개인정보보호 주요이슈 따라잡기 ⑤계정관리

강력한 내부통제 및 권한관리로 내부보안과 개인정보보호 일석이조

[보안뉴스 김태형] 개인정보보호법을 준수하고 개인정보를 효과적으로 보호하기 위해서는 내부정보 유출방지를 위한 보안 솔루션과 함께 각종 네트워크 보안 솔루션 등 외부 보안과의 균형이 중요하다고 밝힌 바 있다. 여기서 또 한 가지 내부 보안강화를 위해 반드시 신경써야 할 분야가 바로 계정 및 접근권한 관리 솔루션이라고 할 수 있다.

특히, IAM(Identity & Access Management, 계정관리)은 각 정보시스템의 사용자(직원, 고객, 계약자 등)를 식별하고 정의된 사용자 권한에 의해 정보시스템에서 제공하는 자원에 대한 접근을 제어하기 위한 솔루션으로 개인정보관리를 위한 가장 기본적인 보호막이라고 할 수 있다. 즉, IAM은 식별된 사용자가 권한을 가진 IT 자원에 접근할 수 있도록 통제하는 사전조치 역할을 수행하는 것이다.

이러한 계정관리 솔루션은 매우 다양하다. 그렇기에 회사 정보시스템이 어떤 체계를 갖추고 있는지, 그리고 얼마나 많은 직원들을 대상으로 등급을 구분해 권한권리를 차별화시킬 것인지에 따라 도입하는 솔루션이 달라져야 한다.

◇ 계정관리 주요 업체(업체명 가나다순)

주요 업체

특징 및 장점

소프트포럼

-하나의 어플라이언스 장비 안, 개인정보를 저장 하고 있는 시스템

에 대한 사용자의 계정권한 관리, 접근제어 및 사용자 활동에 대한

모니터링 제공해 뛰어난 보안성, 효율성, 안정성 보장

-고객사의 환경과 시스템별 보안요구사항에 따라 기능을 선택할 수

있다는 강점

-전사의 계정정보를 통합해 인사시스템과 대상 업무 시스템 사이에서 계

정정보를 관리하고 통제할 수 있음

-계정정보를 필요로 하는 시스템에 계정정보를 제공할 뿐 아니라 인사

시스템과 연동하여 사용자와 계정의 라이프 사이클을 동기화함

IBM

-통합된 계정 관리 시스템의 설계, 구현, 전개 및 관리를 도와줌

-사용자, 장치, 응용프로그램, 비즈니스 프로세스를 위한 플랫폼이나

생체 정보, 스마트카드, 배지 판독기와 같은 물리적 보안전체에 대한

액세스 관리를 표준화할 수 있음

이니텍

-계정관리 인터페이스의 표준화로 각 업무 시스템에 통합 적용이 가능함

-효율적인 사용자 개인화 관리로 사용자의 계정신청 및 관리자 승인

-일관된 정책 설정 및 실시간 정책반영을 통한 보안성 향상

-사용자 계정정보의 암호화 지원, 데이터 기밀성 확보

퀘스트소프트웨어

-인프라 및 베스트 프랙티스의 계정, 역할, 워크플로우, 승인 등을 통

합함으로써 계정관리를 단순화하고 보안, 효율성 및 컴플라이언스를

한층 강화할 수 있게 해줌

-계정 관리 인텔리전스과 비즈니스 목적에 의해 완벽한 가시성 및 컨

트롤로 접근 제어와 직무 분리를 통한 컴플라이언스 준수가 가능함

계정관리 솔루션 시장과 관련해 한국CA의 계정관리 솔루션 파트너사인 엔시큐어 장원근 부장은 “계정관리 솔루션은 금융권에는 대부분 구축이 완료됐고 최근 일반 기업에서는 공유 계정의 식별에 관련한 문의가 많다”면서 “계정의 발급, 승인, 그리고 권한관리 측면에서 금융권이나 증권사, 생보사 등을 비롯해 계정이 많은 대기업에서 문의가 많이 오고 있다”고 설명했다.

또한, 그는 “계정관리는 개인정보보호를 위해 내부통제를 강화하는 역할을 하는 솔루션”이라며, “특히, 명확한 접근권한관리로 효율적인 내부통제 및 정보유출 방지 가 가능하고 망법 등에서의 식별 이슈에 대응할 수 있다”고 말했다.

이러한 계정관리 솔루션은 올해보다는 지난해에 수요가 많았고 올해는 3~4년된 기존 구축 고객들의 마이그레이션 요구가 증가하고 있는 추세다.

최근 다양한 사이버 위협에 대응하기 위해서는 체계적이고 세밀한 보안정책이 수립되어야 하는데, 계정관리는 이러한 보안정책 수립에 있어 꼭 필요한 요소로 부각되고 있다.

이러한 계정관리는 업무의 효율성을 높이면서도 강력한 내부통제의 역할을 수행하기 때문에 보안성 강화에 매우 중요하다. 특히, 개인정보보호법에서 요구하는 개인정보에 대한 접근권한 제어·통제·접근기록 보관을 위해서는 사용자 인증과 계정관리가 필수적이라 할 수 있다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)