“내년 금융권 빅데이터 관련 암호화 요구 커질 것”

로그·엑셀·이미지 등 비정형 데이터의 암호화 이슈 급부상

[보안뉴스 김태형] 은행·카드·보험사 등 금융권에서 핀테크 활성화를 위해 ‘빅데이터(Big Data)’ 분석을 활용한 사업이 활발해지고 있다. 이를 반영하듯 금융위원회가 지난 6월 3일 ‘제4차 금융개혁회의’에서 금융권의 빅데이터 활성화 방안을 논의해 최종 확정했다. 정부는 앞으로 금융회사들이 고객의 이름이나 주민등록번호 등 특정인을 식별할 수 있는 정보를 제외한 비식별정보를 영업이나 마케팅에 자유롭게 활용할 수 있도록 관련 법과 제도를 정비할 방침이다.

▲ 보메트릭 코리아 이문형 지사장은 “효과적인 빅데이터 보안을 위해서는 DB뿐만 아니라, 비정형 데이터까지 보안 대책이 필요하다”고 강조했다.

이에 대해 한국보메트릭 이문형 지사장은 “최근 빅데이터 분석 사업을 하는 금융회사들이 늘어나고 있다. 특히 대규모 빅데이터 관련 사업이 실제로 진행되고 있는데, 기본적으로 로그데이터 수집, 하둡으로 운영되는 데이터에 대한 보안 이슈도 함께 부각되면서 암호화 등의 보안이 요구되고 있다”고 말했다.

이러한 빅데이터에는 로그데이터, 금융정보, 헬스데이터, 카드데이터, 개인정보 등이 포함된다. 기존에는 오디오·영상 파일, 이미지 파일, 엑셀시트 등 비정형 데이터에 대한 관리는 미흡한 상황이었다. 하지만 이러한 비정형 데이터들도 빅데이터 개념으로 모아지고 관리되다보니 보안 위협에 노출되고 있다.

특히, 빅데이터에 포함된 개인정보의 비식별화는 가명처리 및 총계처리, 데이터 값 삭제, 범주화, 데이터 마스킹 등 다양한 방법으로 구현이 가능하다. 하지만 일부에선 개인정보 비식별화 조치만으로는 빅데이터 보안에 한계가 있다는 문제를 지적하고 있다.

중요 데이터를 아예 삭제하거나 평균값으로 대체할 경우, 데이터 정보의 질이 떨어질 수 밖에 없기 때문에 빅데이터 분석 효과가 감소한다. 또한, 개인정보를 비식별화한다고 해도 일부 식별화된 정보들이 모여서 결합하게 되면 특정 개인의 신상정보가 노출될 위험이 여전히 남아 있다는 것도 문제다.

이문형 지사장은 “비식별화 조치는 구축과정에서 별도의 개발 프로세스가 필요하고 데이터를 가공하는 과정에서 데이터 분석 효율성이 감소한다. 또한, 대량 데이터 처리 시 발생하는 성능 이슈도 있다”면서 “빅데이터 시대를 맞아 데이터의 저장위치뿐만 아니라 종류도 다양해진 만큼 이를 대비할 수 있는 보다 고차원적이고 지능적인 데이터 보안 솔루션이 요구된다”고 강조했다.

즉, 금융권의 로그파일이나 이미지 파일, 전자문서화된 각종 계약서·청약서, 의료정보 등과 같은 광범위한 개인정보를 보호하기 위한 보안대책이 필요하다는 것. 이에 보메트릭은 이와 같은 비정형 데이터 보호를 위한 파일 단위 암호화와 함께 대표적인 빅데이터 솔루션 기업들과의 파트너십을 통해 고객들이 빅데이터 환경에서도 중요 데이터를 안전하게 보호할 수 있도록 지원을 강화하고 있다.

이 지사장은 “새로운 로그 부분을 위한 빅데이터 사업이 점차 확대되고 있다. 즉 스플렁크 등과 통합해서 데이터 분석 기반의 보안사업으로 확대하고 있다. 또한, 하둡과 관련해서는 글로벌 기업도 많이 있지만, 국내 관련 업체 2곳과 하둡에서 운영되는 데이터에 대해서 협력을 추진하고 있다”고 말했다.

또한 그는 “일반적인 암호화 솔루션은 컬럼 단위로 암호화를 지원하는 경우가 많은데, 기존의 컬럼 기반 암호화로는 빅데이터의 대부분을 차지하고 있는 비정형 데이터를 보호할 수 없다”면서 “하지만 커널 레벨 파일 단위 암호화 기반의 보메트릭 보안 솔루션은 오라클, SQL 서버, DB2와 같은 여러 종류의 데이터베이스는 물론 로그파일·이미지·영상·음향 등의 비정형 데이터까지도 암호화할 수 있어 빅데이터 보안을 위한 해결책으로 꼽히고 있다”고 강조했다.

이처럼 빅데이터 시대에는 정형화된 데이터뿐 아니라, SNS, 이미지, 음성, CCTV 영상 등 비정형 데이터 형태의 개인정보가 급증하고 있다. 고객 상담 통화 내용을 기록한 음성 파일, 온라인 화상 상담 서비스 내용을 저장한 영상 데이터, 서면 작성된 보험 상품 계약서 스캔 이미지 파일 등은 현행 법이 다루지 않지만 유출 시 고객과 기업에 큰 타격을 입힐 수 있는 데이터가 무수히 존재한다. 이에 보다 철저하고, 효율적이며, 효과적인 빅데이터 보안을 실현하기 위해서는 오라클, SQL 서버, DB2와 같은 여러 종류의 데이터베이스는 물론 비정형 데이터까지도 지원 가능한 근본적인 보안책이 필요하다는 얘기다.

이문형 지사장은 “빅데이터에 포함된 데이터는 개인정보와 민감정보 두 가지가 있는데 금융권과 공공기관은 로그 정보가 개인정보이며, 제조 분야에서는 로그 정보를 대부분 민감정보로 보고 있다”면서 “올해보다는 내년에 공공·금융 분야 암호화 도입이 확대될 것이다. 특히 금융권 암호화 사업들을 다른 사업, 즉 차세대 프로젝트를 진행할 때 몰아서 하는 경향이 있기 때문에 내년에 카드사와 은행권에서 차세대 사업이 많이 진행될 것으로 보이는데, 이 때 DB암호화 사업도 함께 추진될 것”이라고 말했다.

이어서 그는 “DB암호화 외에 금융권에서는 현재 로그 데이터를 모으다 보니, 보안 이슈가 나타나고 있다. 즉 로그파일이라도 개인정보가 있으면 암호화해야 하기 때문에 금융권에서 로그 데이터에 대한 암호화가 가장 시급하다”면서 “하지만 금융권은 아직 DB사업 위주로 암호화가 진행되고 있다. 증권사는 대부분이 DB암호화를 도입했고 보험사에서는 70~80% 가량 DB암호화를 도입했다. 최근엔 제2금융권에서도 로그 데이터나 녹취 파일에 대한 보안에 대해 관심이 높아지고 있는 상황”이라고 덧붙였다.
[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)