"금융권 개인정보보호법 준수, '눈가리고 아웅' 않길"
전산시스템에 100만명 이상의 주민등록번호를 보유한 기업은 이를 모두 암호화해야 한다. 5만명 이상의 고유식별정보를 보유한 기업도 암호화나 그에 상응하는 기술로 정보를 안전하게 저장하고 전송할 수 있게 조치해야 한다. 복잡한 IT인프라를 상시 관리, 가동하는 금융권 전산담당자에게 최신 개인정보보호법이 안긴 숙제다.
대응 시한이 반년 남짓 남았다. 개인정보보호법 시행령에 따르면 주민등록번호 암호화 조치 의무는 2018년 1월 1일부터 적용된다. 즉 연내 주민등록번호 암호화를 끝내야 한다는 얘기다. 시행령은 여타 고유식별정보나 일반적인 개인정보 대상으로도 여러 침해사고 발생 가능성에 대비한 안전성 확보 조치 의무를 함께 열거하고 있다.
기업이 전산시스템의 보안성을 극대화할 수 있는 교과서적 접근은 정보가 놓이는 모든 지점과 구간에 적절한 보안 기술과 관리 조치를 적용하는 것이다.
하지만 조직의 전산담당자는 이런저런 이유로 ‘쉽고 빠른 대응책’을 선호할 수 있다. 시행령의 최소 요건에만 대응할 수 있는 단일 암호화 제품이나 단편적 기술 도입으로 상황을 모면하려는 유혹에 빠지기 쉽다. 결과적으로 개인정보를 보호해야 한다는 입법 취지에 어긋날 수 있다.
국내 금융권에서 이런 ‘눈가리고 아웅’식 대응이 벌어질 가능성을 우려한 보안전문가가 있다. 정보보호업체 펜타시큐리티의 김덕수 전무다. 그의 메시지는 금융 조직내 경영자, 실무자, 보안솔루션 공급업체가 가능한한 보안 효과를 가장 키울 수 있는 방향으로 노력해야 한다는 것으로 요약됐다.
그는 보안솔루션업체를 통해 금융권이 주민등록번호 암호화 이슈를 해결할 여러 기술적 선택지가 주어지고 있는데, 어떤 방식은 실무적으로 쉽고 편리하지만 지엽적이고, 어떤 방식은 여러 어려움을 감수해야 하지만 그만큼 보안성을 극대화할 수 있는 측면이 있다고 주장했다.
김 전무와의 인터뷰를 아래 1문1답으로 재구성했다.
– 개정 개인정보보호법 주민등록번호 암호화 준수 시한이 연말까진데, 뭐가 문젠가
“암호화했다고 보안이 되는 건 아니다. 법 취지는 서비스 제공자에게 고객정보를 보안상 안전하게 보호하는 책임을 다 하라는 것이다. 세계적으로 개인정보 보호 취지를 담은 법의 개정 방향은 암호화같은 기술 조치 적용여부가 아니라 실질적으로 달성되는 보안 효과를 높이는 쪽으로 가고 있다.
일부 금융기관에선 이미 개인정보를 파일 또는 볼륨 암호화나 스토리지 암호화 등으로 보호하고 있는데, 이걸 암호화라는 기술 자체를 도입했으니 충분치 않느냐고 인식하는 건 문제라고 생각한다.”
– 볼륨 암호화나 스토리지 암호화만으로 적용하면 왜 안 되나
“업무에 맞는 보안 체계를 갖추는 게 원칙이다. 정보는 그게 다뤄지는 계층에 따라 3가지 형태를 띤다. 네트워크 수준에선 패킷, 시스템 수준에선 파일, 애플리케이션 수준에선 데이터다. 주민등록번호나 신용카드번호처럼, 우리가 생각하는 보호해야 할 의미가 있는 정보는 이 애플리케이션 수준의 데이터다.
교과서적인 얘긴데, 어떤 정보를 암호화로 보호해야 한다면 그게 오가는 모든 계층에 각각 암호화를 적용되게 하는 게 맞다. 기업 웹사이트 방문자가 개인정보를 입력했다 치자. 그 내역이 곧바로 암호화되지 않고 네트워크로 전달된다면, 웹서버 로그에 남는다.
로그는 시스템 수준의 정보, 파일에 해당하는데, 전체 로그 파일을 암호화할 수는 있지만 그 내용 중 개인정보만 찾아 암호화하는 건 불가능하다. 실제 의미 있는 정보가 보관돼야 할 곳은 DB여야 하는데 그 중간 거쳐가는 곳에 흔적처럼 개인정보가 노출되는 일이 생기는 것이다.”
– 로그 파일 통째로 암호화하면 되지 않나
“로그 암호화는 엄밀히 말해 개인정보 암호화가 아니라 파일 암호화, 스토리지 암호화에 해당한다. 암호화의 목적이 (개인정보보호법의 취지인) 유출 대비가 아니라 접근 제어와 감사 쪽이다. 개인정보 자체를 보호하는 것도 아니고 그게 어딘가에 담겨 있는 파일, 디스크를 암호화하는 것이고.”
– 개인정보보호라는 목적에 맞지 않다는 얘기로 들린다
“동네 약국같은 사업장이라면 이런 기술을 쓰면서 개인정보보호법 대응 취지라고 인식할 수도 있다. 당사자가 보안솔루션 제품이나 전산시스템에 무지하지만 개인정보보호를 하긴 해야 하는 곳이라면(이해할만하다). 솔루션업체가 성의를 보인다면 애플리케이션의 개인정보 입력폼을 가공해 줄 수도 있겠다.
금융권 조직 수준에선 이렇게 눈가리고 아웅 할 게 아니다. 애플리케이션, 시스템, 네트워크, 3개 계층마다 성질과 보호 대상이 다른 데이터가 있다. 애플리케이션에서 다루는 게 법에서 보호하려는 ‘개인정보’다. 이걸 통제하고 보호하려면 애플리케이션 암호화가 필요하다.”
– 기업에서 볼륨 암호화가 많이 쓰이게 된 배경은 뭔가
“미국같은 곳에선 ‘사베인즈옥슬리법’이 배경이다. 조직이 법적 문제 발생시 이 법에 따라 감사 대응을 위한 근거자료를 제공하게 돼 있다. 볼륨 암호화는 감사 중 전산시스템 데이터를 확인할 때 위변조 여부를 확인할 수 있게 해준다. 데이터 스토리지 시스템에 초점을 맞춘 기술이다.”
(편집자주: 사베인즈옥슬리법(Sarbanes-Oxley Act)은 미국에서 2000년대초 엔론 등 대기업의 회계부정으로 파문이 일면서 2002년 제정된 연방정부의 회계제도 개혁법. 회계법인의 동시 업무제공 범위 제한과 재무정보 공시 강화 내용을 포함.)
– 볼륨 암호화로 개인정보보호 하면 안 되나
“우리나라는 (기술을 적용해야 할 환경이) 다르다. 금융 전산시스템에서 현금이 실시간 입출금되고 국세청에서 1년간 경제활동이 다 조회된다. 보안 취약한 국내 수많은 중소기업, 소상공인 전산시스템을 생각하면 볼륨암호화를 쓰는 게 무조건 나쁜 건 아니다.
그런데 금융기관은 실시간 트랜잭션을 하는 (더 정교한 보안이 필요한) 곳이다. 시스템레벨에서 파일 암호화를 제공하는 벤더와 국내 파트너가 ‘우리도 암호화를 제공한다’는 메시지로 금융권 개인정보보호법 대응 이슈에 접근하는 것은 맞지 않다.”
– 그럼 금융 조직은 어떤 관점으로 접근해야 하나
“‘내가 보호하고자 하는 데이터’가 생겨서 유통되고 없어지기까지, 그 과정을 다 보호해야 한다. 경영자라면 법 준수에 필요한 솔루션 도입은 전체 대응의 일부분이다. 뭘 도입할지와 동시에 개인정보 암호화를 어떻게 할지 함께 고민해야 한다. 다만 윗분이 이렇게 하면 실무자 일이 복잡해진다.
보안 기술은 구축할 때 주변에 영향을 주는 요소가 많다. 예를 들어 A라는 작업을 해야 하는데 네트워크 관련이면 네트워크 담당자와, 운영 관련이면 운영 관계자와, 인증같은 부분이면 애플리케이션 개발자와 협의해야 한다. 은행이면 고객신용평가, 여신수신업무 개발 등 담당자와도 얘기해야 한다.”
– 경영자가 실무자에게 그런 힘을 실어 주지 않으면…
“담당자에게 그럴 권한이 없고 조직 안에서 눈치를 봐야 하는 분위기라면 타부서와 협조 구하고 시간 쏟는 부담 없이 자기 전에서 끝낼 수 있는 방법을 선호하게 된다. 그 입장이라면 관심사는 예산, 연내 구축 완료, 2가지뿐이다. 솔루션을 빨리 선정해서 올해 안에 도입 마칠 수 있을지만 고민할 거다.
이럴 때 볼륨암호화가 편리하고 혹할만한 방법이다. 기존 ‘시스템’ 영역만 고려하는 걸로 해결할 수 있으니까. 오히려 실무자가 편해진다. 면피할 수 있다. 기업엔 손해다. 초기 솔루션 도입 비용과 유지보수요율은 저가로 들어갔을 수도 있지만 유지보수하며 1~2년 지나 보면, (보안이) 힘들어진다.”
[기사 원문보기 ZDNet Korea – https://goo.gl/jcnWyL]