개인정보보호 위한 아이덴티티 거버넌스 구축효과 4가지

내부공격에 대응할 수 있는 중앙집중형 솔루션 필요

[보안뉴스= 김재범 한국오라클 팀장] 최근 4년간 연초만 되면 어김없이 신문지상을 장식하는 유사한 기사들이 있다. 바로 개인정보 침해 또는 IT 시스템에 대한 해킹사고 소식들이다.

2011년 A금융사의 전산망 마비사태 이후로 2012년 B통신사 고객정보 유출, 2013년 청와대 및 방송사 시스템 해킹, 2014년 카드사 및 통신사 개인정보 유출에 이르기까지 워낙 다양하고 지속적인 사고가 발생하면서 국민들이 더 이상 이러한 소식에 놀라지 않는 IT 사고 불감증이라는 우스갯소리마저 나오고 있는 실상이다.

언론 보도에 따르면 3월 통신사 개인정보 유출사고 대상은 1,200만 고객이었으며 1월 카드사의 경우는 2,000만명에 달했다. 이는 성인 전체(카드 및 통신을 사용하지 않는 일부를 제외한)의 개인정보가 유출되었다고 볼만큼 심각한 상황이며 필자도 네 군데 모두에서 개인정보가 유출되었음을 이미 확인한 바 있다.

CIO의 최대 관심사로 부상한 Security

개인정보가 유출됨으로써 고객은 스팸 전화나 메일이 증가되는 불편함이 우선적으로 피부에 와 닿지만 가장 우려가 되는 부분은 유출된 개인정보를 기반으로 한 2차 범죄 시도다. 카드사나 통신사 고객센터의 경우 본인확인 프로세스의 상당 부분이 개인정보를 기반으로 하고 있는 현 상황에서 이러한 광범위한 개인정보 유출은 그러한 프로세스의 토대를 무너뜨릴 수 있는 매우 중요한 사안이다.

실제로 추심업체가 유출된 개인정보를 활용하거나 유출된 개인정보를 통해 카드가 발급되고 스미싱을 통해 본인도 모르는 결제가 발생한 사례들이 언론에 보도되기도 했다. 정부에서도 이번 사태에 심각성을 깨닫고 예전과 다른 강력한 조치들을 취했다.

정보가 유출된 카드 3사에는 3개월간의 영업정지 처분을 내렸으며 정보유출에 따른 임직원 징계도 예정돼 있다. 정보유출 피해자들의 집단소송도 진행 중이다.

이러한 상황을 반영하듯 오라클이 매년 주최하는 CIO Executive Summit의 올해 행사에서 매우 주목할 만한 변화가 있었다. 바로 보안(Security)이 빅데이터(Big Data)와 함께 최고의 관심사로 떠오른 것이다. 그만큼 시장에서 발생하는 보안관련 위협은 증대하고 있으며, 개인정보 유출로 인한 기업의 피해는 단순한 벌금수준에서 벗어나 기업 임원에 대한 직접적인 징계와 집단소송으로 이어지는 커다란 변화에 직면하고 있는 것이다.

그러나 이러한 사고가 발생한 고객사를 방문하여 보안관련 솔루션 도입현황이나 운영현황을 확인해 보면 많은 고객들이 이미 막대한 예산을 투자하여 감사기관의 가이드라인에 따라 보안 솔루션을 도입했다는 사실을 확인할 수 있다.

보안 솔루션이 있지만...그래도 발생하는 보안문제의 원인

즉, 대부분의 고객사들이 다양한 보안관련 솔루션을 도입하고 운영하고 있음에도 불구하고 유사한 사고들이 지속적으로 발생하고 있는 것이다. 이러한 상황에 대해 오라클이 고객사와 공동으로 진행한 Security Assessment Workshop을 통해 발견한 시사점은 다음과 같다.

첫 번째는 대부분의 정부나 감사기관이 정의하고 내려주는 가이드라인이 규제항목 형태로 되어 있으며, 고객사들은 이러한 규제에 대해 항목별 단품 솔루션 도입방식으로 대응하고 있다는 점이다. 바꿔 말하면, 전사차원에서의 시큐리티 관련 아키텍처를 설계하거나 시큐리티를 플랫폼 방식으로 접근하는 시도는 찾아보기 어렵다는 점을 확인할 수 있었다. 이러한 접근방식으로 인해 각각의 보안 솔루션 간에는 정보교류를 통한 시너지 효과를 기대하는 것이 불가능했으며, 많은 보안사고들이 보안 솔루션 간의 연결 틈새에서 발생하고 있었다.

두 번째는 아직까지도 대부분의 보안 솔루션들이 외부로부터의 공격을 방어하는 것에 더 우선순위를 두고 있다는 점이다. 물론 불특정 다수인 외부 해커로부터 내부 자산을 보호하는 것은 매우 중요하며 기본적인 방어에 해당한다. 하지만 2011년 4월 이후 국내 금융권의 정보유출 사고는 모두 내부로부터의 유출형태로 진행되었음을 상기할 필요가 있다. 즉 내부에서 적법한 권한을 가지고 있는 사람, 또는 그러한 권한을 획득할 수 있는 기회 또한 집중적으로 관리되어야 할 대상이며, 이러한 내부로부터의 유출이 외부의 해킹보다 훨씬 더 심각한 피해를 야기할 수 있다는 점을 기억할 필요가 있다.

세 번째는 많은 기업들이 아직도 사용자와 권한에 대한 정보를 서버별, 애플리케이션별로만 관리하고 있고 대부분 수작업을 통해 관리하고 있다는 점이다. 이로 인해 사용자가 적법한 권한을 가지고 있는지, 필요이상의 권한을 가지고 있는 경우는 없는지를 판단할 수 없으며 직무분장, 감사에 필요한 정보 및 보고서 확인에 어려움을 겪고 있다.

기업 내부에서 업무를 수행하기 위해 필요한 자원과 이 자원을 사용하고자 하는 사용자를 명시하고 이들 간의 권한관계를 전사차원에서 한눈에 파악할 수 있는 환경이 만들어져야 필요한 사용자에게는 필요한 권한을 주고, 그렇지 않은 사용자에게서는 권한을 남용하지 못하게 회수할 수 있으며, 이런 일들을 체계화해 정책으로 만들고 지속적으로 관리해 나갈 수 있다.

이렇듯 많은 예산을 투자하고도 개인정보에 대한 전반적인 정보보호 체계를 갖추지 못하는 문제를 해결하기 위해 Identity Governance라는 전사 차원의 새로운 접근방법을 제안하고자 한다.

중앙집중형 보안 시스템

Identity Governance 차원의 접근은 Data Warehouse와 유사한 개념의 Identity Warehouse를 구축, 기업의 계정과 권한에 대한 전체적인 가시성을 확보하고 계정과 권한에 대한 전반적인 생성주기를 프로세스화 하는 것이다. 이러한 프로세스 상에서 사용되어야 할 규정과 지침을 정의해 정책화하고 이러한 정책을 자동화하고 강제화 할 수 있는 중앙집중적인 시스템을 구축하는 과정으로 구성되어 있다. 이러한 Identity Governance 구축을 통하여 고객이 얻을 수 있는 기대효과는 크게 4가지가 있다.

1. 보안강화

Identity Governance가 구축될 경우 계정·권한에 대한 신청, 승인, 처리, 적용, 회수의 모든 과정이 프로세스화되고 시스템화 되어 임직원이 업무에 필요하지 않은 권한을 가질 수 없으며 따라서 이러한 권한을 이용한 실수 또는 부정행위도 방지할 수 있다.

사용자에게 주어진 권한은 권한 담당자(일반적으로 현업의 팀 리더)의 주기적인 권한 Review를 받게 되며 Review 과정에서 비즈니스 정보에 기반(IT 담당자의 판단이 아닌)할 수 있어 더 이상 필요 없는 권한 및 조정되어야 하는 권한에 대해서는 적극적인 회수가 가능하다. 관련된 모든 프로세스는 기록되고 보관되며 감사되기 때문에 만약 문제가 발생한다 하더라도 추적이 가능하며, 이러한 추적 가능성이 존재한다는 것을 알리는 것만으로도 사고를 예방하는데 매우 효과적으로 작용한다.

2. 환경변화에 대한 대응력 강화

빠르게 변화하는 내·외부 비즈니스 환경은 기업에게도 많은 그리고 빠른 변화를 요구한다. 인수합병, 기업분리 또는 통폐합 등 조직의 변경이 발생할 수밖에 없는 일들이 빈번하게 발생하고 있으며 이러한 조직구조의 변화에는 내부 시스템 체계의 변화와 이에 따른 계정·권한의 변화도 신속하게 따라 주어야 한다. Identity Governance가 기 구축된 환경에서는 조직변경으로 인한 인사시스템 통합·변경 이후에 이 정보를 기준으로 Identity 시스템에 계정·권한정보의 자동화된 반영이 가능하므로 기업환경 변화에 따른 보안공백을 최소화할 수 있다.

3. 업무운영의 효율성 증대

내부 임직원이 필요이상의 업무권한을 가지는 것도 문제이지만, 실제 업무에 필요한 권한을 획득하는 과정이 어렵고 많은 프로세스와 시간이 걸리는 것 또한 업무 효율성 측면에서 문제가 될 수밖에 없다.

Identity Governance가 구축된 환경에서는 권한 부여를 인사시스템에 기반하여 단순화 및 자동화하고, 사용자 스스로 계정·권한 신청작업을 하도록 하여 업무의 효율성을 향상시키며 직무분장 정책에 기반한 승인절차를 가동하여 임직원의 실수 또한 최소화할 수 있는 환경을 제공하게 된다. IT 담당자들의 업무부담 또한 획기적으로 감소된다.

4. 지속적 혁신체계 수립

Identity Governance 체계는 단순한 단품 S/W나 개별 Package가 아닌 보안 플랫폼 형태로 존재하여 무엇보다도 확장성 측면에서 기업에게 큰 효과를 줄 수 있다.

이러한 확장성은 기업이 업무 변화에 유연하게 대응할 수 있는 체계를 마련해 줄 뿐 아니라, 모바일, 소셜, 빅데이터 등 변화하는 업무환경에서도 확장 개념으로 대응할 수 있게 해 준다. 이러한 확장성은 기업이 정부나 외부 감사기관으로부터 규제를 받을 때 대응하는 방법으로도 매우 중요하다.

감사기관이 필요로 하는 정보와 리포트를 제공하는 것도 빠르고 쉽게 대응할 수 있으며, 변화하는 규제에 대한 조치도 전사차원에서 손쉽게 처리할 수 있다.

Identity Governance 실 업무 도입사례

그림 3은 Identity Governance 체계를 이용해 구현한 C사의 중앙집중적 Identity Governance Solution 구축 Architecture다. C사의 경우 임직원뿐 아니라 사내 파견중인 관계사직원과 비즈니스 협업을 위하여 내부 시스템을 사용하게 되는 협력사 직원에 대한 정보까지도 Identity Warehouse에 통합·저장했으며 저장된 모든 사용자에 대한 권한, Role 정보 및 관련 정책을 통합 관리하는 기능을 Identity Manager를 이용하여 구현했다.

이를 통해 C사는 전사 CRM 시스템과 기타 시스템에 설정되어 있는 사용자 계정과 권한 현황을 한눈에 파악할 수 있게 되었으며 계정과 권한 내역 중 C사의 내부정책에 맞지 않는 항목이 존재하는지를 필요할 때 또는 주기적으로 Review할 수 있는 기능을 갖추게 되었다. Review 과정을 통해 확인된 정책 위반사항은 계정관리 솔루션을 통해 즉시 삭제 및 Block 할 수 있으며, 어떠한 승인과정 또는 프로세스를 통해 정책위반이 발생했는지를 추적하는 것 또한 가능했다.

따라서 비즈니스를 위하여 엄청난 개인정보를 CRM에 보유하고 있는 C사에서는 이러한 개인정보에 접근할 수 있는 계정과 권한을 적절한 담당자가 적절한 업무에서 꼭 필요할 때만 보유할 수 있도록 통제할 수 있었다. 업무 이외의 사적인 용도나 불법적인 용도로 개인정보에 접근할 수 있는 가능성은 최소화해 고객정보 유출에 대한 위험을 사전에 예방할 수 있었으며, 만약에 발생할 수 있는 고객정보 유출 상황에 대해서는 누가 어떠한 프로세스를 통해 관련된 권한을 획득했고 어떤 과정을 통해 정보를 유출했는지를 빠르고 정확하게 확인해 추가적인 사고 방지를 위한 프로세스 개선과정을 신속하게 진행할 수 있는 환경을 구축했다.

또한 C사는 오라클의 Adaptive Access Management Solution을 추가로 도입해 사용자가 적법한 계정과 권한을 가지고 있다 하더라도 접속상황이나 행위 패턴이 일상적인 업무패턴과 다를 경우(접속 위치나 IP 이상, 접속 시간 이상, Password 변경이나 개인 신상정보 변경 후 특이업무 수행, 평소보다 더 많은 양의 개인정보 조회 및 복제, 자금 이체규모 이상 등) 이를 적발하고 상응하는 조치(접속 중단, 관리자에 보고, 추가적인 인증 요구 등)를 취할 수 있는 기능을 강화하려는 계획을 가지고 있다. 이러한 기능들은 내부자에 대한 권한감사와 불법적인 접근을 더욱 상세하게 통제할 수 있어 발전하는 개인정보 유출 및 해킹 수법에 신속하게 대응할 수 있는 효과도 제공한다.

에필로그 : 개인정보보호의 시작은 가시성 확보로부터

의술의 발달에 따라 환자를 진단하는 기술은 X-ray, 초음파, 내시경 및 CT 등으로 발전해 왔으며 환자의 상태를 보다 정확하게 파악하고 더 많은 정보를 얻으면 얻을수록 질병에 대한 강력한 예방과 정확한 처방이 가능하게 되었다.

이와 마찬가지로 기업 내부의 Identity에 대한 가시성이 높아지면 높아질수록 이에 대한 Governance는 강화되고 개인정보 유출과 보안침해에 대한 Risk는 획기적으로 감소하게 된다. 그러므로 기업 내부 Identity의 가시성을 높이기 위한 Identity Warehouse의 도입을 적극적으로 추진하고 관련된 프로세스와 정책을 솔루션으로 강제하는 과정에 대한 투자를 전사 차원에서 집행하여 보안을 강화하고 외부 Compliance에 대한 완벽한 대응을 준비하는 것이 필요하다.

[글_김재범 한국오라클 퓨전미들웨어 사업부 IDM Sales Team 팀장

(jae.buhm.kim@oracel.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)