저해하는 요소와 법은 재정비하겠다고 밝혔다.

[이미지=utoimage]


개인정보 전송요구권 법제화, 기업의 마이데이터 도입 등 개인정보 활용과 보안을 동시에 제고할 수 있는 新보안체계 구축 방침을 밝힌 만큼 안전한 개인정보 활용에도 관심이 쏠리고 있다. 안전한 개인정보 활용을 위해 비식별처리된 가명정보를 활용하면 새로운 기술 개발과 다른 업종 간의 데이터 결합을 통해 새로운 상품과 서비스를 만들 수 있다. 특히, 4차 산업혁명 시대의 인공지능(AI), 사물인터넷(IoT), 자율주행차 등에 가명정보를 활용하면 새로운 가치 창출과 무궁무진하게 데이터의 가치를 끌어올릴 수 있다. 이에 따라 가명정보 처리 솔루션에도 관심이 집중되며, 관련 분야가 뜨거운 감자로 떠오르고 있다.

이에 <보안뉴스>에서는 안전한 개인정보 활용을 위해 지난 4월 발표된 ‘가명정보 처리 가이드라인’의 주요 내용에 대해 짚어보고, 가명정보 활용에 있어 기업에서 가장 어려워하는 점은 무엇인지에 대해 알아봤다. 아울러 가명정보 처리 솔루션의 대표주자인 이노코어, 데이타스, 스파이스웨어, 이지서티, 컴트루테크놀로지, 파수, 펜타시스템테크놀러지 보안기업 7곳과의 인터뷰를 통해 가명정보 처리를 위한 방안 제시와 함께 솔루션의 핵심기능과 특징 등에 대해 들어봤다(업체명 가나다 순).

가명정보 활용이 곧 경쟁력, 관련 산업과 솔루션 시장도 ‘본격 시동’
그간 개인정보보호는 암호화, 접근통제 등 정보보안 기술을 활용한 안전조치 위주로 집중돼 왔다. 개인정보관리 허술에 따른 개인정보 유출 사고 등 각종 보안이슈가 끊이지 않고 발생했기 때문이다. 기존의 정보보안 기술로는 개인정보 처리 과정에서 노출 최소화, 오·남용 방지, 이용자 개인정보보호 등에는 한계가 있었다.

이러한 가운데, 빅데이터·인공지능 등 데이터 활용기술은 날로 발전하며, 데이터 활용의 수요도 증가했다. 안전한 데이터 활용에 대한 관심과 인식은 차츰 변하기 시작했고, 기업의 가치를 높이기 위한 가명정보의 활용은 필수 경쟁력으로 급부상했다. 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법) 개정은 안전한 데이터 활용에 불을 지폈고, 통계작성, 과학적 연구 등 정보 주체의 동의 없이 가명 정보의 결합·활용을 할 수 있게 된 법적 근거(개인정보보호법 28조의 2)는 데이터 활용에 본격적인 시동을 걸어주었다.

지난 4월 20일 개인정보보호법 개정으로 데이터 분석 및 거래사업자 규정에 따라 기업은 데이터거래사업자 신고를 통해 데이터를 유료로 거래할 수 있게 됐다. 이후 4월 28일 개정된 ‘가명정보 처리 가이드라인’이 발표됐고, 개인정보보호와 활용·관리가 가능한 시스템 구축과 가명정보 처리 가이드라인을 충족하는 솔루션에 관심이 쏠렸다. 다양한 처리방식과 보안성, 효율성을 높인 솔루션은 기업의 선택을 받으며 쏙쏙 도입되기 시작했다.

특히, 기존에는 내부적인 관리체계가 부족한 상태에서 컴플라이언스 이슈로 가명처리 솔루션을 도입했다면, 근래에는 가명처리 프로세스와 기존 비즈니스 플로우와의 조화를 포인트로 보고 도입하는 추세다.

솔루션 시장 역시 초기에는 단순히 가명정보 처리 솔루션 도입 위주로 형성되었다가, 이제는 데이터 관리의 인식과 기업 내부 정보보호조직의 컴플라이언스 대응을 위한 관리체계 고도화로 가명처리 기술보단 활용 및 프로세스로 확대되는 양상이다. 가명처리된 데이터셋 활용을 위해 결과저장소 관리로 넓어지고, 가명처리 프로세스가 개인정보 체계에서 전사 거버넌스 체계로 영역이 확장되고 있다.

안전한 개인정보 활용 위해 ‘가명정보 처리 가이드라인’ 발표
기업에서는 솔루션 도입에 앞서 가명정보 제도와 ‘가명정보 처리 가이드라인’을 살펴볼 필요가 있다. 데이터 산업 활성화와 개인정보를 안전하게 활용하고자 도입된 이 제도는 2020년 8월 5일 본격 시행된 ‘데이터경제 3법’ 개정의 일환으로 도입됐다. 그리고 지난 4월 가명정보 결합 및 반출 등에 관한 고시가 개정된 ‘가명정보 처리 가이드라인’이 발표됐다.

이번에 개정된 가이드라인의 주요 내용은 첫째, 가명정보가 별도로 분리돼 개인정보, 식별 가능성이 있는 정보, 가명정보, 익명정보로 구분된다. 개인정보는 성명, 주민등록번호, 영상 등 개인을 알아볼 수 있는 정보로, 다른 정보와 쉽게 결합해 개인을 특정할 수 있다. 가명정보는 개인정보의 일부나 전부를 삭제, 대체하는 등 가명처리를 통해 추가정보 없이는 특정 개인을 알아볼 수 없는 정보를 말한다. 익명정보는 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보를 뜻한다.

둘째, 기존 2단계인 가명처리 단계가 세분화돼 △대상선정 △식별 위험성 검토 △이용 및 제공에 따른 검토로 구분되고, 3단계는 가명처리 단계가 별도로 구분 및 추가돼 △항목별 가명처리 계획설정 △가명처리 수행 △추가정보 분리보관으로 구분됐다.

셋째, 데이터 위험성 평가항목에서 재식별시 영향도(사회적 파장, 사회통념상 차별 유발 가능 등)가 추가됐고, 넷째, 결합 유형과 각 결합 유형별 반출정보의 범위를 이해하기 쉽게 그래프로 표현하고 다양화됐다.

[이미지=utoimage]


이에 따라 개인정보의 가명처리 단계는 ①가명처리 목적 설정 등 사전준비 ②위험성 검토 ③가명처리 수행 ④적정성 검토 및 추가 가명처리 ⑤가명정보의 안전한 관리 단계로 이루어진다. 각 단계별로 살펴보면 ①가명처리 목적 설정 등 사전준비 단계는 가명처리 목적 설정, 처리대상 선정, 목적 적합성 검토, 안전조치, 서류작성 등의 단계를 거치게 된다. ②위험성 검토 단계로 대상 선정, 식별 위험성 검토, 이용·제공에 따른 검토를 진행한다. ③가명처리 수행 단계는 항목별 가명처리 계획을 설정하고, 가명처리를 수행하면 된다. 또한, 추가정보는 분리해 보관해야 한다. ④적정성 검토 단계에서는 필요서류 검토, 목적 적합성 검토, 식별 위험성 검토, 가명처리 방법·수준 적정성 검토, 가명처리 적정성 검토, 목적 달성 가능성 등 검토 과정을 거쳐야 한다. ⑤마지막 단계는 안전한 관리로 재식별 금지, 재식별 가능성 모니터링, 안전조치 시행, 가명정보 처리기록 작성·보관 등을 해야 한다.

가명정보 활용은 개인정보보호법 제28조의2(가명정보의 처리 등) 근거에 따라 통계작성, 과학적 연구, 공익적 기록보존 등 목적에 한해 정보 주체의 동의 없이 활용할 수 있다. 하지만 제3자에게 제공할 경우 특정 개인을 알아보기 위해 사용될 수 있는 정보를 포함하면 안 된다.

가명정보 결합은 제28조의3 근거에 따라 중앙행정기관인 개인정보보호위원회, 보건복지부, 과학기술정보통신부, 교육부, 국토교통부, 금융위원회 등의 장이 지정한 곳에서 수행한다. 지정된 결합전문기관은 통계청, 건강보험심사평가원, 한국지능정보사회진흥원, 한국교육학습정보원, 한국도로공사, 금융보안원 등이다. 결합된 정보 외부 반출은 전문기관장의 승인을 받아야 한다. 가명정보 결합은 결합신청자의 결합신청 → 결합키 관리기관의 결합키 연계정보 생성 → 결합 전문기관의 가명정보 결합 및 반출 → 결합신청자의 반출정보 활용 및 관리 등 순으로 진행하면 된다. 또한, 개인정보처리자는 정보 주체의 권리보장을 위해 개인정보보호법 제37조에 따라 정보 주체가 자신의 개인정보에 대한 가명처리 정지를 요구하는 경우 이를 보장해야 한다.

기업에서 가장 어려워하는 가명정보 처리
하지만 기업에서의 가명정보 처리는 쉽지 않다. 데이터 개방에 따른 각종 보안사고에 대한 우려와 재식별 위험 및 반출에 따른 보안이슈, 가명처리 적정성 여부 평가 등 가명정보 처리 업무가 만만치 않기 때문이다. 특히, 기업에서 가명정보 처리에 있어 가장 어려워하는 점으로 데이터 개방, 데이터 활용에 대한 인식부족, 데이터 집중화로 인한 보안 리스크 증가, 컴플라이언스 준수 등이 꼽혔다.

최재영 이노코어 대표는 “다양한 소스에서 데이터를 직접 수집해 사전처리와 가명처리 후 실 사용자에게까지 데이터가 제공되는 과정이 기업마다 다르다. 특히 가이드라인이 개정되기 전에는 기업마다 컴플라이언스 충족에 혼선을 겪으며 어려워했다”고 밝혔다.

장병건 데이타스 이사는 “아직은 개인정보 보유 기관(회사)에서 데이터 개방을 꺼려 한다”고 언급하며, 지난 4월 개정된 데이터거래사업자 신고 제도로 시장의 활성화를 기대했다.

김규수 스파이스웨어 사업본부장은 “가명·익명처리 가이드라인 준수를 어려워한다”며 “특히 결합 데이터의 개인 재식별로 인한 2차 피해 가능성에 대한 우려로 가명정보와 익명정보의 안전한 변환에 어려움을 토로한다. 다음으로는, 안전한 가명 데이터 생성운영 활용이 어렵다는 점이다. 안전한 가명 데이터 생성 프로세스나 표준화된 처리시스템 구축이 미비하고 운영 및 활용에 대한 전문 인력이 부재하다. 마지막으로, 데이터 집중화로 인한 보안리스크 증가다. 융합 가공돼 정제된 데이터는 데이터의 가치가 상승해 해커의 표적이 될 수 있다”고 지적했다.

심기창 이지서티 대표는 “대부분의 조직이 데이터의 유용성을 강조하는 가명처리담당자 조직인 데이터 활용팀과 안정성을 강조하는 개인정보보호팀이 동일 조직으로 구성돼 있어, 우선적으로 데이터를 가명처리해 업무별로 결합하면 어떤 효과가 있는지 논리적 설득이 필요하다. 이를 위해서는 실제 데이터를 많이 활용해본 경험자들이 가명정보 처리 활용 업무에 참여하는 것이 필요하다”고 말했다.

파수 최필준 수석은 “하나는 개인정보를 가명처리 후 적정성 여부 평가에서 적정/부적정을 판단하는 평가기준이 모호하다”며 “지난 4월 개인정보보호위원회에서 적정성 검토 단계와 각 단계별 점검사항을 구체화한 ‘가명정보 처리 가이드라인’을 개정해 많은 부분 해소될 것”으로 내다봤다. 두 번째는, 가명처리 담당자가 데이터에 대한 이해도가 부족하거나 가명처리 업무가 익숙하지 않은 점에서 많은 어려움을 겪고 있다고 지목했다.

박세경 펜타시스템테크놀러지 본부장은 “적정성 평가시 평가 기준 설정을 어려워한다”며 “가명처리 시스템 사용부서인 가명정보 신청부서, 정보보호부서, 데이터운영부서 간에 ‘활용과 보호’ 관점에서 요구수준이 서로 상충되고 있다”고 진단하며 기존 거버넌스 체계가 부실해 가명처리 규정·지침·프로세스 정립과 개인정보 활용에 관련해 강화된 컴플라이언스 대응이 필요하다고 강조했다.

가명정보 처리, 43%는 자체 인력 및 내부 시스템으로 처리
이와 관련해 <보안뉴스>는 기업과 기관의 개인정보 처리 및 보호 담당자를 대상으로 6월 13일부터 6월 17일까지 ‘가명익명정보 처리 솔루션 인식 및 선택기준’에 대한 설문조사를 실시했다. 설문참여자 중 47.8%는 가명·익명정보 처리를 하고 있다고 응답했으며, 39%가 못하고 있다고 답변했다.

가명정보 처리 방식에 대해서는 43%가 자체 인력 및 내부 시스템으로 가명·익명정보 처리를 하고 있다고 답했으며, 30.9%가 아직 결정 전이다. 11.8%가 가이드라인을 참조하거나 가명정보 지원센터 등을 활용해 가명처리를 하고 있다고 밝혔다.

가명정보 처리 솔루션의 가장 중요한 핵심 기능으로는 가장 많은 응답자(45.4%)가 결합 및 고속분산과 정확성 등이 보장된 안전한 가명정보 처리 기능을 으뜸으로 꼽았다. 다음으론 적정성 평가등 컴플라이언스 준수 29.8%, 안전한 개인정보 활용을 위한 사용자의 니즈에 맞춰 DB구조 확장성 지원 24.1% 순으로 집계됐다.

가명정보 처리 솔루션의 가장 중요한 핵심 기능으로는 가장 많은 응답자(45.4%)가 결합 및 고속분산과 정확성 등이 보장된 안전한 가명정보 처리 기능을 꼽았다. 다음으론 적정성 평가 등 컴플라이언스 준수 29.8%, 안전한 개인정보 활용을 위한 사용자의 니즈에 맞춰 DB구조 확장성 지원 24.1% 순으로 집계됐다.

▲‘가명익명정보 처리 솔루션 인식 및 선택기준’에 대한 설문조사[자료=보안뉴스]


가명정보 처리 솔루션 주요 기능·특장점·성능
이노코어, 레시피 기능 통해 작업 재활용과 효율성 ‘높여’
안전한 개인정보 활용을 위한 방안으로 가명정보 처리 솔루션에도 관심이 모아지고 있다. 일반적인 가명처리, 익명처리, 내·외부 결합에 대한 기능부터 분산처리, 통합관리까지 다양한 처리방식과 프로세스, 관리 등 대응방안을 제시해주고 있다.

이노코어 Innover De-ID 솔루션은 레시피 기능을 통해 기존 작업의 재활용과 효율성 개선에 우선하고 있다. 더불어 ETL, 메타데이터 등록관리, 데이터 암복호화와 같은 부가기능을 통해 가명처리 전후 과정에 대해 섬세한 지원을 하고 있다. 대용량 처리를 위해 스케쥴링 기능을 제공하고, 특이치 도출, 통계 처리, 암복호화 등 기술적 성능을 요하는 기능과 관련해서는 이노코어의 기술 노하우로 백그라운드에서의 효율적 처리가 가능한 점을 꼽을 수 있다.

특히, 핵심 요소인 대용량 데이터를 어떻게 원하는 형태의 데이터로 빠르게 처리할 것인지가 관건인 만큼, 성능 극대화에 노력하고 있다. 아울러 향후 가명처리 솔루션은 다양한 조직에서의 접근성, 컴플라이언스에 대한 관리체계 내재화, 업무 플로우와의 융합 등이 중요할 것으로 내다보고, 접근성 개선을 우선 보완사항으로 보고 개발에 매진하고 있다.

데이타스, 가명정보 라이프사이클 통합 관리로 ‘차별화’
데이타스는 개인정보 가명익명조치 통합관리 솔루션으로 주목받고 있다. 데이타스의 ‘PA master’는 가명처리 위험도 종합 측정, 가명처리 기술 추천, 재식별 가능성 정량 평가지표 등 가명정보 라이프사이클 통합 관리로 차별화한 게 특징이다. 특히, 데이터베이스 엔지니어가 엑셀로 하던 작업을 솔루션으로 비전문가도 쉽고 편리하게 가명처리 할 수 있도록 구현했다. 무엇보다 ‘가명정보 처리 가이드라인’ 등에 맞춰 컴플라이언스 준수가 가능하다.

성능 측면에서는 H/W 성능 사양에 따라 수십억 건의 데이터 분량의 고속처리가 가능하다. 특별한 경우를 제외하고는 가명처리 솔루션으로 8Core 수준의 H/W에서 1~2시간 정도로 처리할 수 있다. 솔루션의 권장 사양 운영체제는 CentOS 7.0~7.9이며, CPU는 2.0GHz(8코어) 이상이며, 메모리는 32GB RAM, 저장공간은 SSD 1TB 이상 사용 가능하다.

스파이스웨어, 개인정보 접근하지 않아도 가명처리 ‘가능’
스파이스웨어의 ‘스파이스웨어 ANP’는 마케팅과, 통계, 연구목적의 데이터를 생성하는데 유용하게 활용할 수 있는 솔루션이다. 개인정보 처리자가 개인정보에 접근하지 않고도 효율적인 가명·익명처리를 가능하게 해 타사 솔루션과 차별화했다. 개인정보 원본과 가명처리 결과 사이를 서버 시스템에서 온라인으로 연결해 작업 스케줄러를 통해 정기적으로 가명처리 할 수 있다.

또한, 사용자가 가명처리를 설정할 때 형태 보존 가명화 방식을 사용해, 개인정보 노출을 제거하고 데이터를 식별하는 등 적절한 가명처리 기법을 적용할 수 있다. 이와 함께 가명처리 승인처리를 통해 가명처리의 목적과 처리자의 정보를 기록하고 가명처리 적정성 평가에 필요한 다양한 증적 추출이 가능해, 가명처리 전 구간에 개인정보 유출 가능성을 제거했다고 스파이스웨어는 설명했다.

스파이스웨어 ANP의 처리 성능은 가명정보 처리 솔루션에서 다뤄야하는 데이터소스가 매우 방대하고 다양한 만큼 내부적으로 In-memory Processing과 병렬처리 기법을 동시에 적용해 상당한 수준의 성능지표를 확보하고 있다. 고객의 데이터 관리체계와 이해관계자의 역할에 맞춰 데이터 활용 계획을 수립하고 가명처리 활용목적과 승인요청 내역에 기반해 데이터 적정성 검토가 가능하다. 데이터 적정성 도구로는 위험도 분석 모델, 준식별자 데이터 분포율, 개인정보 재식별 및 데이터 분포율을 활용할 수 있다. 가명처리 결과 데이터는 데이터베이스 또는 S3 등의 지정된 위치로 바로 저장할 수 있고 적정성 검토에 대해 승인 완료된 결과는 CSV나 결과 페이지 링크를 통해 활용할 수 있다.

이지서티, 자동화를 통한 편리한 관리
이지서티의 개인정보 가명·익명처리 솔루션인 ‘IDENTITY SHIELD’는 △고속분산 가명처리 △자동화를 통한 편리한 관리 △결합·데이터 전문기관 가명정보 결합처리 기능을 제공한다. 자동화를 통한 편리한 관리는 ETL, API 연동을 통해 다양한 환경에서 적용 및 지원이 가능하다. File to DB, DB to DB 등 다양한 데이터 포맷에 대한 가명처리가 가능하다. 관리기능 자동화를 통한 편리한 데이터 구성과 자동화 데이터 연계가 가능하다. 결합·데이터 전문기관 가명정보 결합처리는 가명정보 파일 송수신, 결합처리, 가명·익명 처리 등 업무 수행 기능을 지원하고, 분석 및 반출 심사 등을 위한 결합정보 적정성 검토 및 평가위원 업무 수행 기능을 지원하며, 각 기능(시스템)별 권한 관리, 접근통제 및 접근 이력관리 기능을 제공한다.

고속분산 가명처리 기술은 개인정보 가명처리 가이드라인 준수와 빅데이터를 기반한 In-Memory 기술을 이용한 고속가명처리 기술이다. 이지서티는 이 기술로 제품을 개발·상품화해 산업기술혁신에 앞장선 국내업체로 선정돼 ‘IR52 장영실상’과 ‘4차산업혁명대상 정보통신진흥원장상’을 수상했으며, 원천기술특허 21종을 보유하고 있다. 또한, 데이터 연계기술, 데이터 처리기술, 결합처리 기술, 데이터 분석기술, 모니터링 관리 등 개인정보 가명, 익명처리 및 결합을 위한 핵심 원천기술을 확보하고 있다. 제품인증과 관련해서는 GS인증 1등급과 TTA에서 V&V성능 평가에서 우수성을 인정받았다.

컴트루테크놀로지, AI기술로 이미지의 민감정보 ‘가명처리’
컴트루테크놀로지는 텍스트 개인정보 검출, 이미지 내 개인정보 검출, 비식별화 기술을 활용한 솔루션으로 시장 공략에 나섰다. ‘셜록홈즈 이미지스캔’은 이미지(신분증) 등에서 주민등록번호 등을 제거해 가명처리하는 비식별화(마스킹) 솔루션이다. 이미지에서 주민등록번호 등 주요 정보를 비식별화해 익명처리 한다. 주민등록 등본, 가족관계 증명서에 대한 공익적 차원에서의 기록 보존 시 주요 정보(가족관계, 주소 등)를 제외한 주민등록번호부를 비식별화(마스킹)해 처리한다.

주요 개인정보 원본 이미지는 별도로 안전하게 암호화해 저장한 후 열람 권한(제3자 제공, 고객응대 등)에 따라 고유식별정보를 제거한 버전을 제공한다. 또한, 자율주행차 운전 학습을 위한 도로 주행 영상 내 차량번호판, 얼굴 등을 비식별화해 학습적으로 활용(과학적 연구)할 수 있도록 기능을 제공하고 있다.

파수, 핵심 기능과 성능으로 기본에 ‘충실’
개인정보 비식별 솔루션은 핵심적인 기능의 성능이 검증되었는지가 가장 중요한 선택 요소다. 비식별 솔루션이 다양한 방식으로 활용될 수 있는 가능성이 높은 만큼, 핵심 기능의 성능이라는 기본에 충실해야 한다. 다양한 시각화 기능 지원, 컴플라이언스 대응, 빠른 처리 속도, 업무 프로세스 지원 등 타사와의 경쟁 성능 BMT 검증과정을 통해 파수 ADID 제품의 성능을 수차례 확인한 바 있다. 파수 ADID의 경우 대용량 데이터의 원활한 가명처리, 결합처리 등을 위해 파일 기반으로 데이터를 처리하고 있는데, 관계형 데이터베이스 기반으로 가명 처리하는 타 솔루션에 비해 처리대상 데이터 컬럼의 제약이 없을 뿐만 아니라, 병렬분산처리 기술을 통해 대용량 데이터 처리에 대한 빠른 성능을 제공하고 있다.

펜타시스템테크놀러지, 가명처리 포털 제공으로 통합 운영
가명처리시 필요한 필수 처리 기능뿐만 아니라, 가명처리 포털 제공으로 가명화 업무 프로세스를 전반적으로 관리해 통합 운영이 가능하다. TB이상의 데이터셋을 동시에 여러 개 처리가 가능한 가명처리 엔진에 대한 차별성을 갖고 있다.

특히, △개인정보가 저장된 원천시스템의 RDBM이나 JDBC 기반으로 직접 가명처리 기능 △가명처리 기법의 일괄 적용을 위한 표준컬럼 관리 기능 △적정성평가 그룹, 시스템관리 그룹, ADMIN 권한 그룹 등 Role 그룹 관리, 가명처리에 대한 실시간 모니터링 기능을 제공한다. 가명처리 대상 데이터셋의 크기가 테라바이트 수준의 대용량 데이터인 경우가 많아서, 솔루션의 처리 성능이 중요한 평가요소다. 동시(병렬)처리 기술을 가명처리 엔진에 내장하고 있어 빠르고 안정적인 성능을 보장한다. 특히, 통신사나 금융 고객사에서 가명처리 솔루션 선정을 위한 성능 PoC 평가에서 DataEye PIDI는 우수한 평가를 받았다.

[가명정보 처리 솔루션 집중해부 1. 스파이스웨어 ANP]
데이터 활용성 극대화한 ‘스파이스웨어 ANP’
데이터가 10TB라도 꿰어야 보배

빅데이터, AI 등 다양한 융·복합 산업에서의 데이터 이용 수요가 급증하면서 데이터 활용의 핵심인 가명정보 활용에 대한 법적 근거가 마련됐다. 가명처리는 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’을 말한다. 이때 유의해야 할 점은 ‘가명처리시 가명정보 자체만으로 특정 개인을 알아볼 수 있는지’와 ‘추가정보 또는 다른 정보의 결합 가능성’을 고려할 필요가 있다는 것이다. 예를 들어, 가명정보 처리자가 보유한 다른 정보 등을 통해 개인이 식별 가능한 경우는 가명처리가 잘못된 경우다.

데이터 유출, 예방이 최선의 대비책
내부자 실수에 의한 개인정보 유출 사고도 기업이 반드시 살펴야 할 부분이다. ‘스파이스웨어 ANP’는 기존 솔루션과 달리 가명정보 취급자가 개인정보 DB를 개인 컴퓨터에 내려받지 않아도 가명·익명처리 DB로 변환이 가능하다. 더욱이 데이터 보호 서비스 ‘Spiceware One DPS’와 함께 사용할 경우, 암호화된 개인정보 DB를 평문으로 바꾸지 않아도 가명·익명처리가 가능해 유출 가능성을 최소화할 수 있다. 개인정보 원본과 가명처리 결과가 서버 시스템에서 온라인으로 연결돼 있기 때문에 작업 스케줄러 기능으로 비식별 처리를 정기적으로 자동 처리할 수 있다는 점도 장점이다.

또 비식별화된 데이터는 형태보존 가명화 형태로 저장돼 있어 가명정보 취급자가 개인정보를 직접 확인하지 않아도 어떤 정보인지 분별해 가명처리 기법을 적용할 수 있다. 여기에, 권한 및 이력 관리 기능으로 더욱 안전한 비식별 처리 환경을 만들었다. 가명처리 목적과 처리자 정보를 기록하고 가명처리 적절성 평가에 필요한 다양한 증적 추출로, 가명처리 전 과정에서 개인정보 유출 가능성을 제거했다.

안전성과 편리성 모두 잡은 솔루션
‘스파이스웨어 ANP’는 스파이스웨어의 강점인 인공지능 기술과 데이터 암호화 기술을 적용해 데이터 안전성과 사용자 편리성을 모두 잡았다. 인공지능이 90여개 이상의 개인정보를 자동으로 식별하고 중요도에 따라 암호화 처리 유형을 추천한다. 또 개인정보 유형별로 각각 다른 암호키를 사용해 암호화할 수 있으며 암호문 내부에 스파이스웨어 딥시그니처 코드를 삽입해 해독이 불가능하다. DB(MariaDB, MySQL), S3(CSV) 등 다양한 데이터 소스를 불러올 수 있으며, 비식별 처리 결과물은 설정한 가명처리 DB에 자동 전송할 수 있다. 또 ‘적절한 수준으로 가명처리가 이뤄졌는지’, ‘재식별 가능성은 없는지’와 같이 재식별 위험 지표를 실시간으로 보여주는 등 사용자의 편리성을 고려한 서비스다.

이와 함께 사용자가 직접 개인정보 데이터 활용 목적에 맞는 개인정보 수집 및 변환 설정을 수립할 수 있다. 개인정보 데이터의 성격, 유형, 활용 목적 등에 따라 식별자, 준식별자, 민감 정보 유형을 구분하는 것은 물론, 데이터 변환에 필요한 마스킹, 라운딩, 인터벌, 암호화 등 세부 내용도 설정이 가능하다. 이밖에도 결합 전문기관을 통해 기업 간 개인정보 결합을 위한 가명처리 및 결합키 생성 기능도 제공한다.

[자료=스파이스웨어]


[가명정보 처리 솔루션 집중해부 2. 이노코어 Innover De-ID]
빅데이터 플랫폼 연계에 특화된 가명처리 솔루션, Innover De-ID
BigData에서 안전한 SmartData로 변화를 이끄는 이노베이션 기업, 이노코어


Secure ETL부터 가명처리 및 데이터 결합까지 빈틈없는 개인정보보호
이노코어의 Innover De-ID는 사용성·고성능·확장성에 초점을 둔 개인정보 가명처리 솔루션으로 다양한 소스로부터 데이터를 수집해 변환하고 통합하는 ETL 과정을 보다 안전하게 처리할 수 있게 하며, 개정된 가명정보 처리 가이드라인에 맞춤화된 가명처리 프로세스와 다양한 프로젝트 기능을 통한 가명처리, 익명처리, 내·외부 결합 등의 작업을 지원한다.

Innover De-ID는 가명정보 처리 가이드라인에서 규정하고 있는 가명처리 기법을 포함해 △작업의 효율적인 재사용을 위한 레시피 기능 제공 △결합전문기관 외부결합을 위한 프로젝트 지원 △데이터 내부결합을 위한 기능 지원 △가명처리 위험도 평가 및 수준 정의 지원 △적정성 검토 프로세스 지원 △데이터 접근권한 제어를 통한 안전한 배포 △감사로그를 통한 이력조회 등 가명정보 처리 및 관리를 위한 다양한 기능을 제공하고 있다.

특히, 이노코어는 빅데이터 플랫폼 사업과 금융기관 온라인 인증 사업을 통해 축적된 대용량 데이터 및 트랜잭션 처리 노하우를 기반으로 대용량 데이터에 대해 분산처리 기술이 적용된 강력한 처리 성능과 다양한 레거시 솔루션과의 데이터 암복호화 연동, 스케쥴링 동작, 고객사 저장소 데이터 전송, 메타데이터 관리 등 외적으로 고객이 필요로 하는 기능을 제공해 보다 유연하고 효과적인 가명정보 컴플라이언스 체계를 지원한다.

▲마이데이터 플랫폼에서의 가명처리 솔루션 활용 방안[자료=이노코어]


▲개인정보 처리 가이드라인에 최적화된 Innover De-ID 가명처리 프로세스[자료=이노코어]


마이데이터 플랫폼에 최적화된 가명처리 솔루션, Innover De-ID
최근, 다양한 금융기관 및 기업에서 구축 중인 마이데이터 플랫폼은 이용자의 개인정보를 모아 최적의 서비스를 제안하는 형태의 서비스로 이노코어는 마이데이터 플랫폼의 기반이 되는 빅데이터 플랫폼과 가명처리 솔루션인 Innover De-ID까지 올인원 공급에 집중하고 있다.

특히, 이노코어는 자체 공급 중인 빅데이터 플랫폼 Innover AI-TREE와의 강력한 연계를 통해 데이터 분석에 보다 최적화된 가공데이터를 적시에 제공한다. 또한, 마이데이터 플랫폼 내에서의 Innover De-ID는 내부저장소 및 외부 데이터 플랫폼과의 연계를 위해 다양한 연동 인터페이스 기능과 마이데이터 플랫폼에서 요구되는 다양한 데이터에 대한 분석 환경 및 개인정보 처리 가이드라인에 맞춰 데이터 처리 프로세스를 직관적으로 제공함으로써 다양한 조직의 이용자가 솔루션 이용에 어려움을 겪지 않도록 해 가명정보 관리체계에 대한 효율적인 운영을 지원한다.

이노코어는 빅데이터 플랫폼 및 금융기관 대상 온라인 인증 솔루션 구축 프로젝트 경험이 많은 전문인력을 다수 보유하고 있으며, 데이터 관련 신규 기술에 대한 솔루션 적용 및 사업화에 집중하고 있다. 특히 회사인력의 80%가 개발인력으로 고객사의 다양한 요구를 능동적으로 수용해 고객만족도가 높고, 이러한 요구사항을 지속적으로 솔루션에 반영함으로써 2021년부터 고객사가 급격히 증가하는 추세다. Data Preparation 영역을 차세대 먹거리로 설정하면서 빅데이터 플랫폼과 가명처리 솔루션을 넘어 국내에 적합한 Data Preparation 기업으로 준비를 서두르고 있다.

최재영 이노코어 대표는 “데이터 경제가 활성화됨에 따라 가명정보를 활용한 데이터 분석이 기업간 서비스 차별화의 중요한 요소가 될 것으로 보고 있으며, 마이데이터 기반의 가명처리 솔루션 시장을 적극적으로 공략해 최근 H증권, K증권 등에 솔루션을 공급하는 등 가시적인 성과를 거뒀고, 앞으로도 성공적인 데이터 신사업을 육성하기 위해 전사적인 노력을 다할 것”이라고 말했다.

[가명정보 처리 솔루션 집중해부 3. 펜타시스템테크놀러지 ‘DataEye PIDI’]
가명정보 처리 솔루션 ‘DataEye PIDI’, 금융기관, 통신사 등 다수 레퍼런스 보유
펜타시스템테크놀러지, 개인정보 가명처리 솔루션 사업 활발


[로고=펜타시스템테크놀러지]


데이터 분석사업 구축 및 기술력 기반으로 개발한 가명정보 처리 솔루션 DataEye PIDI 엔터라이즈 솔루션 공급 및 구축, 컨설팅 전문기업인 펜타시스템테크놀러지(이하 펜타시스템)는 데이터 분석사업 영역에서 20여년간 빅데이터 플랫폼 구축에 필요한 컨설팅을 제공하고, 고객의 니즈를 정확하게 분석해 고객사에 적합한 솔루션을 자체개발해 공급할 수 있는 기술력을 갖추고 있다.

펜타시스템은 개인정보 가명처리 솔루션 외에도 데이터 수집 솔루션, 데이터 표준화 및 통합 메타관리 솔루션, 데이터 품질관리 솔루션, 빅데이터 분석 포털 솔루션을 개발하고, 데이터 처리 구축 및 컨설팅 경험을 기반으로 빅데이터 활용 활성화의 전제조건인 비식별화 처리 및 통제 기술을 확보하고 있다.

2016년 국내 선발주자로 출시한 ‘DataEye PIDI(데이터아이 피디)’는 데이터3법 개정 이후, 가명정보 처리 솔루션 시장에서 사업영역을 활발히 넓혀가고 있다. 대규모 고객정보를 보유한 금융기관 및 통신사 등에 많은 고객사를 확보하고 있는 ‘DataEye PIDI’는 제품성능 및 기능의 우수성과 안정성으로 고객사가 가장 선호하는 개인정보 가명처리 솔루션으로 입증받고 있다.

▲GS인증(소프트웨어품질인증서 1등급)[이미지=펜타시스템테크놀러지]

특히, 가명처리 포털 제공, 대용량 데이터셋 병렬 처리 기술, 데이터 저장소 연계 지원 등 차별화된 기능으로 고객사의 수요가 증가하고 있다. 고객사의 솔루션 선정 과정에서 데이터의 처리 성능을 중요시해 PoC(Proof of Concept)나 BMT(Benchmark Test) 검증과정을 통해 평가하는 기관이 늘어나고 있는데, 데이터 연계부터 처리 성능, 컴플라이언스 대응 만족도 등에서 우수한 평가를 받아 공급을 진행하게 되었다.

‘DataEye PIDI’는 지난 4월 최신 버전인 ‘DataEye PIDI 5.0’으로 GS인증 1등급을 획득하며 가명정보 처리 솔루션으로써 뛰어난 기술력과 안정성을 입증받았다.

개인정보보호 담당부서를 위한 개인정보보호 거버넌스 충족
‘DataEye PIDI’는 개인정보보호위원회에서 제시하는 ‘가명정보 처리 가이드라인’과 금융위원회·금융감독원의 ‘가명·익명처리 안내서’에 따라 5단계(사전 준비 → 위험성 검토 → 가명처리 → 적정성 검토 → 안전한 관리)의 가명처리 절차를 충족할뿐만 아니라, 정보보호에 대한 관리적·기술적·물리적 보호조치를 지원한다.

데이터가 다양하고 방대해질수록 정보집합물 속의 민감한 개인정보가 침해되지 않을까 하는 우려가 증가하고 있어, 개인정보책임자, 정보보호업무담당자는 보다 더 안전하게 데이터를 관리하기 위한 ‘개인정보보호 거버넌스’를 고려하게 된다.

‘DataEye PIDI’는 데이터 관리의 안정성을 강화하기 위해 가명처리 5단계 기능 제공 외에도 가명화업무 프로세스 기반의 포털 모듈을 제공해 사전준비 단계에서부터 반출·안전한 관리 단계까지의 승인 내역과 이력을 세밀하게 관리할 수 있는 컴플라이언스 대응 기능을 제공한다.

[자료=펜타시스템테크놀러지]


개인정보 운영 환경과의 다양한 연계 및 안전한 가명 분석 환경 제공
개인정보가 저장된 시스템 환경이 RDBMS뿐만 아니라 Hadoop, 클라우드 환경 등 다양하며, 가명처리 단계가 완료된 후에도 다양한 유형의 결과저장소에 대한 연계가 필요하다. 펜타시스템은 다년간 축적해온 ETL 기술을 기반으로 다양한 연계 방안을 도출해 JDBC를 활용하거나 API를 제공해 고객의 요구사항을 만족하도록 제공하고 있다.

최근, 대형 통신사와 금융기관, 대형병원 등에 클라우드 환경(AWS, MS Azure, GCP)으로 빅데이터 분석 플랫폼을 구축하면서 ‘DataEye PIDI’를 연계해 운영할 수 있도록 데이터 연계 기능을 적용해 프로젝트를 완료했다.

가명정보를 통계작성, 과학적 연구, 공익적 기록보존의 목적으로 활용하기 위해 가명결과 저장소에 대한 안전한 관리 및 활용에 대한 고객 요구사항이 증가하고 있다.

‘DataEye PIDI’는 가명처리 뿐만 아니라, 가명처리 후 결과저장소에 대한 가명 플랫폼 통합 운영을 위한 다양한 기능까지 제공해 다양한 레퍼런스를 확보하고, 고객사가 선호하는 가명처리 솔루션으로 시장을 선도하고 있다
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)