보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

국내 대표 개인정보 가명처리 솔루션 5종 비교 분석 결과, PIS FAIR 2023에서 8일 발표

입력 : 2023-06-05 17:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
국내 주요 개인정보 가명처리(비식별) 솔루션 5종, 기능 및 특장점 비교
카이스트 사이버보안연구센터-보안뉴스 공동 진행, PIS FAIR 2023에서 6월 8일 발표


[보안뉴스 김영명 기자] 개인정보보호위원회와 PIS FAIR 조직위원회가 주최하고, 한국인터넷진흥원(KISA)·한국CISO협의회·더비엔이 공동 주관하는 ‘제12회 개인정보보호페어 & CPO워크숍(PIS FAIR 2023)’이 오는 6월 8~9일에 서울 코엑스 그랜드볼룸에서 개최된다. 올해 PIS FAIR 2023에서는 특히, 데이터 경제 활성화를 위한 데이터 3법(개인정보 보호법·정보통신망법·신용정보법 개정안) 시행 이후 가명정보의 개념이 도입되면서 데이터 활용을 위한 다양한 개인정보 가명처리(비식별) 솔루션이 주목받고 있다.

[이미지=gettyimagesbank]


이에 PIS FAIR 2023에서는 카이스트 사이버보안연구센터와 보안뉴스가 공동으로 ‘비식별(가명) 보안 솔루션 비교 분석’ 결과를 발표하는 시간을 마련했다. 이번 벤치마크에서는 비식별(가명) 처리에 대한 소개와 함께 국내 대표적인 가명처리 솔루션 5종을 사전에 선정해 직접 사용해보고, 각 솔루션의 기능과 특장점을 분석해 발표한다. 이번 키노트 세션은 카이스트 사이버보안연구센터(CSRC) 신강식 연구원이 8일 오전 10시 20분부터 11시까지 진행할 예정이다.

개인정보 유출 및 침해 사고는 끊임없이 증가하고 있다. KISA의 분석에 따르면 개인정보 침해 상담 신고는 2017년 10만여건이었지만, 지난해에는 약 21만건으로 4년새 2.1배가 증가했다. 신고 건수 가운데는 주민등록번호 도용이 44.2%로 가장 많은 비중을 차지했으며, 보이스피싱 등 금융사기가 25%로 뒤를 이었다.

▲가명처리 솔루션 개념도[자료=카이스트 사이버보안연구센터]


그렇다면 ‘가명정보 처리 솔루션’이란 무엇일까? 가명정보 처리 솔루션은 개인정보보호위원회에서 배포하는 ‘가명정보 처리 가이드라인’에 준수하는 가명정보 처리 절차로, 개인정보의 가명처리를 단계별 절차에 따라 처리하는 솔루션을 의미한다.

단계별 가명정보 처리 절차는 5단계로 진행된다. 1단계는 ‘가명정보 처리 목적을 명확히 설정하고 가명정보 처리 목적의 적합성 검토 및 필요 서류 작성’, 2단계는 ‘가명처리 대상 데이터의 식별 위험성 분석 및 평가’, 3단계는 ‘식별 위험성 검토 결과를 기반으로 가명정보마다 적절한 가명 처리 기술 적용’이다. 이어 4단계는 ‘1~3단계의 가명처리 결과에 대한 적정성 검토(검토위원 선정 등)’, 5단계는 ‘가명 처리된 데이터에 대한 기술적·관리적·물리적 안전 조치 등 사후 관리 이행’ 등으로 설명할 수 있다.

이번에 선정된 평가 대상 가명처리 솔루션은 5종으로 국내에서 가장 많이 사용되는 솔루션들이라고 할 수 있다. △펜타시스템테크놀러지 ‘DataEye PIDI’ △이지서티 ‘IDENTITY SHIELD’ △지란지교데이터 ‘IDFILTER’ △엔텀네트웍스 ‘N-PIE’ △데이타스 ‘PAmaster’ 등 다섯 종류다. 가명처리 솔루션 평가 항목은 개인정보보호위원회에서 지난해 발행한 ‘가명정보 처리 가이드라인’을 분석, 외부 결합 및 반출 관련 평가는 항목에서 제외한 후, 100여개의 평가항목을 수립했으며, 최종 39개로 간소화했다.

가명처리 데이터 생성은 가이드라인에서 제시된 개인 식별 가능성이 높은 정보를 활용했으며, 식별정보(성명, 주민등록번호 등) 및 식별가능정보(성별, 연령 등) 일부 항목과 삭제, 범주화 등의 가명처리 기술을 적용할 수 있는 항목을 선정했다. 이어 보건의료, 교육, 공공분야 등 복합적인 분야에서 활용 가능한 항목이 포함된 가상 데이터를 생성하는 가상 가명처리 데이터 생성도구를 개발했으며, 1MB 당 약 5,000건의 데이터가 포함된 100MB 데이터와 1GB 데이터를 생성해 테스트에 활용했다.

이번 가명처리 솔루션 테스트 결과는 가명처리 단계별 요구조건 또는 권장 기능에 대한 평가를 진행했으며, UX/UI, 편의성 등 객관적인 평가 항목은 최대한 배제한 후, 평가 항목을 간소화해 진행했다. 평가 항목은 2개의 대분류 및 6개의 중분류, 39개 소분류 항목을 통해 진행됐다. 가명처리 정확도 평가 및 결과에서는 생성한 가명처리 데이터 컬럼 28개 중 8개 컬럼의 가명처리를 진행했으며, 마스킹, 라운딩(올림), 컬럼 삭제 등 3개의 가명처리 기술을 적용했다. 개인정보 100MB(420만개), 1GB(4300만개)에 대한 정확도 테스트를 진행했으며, 5개의 가명처리 솔루션 모두 100% 정확도로 가명처리를 완료했다.

먼저, 이지서티 ‘IDENTITY SHIELD’는 비정형 데이터 내 개인정보를 탐지하며, 4개 이상 다양한 데이터베이스 접속을 통한 자동 가명처리를 지원한다. 아마존(Amazon)과 마이크로소프트 애저(MS Azure) 클라우드 환경에서 구축이 가능하고, 최대 30개 이상의 가명·익명 처리 기술을 보유한다. 3명의 심사위원, 위원장 등 반출심사를 지원하며, 적정성 평가에 활용할 수 있는 통계기법 기반의 특이치 확인 기능이 있다. 이 솔루션은 최다 데이터 결합 및 관련 기관에서 사용하고 있으며, 조달청 혁신제품, GS 1등급, V&V 성능평가 등 7건 이상의 대외 인증을 받기도 했다.

지란지교데이터 ‘IDFILTER’는 프로젝트별 데이터 주기를 추적할 수 있으며, 프로젝트 단계별 수행 담당자 설정과 함께 관리자 승인·반려 기능을 적용했다. SAS 의료 데이터 포맷 가명처리 및 결합을 지원하고, 송수신 클라이언트를 통한 암호화 송수신 프로그램과 함께 데이터 대용량 파일 전송, 데이터 송수신 시 암호·압축·무결성 검증이 가능하다. 데이터 추적을 위한 결합용 대체 키 생성 기능과 함께 Storage, SFTP, Database 연동 기능이 있다.

엔텀네트웍스 ‘N-PIE’는 비정형 데이터 처리, 한글파일(XML)에 대한 개인정보 가명처리가 가능하고, 데이터별 가명처리 관리 기능, 데이터 결합 관리 기능, 가명처리 모니터링 기능을 제공한다. N-PIE는 신청서 및 처리 결과에 대한 보고서를 생성할 수 있으며, 추출 결합 및 모의 결합과 함께 단일 및 이중 방식의 결합 기능도 제공하고 있다.

데이타스 ‘PAmaster’는 위험 지표 및 매트릭스 기반의 정량적 위험도를 측정할 수 있으며, 위험도 측정 결과에 따른 가명처리 기술을 추천한다. PAmaster는 데이터별 가명처리 관리 기능, 반출 심사를 위한 정량적 평가 결과를 제공하며, 생성부터 파기까지 가명정보 라이프사이클을 통합 관리할 수 있다. 또한, 데이터 정제 및 데이터 현황을 분석하고, 특이정보 식별에 따른 추가 가명 처리와 함께 완전 삭제 알고리즘을 통한 데이터 파기 및 관리가 가능하다.

펜타시스템테크놀러지 ‘DataEye PIDI’는 가명처리 업무 프로세스 통합 관리 기능인 Portal과 함께 가명처리 프로세스별 결재 기능을 제공한다. 커넥터를 지원해 클라우드(AWS S3, Google BigQuery) 기반 연계가 가능하고, 대용량 데이터셋(TB) 이상 병렬 처리 기술을 보유했다. 가명처리에 대한 사용자 정의 함수(기능)와 함께 사용자 정의 함수 100여개를 제공하며, 다중 가명처리가 가능하다. 또한, 가명처리 전·후 비교 및 차트를 분석과 함께 보안 컴플라이언스를 위한 보고서를 제공한다.

▲개인정보-가명정보-익명정보의 개인정보 제한 차이[자료=KISA]


가명처리 솔루션은 개인정보 보호법을 준수하며, 개인정보 담당자가 가명처리 가이드라인을 기반으로 개인정보 가명처리를 도와주는 솔루션을 의미한다. 국내에서 출시되는 가명처리 솔루션은 가명처리 가이드라인을 기본으로 하지만, 기업에서 강조하는 새로운 기술을 중심으로 소프트웨어를 개발한다. 각각의 보안 솔루션은 편의성과 함께 다양한 특색이 강조되기 때문에 기업은 니즈에 맞는 가명처리 솔루션을 선택하는 것이 가장 중요하다.

한편, ‘PIS ; Trust, 개인정보 신뢰사회’를 주제로 6월 8일부터 9일까지 서울 코엑스 그랜드볼룸에서 국내 최대 규모의 개인정보보호 콘퍼런스인 ‘제12회 개인정보보호 페어&CPO워크숍’이 개최된다.

이번 행사는 개인정보보호 분야 유관기관 30여곳과 관련 업체가 함께 하는 행사로, 매년 4,500여명이 참가하는 국내 최대 규모의 개인정보보호 축제라고 할 수 있다. 공공기관 및 기업의 개인정보보호최고책임자(CPO)를 비롯해 개인정보보호 담당자, 개인정보 처리자는 PIS FAIR 2023 홈페이지를 사전등록할 경우 무료 참관이 가능하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 6
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)