Home > 전체기사

개인정보 파기의무 준수에 따른 기업들의 어려움은?

  |  입력 : 2015-09-14 18:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

기업들이 보유하고 있는 개인정보 파기와 관리감독의 어려움

완전삭제 과정상 어려움 해결하기 위한 기술개발 필요성 제기

[보안뉴스= 권이혁 BSG 정보보안연구소장] 점차 늘어나는 개인정보 유출에 따라 개인정보보호법 제21조, 정보통신망법 제29조, 신용정보법 시행령 제 27조 등의 법률에서는 개인정보 파기 원칙 준수를 강제하고 있으며, 그 범위는 개인정보처리시스템에서 개인정보처리자가 저장한 모든 개인정보를 파기하는 방향으로 점차 확대되고 있다. 그렇다면 개인정보 파기 원칙에 따른 준수 및 실태 점검, 관리감독은 잘 이루어지고 있을까?



개인정보 수탁사의 경우 개인정보 영구삭제 의무화 방침에 따라 정기적인 개인정보 파기 실태점검을 실시하고 있으나, 대부분 관리대장과 같은 서류 형식의 증적자료를 확인하는 방식으로 이루어지고 있으며, 일부 직원 PC를 샘플링해 개인정보 저장 유무를 검색하는 수준으로 진행되고 있다.


그나마 일부 기업들이 PC의 저장장치를 포렌식(Forensic) 기술을 통해 개인정보 저장 유무를 확인하고 있는 수준이다. 하지만 이러한 방법은 다음과 같이 여러 가지 문제를 야기할 수 있다.

첫째, 샘플링 방식으로는 모든 직원들의 개인정보 파기 준수 여부를 확인할 수 없다. 샘플링 PC의 개인정보 검색, 포렌식 분석은 모든 직원의 개인정보 파기 수행을 보증할 수 없으며, 개인정보 파기의 사각지대 발생으로 인해 보안위험은 더욱 커질 수 있다.

둘째, 완전삭제 수행의 증적자료 감사는 각 기업의 보안담당자에게 과도한 업무부하를 초래한다. 일례로 어느 금융사의 협력사 A업체의 경우 매달 2000명의 콜센터 직원의 빈 공간 삭제 증적자료 수집에만 꼬박 1주일이 소요된다고 한다.

셋째, 빈 공간 삭제 및 저장장치 삭제 시 덮어쓰기를 통한 완전삭제는 여러 번 물리적인 대용량 파일을 생성해야 하는데, 거기에 소요되는 시간을 줄이기 어렵다. 이러한 현상은 기존 솔루션들이 대부분 2010년 이전에 개발된 제품으로 현재 저장장치의 성능을 고려하지 않고, 리소스를 최적화하지 못해 발생하는 문제로 보인다.


넷째, 업무시간 동안 직원의 업무 연속성이 저해된다는 것이다. 개인정보 파기의 수행방법 중 하나인 빈 공간 삭제 방법의 경우 덮어쓰기를 통해 복구할 수 없도록 완전삭제하는 방법이다. 미래창조과학부의 기본 지침에 따라 3회 이상 덮어쓰기를 수행해야 되는데, 여기에 많은 물리적인 시간을 필요로 한다. 이는 직원들의 업무 연속성을 저해하는 또 다른 요소가 될 수 있다.


이러한 문제점 해결을 위한 기술개발이 필요한 시점이지만 현재 대부분의 완전삭제 솔루션은 위 문제에 대한 해결방안들을 원활히 지원하지 못하고 있다. 기업들이 느끼고 있는 이러한 어려움을 해결하기 위해서는 기존 데이터 완전삭제 솔루션에 다음과 같은 새로운 기능 개발이 필요하다.

첫째, 전 직원의 개인정보 파기 준수는 실시간 감사를 통해 보안위험을 완화할 수 있다. 정확한 통계 분석을 통해 전 직원에 대한 삭제 이행률을 실시간으로 확인하고, 평균 미만의 직원들만을 샘플링 대상으로 삼아 디지털 포렌식 기법을 적용하는 실사점검을 강화한다면 샘플링에 따른 보안위험을 완화할 수 있다.
 

  ▲ BSG 권이혁 정보보안연구소장


둘째, 완전삭제 증적에 따른 업무부하는 중앙 집중 로그 수집을 통해 보완할 수 있다. 각 PC에 흩어져 있는 로그를 중앙집중 방식으로 수집하고, 이에 대한 완전삭제 이력보고서까지 확인할 수 있다면 실태 점검 준비 및 증적 수집에 소요되는 업무부하를 혁신적으로 줄일 수 있다.

셋째, 빈 공간 삭제 및 저장장치 삭제시 덮어쓰기를 통한 완전삭제 실행에 소요되는 물리적인 시간을 줄여야 한다. 이를 위해 기존 솔루션들이 삭제 엔진 업데이트를 통해 저장장치의 리소스를 최적화한다면, 물리적인 시간 단축은 충분히 가능하다.


넷째, 업무시간 동안 업무 연속성을 보장할 수 있어야 한다. 중앙정책관리기능을 통해 점심시간 등의 유휴시간에 빈 공간 삭제 및 덮어쓰기 작업이 수행되도록 스케줄링 정책을 설정하고, 덮어쓰기 작업도 단일작업이 아닌 분할작업을 지원한다면 업무연속성 저해를 최소화 할 수 있을 것이다.

[글 _ 권이혁 BSG 정보보안연구소장(s13088@e-bsg.co.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)