최근 페이스북의 개인정보유출 사건으로 많이 놀라셨을 겁니다.
페이스북은 전 세계에서 인터넷을 사용할 줄 아는 사람들 거의 대다수가
사용한다고 해도 과언이 아닐 정도로 가입자 수가 어마어마합니다.
그중에서 5000만 명의 개인정보가 협력업체에 의해 유출되었다고 합니다.
우리나라에서도 2014년에 카드 3사의 개인정보가 유출되는 사건이 있었습니다.
이 사건 또한 외주 개발업체 직원에 의해 발생한 사건이었습니다.
국내와 세계적으로 최대 개인정보 유출 사건이라 불리는 위 두 사건 모두 위탁업무를 맡았던
협력업체에 의해 발생한 것입니다. 국내에서도 이러한 위탁업체에 의한 새인정보 유출 사건을
방지하지 위해 정부 차원에서 개인정보보호법을 개선하고 IT 수탁사에 대한 개인정보보호
처리 방침을 강화하고 나섰습니다.
이러한 법 규정 요건을 준수하고, 개인정보를 보호하기 위해서는
관련 솔루션을 도입하는 것이 무엇보다 가장 필요합니다.
ㅣ외부 DRM 필요성
협력업체 기술적 보안 관리 필요
업무의 효율성 및 생선성을 위해서는 외주 용역을 통해 업무를 수행할 수밖에 없습니다.
지금까지 위탁/수탁 업체와 업무를 진행할 때의 보안 조치로는 계약서에 의한 관리적인 차원이 보안이
대부분이었습니다. 하지만, 개인정보 위탁 업무를 맡고 있는 협력 업체에 의한 개인정보 유출 사건이
계속해서 발생하고 있고, 계약서에 의한 관리에는 한계가 있기 때문에 기술적인 보안 관리가 꼭 필요한
상황입니다.
위탁업체에 제공했던 개인정보가 계약 기간 이후에도 파기되지 않은 채 제3의 기관에 보관되도 있거나,
수탁/제휴업체의 PC 보안 환경이 미흡하여 해킹으로 인해 정보유출이 발생될 우려가 있습니다.
이를 방지하기 위해서는 외부 DRM을 적용한 기술적인 보안 관리가 필요합니다.
개인정보보호법 규정 준수 필요
고객정보 및 중요 정보에 대한 법규 준수와 사회적 책임이 강화되고 있습니다.
국내뿐 아니라 세계적으로도 협력업체에 의한 개인정보 유출 사건은 중요 쟁점으로 떠오르고 있으며,
이를 방지하기 위한 규정이 강하되고 있는 추세입니다.
국내에서는 전자금융감독 규정 및 개인정보보호 관련 법규를 통해 개인정보 위탁업무에 대한 규정을
구체화하고 자율점검 체계를 구축하며 강화하고 있습니다. 유럽연합에서도 올 5월부터 GDPR을 시행하면서
개인정보보호법에 위탁업무에 대한 지침을 강화하고 있습니다. 개인정보를 다루는 기업/금융/기관은
개인정보 위탁업무 관리 규정 준수를 위해 외부 DRM 도입이 시급합니다.
협력업체의 업무환경 한계점 보완 필요
위탁업체들은 중소규모의 조직으로 구성된 업체가 대부분입니다. 이 업체들이 갖고 있는 업무환경을
모두 관리 및 통제할 수 없기 때문에 이를 보완할 수 있는 외부 DRM이 필요합니다.
외주 업체는 또 하나의 다른 회사이기 때문에 고객이 원하는 업무에 필요한 모든 보안 시스템을 구축할 수 없으며, 비용이나 규모적으로 봤을 때 고객이 원하는 보안 시스템을 구축하는데 어려움이 있습니다.
여러 고객을 대상으로 업무를 위탁받기 때문에 현실적으로 그 모든 고객의 보안 요건에 맞추기가 힘듭니다.
그래서 계약된 업무에 필요한 보안 환경을 적용할 수 있는 방안으로 외부 DRM이 필요한 것입니다.
ㅣ외부 DRM 도입 대상
공공기관 및 금융기관
현재 외부 DRM은 주로 외주업체를 통해 개인정보를 위탁하고, 개인정보보호법 규정을 의무로 준수해야 하는 공공과 금융기관에서 도입하고 있습니다.
통신사 및 대기업
개인정보를 가장 중요하게 다루는 통신사나 대기업으로 점차 확대될 것으로 예상하고 있습니다.
특히, 외주 협력업체를 통해 개인정보 위탁업무를 진행하는 기업들에게는 필수적인 보안 시스템으로
자리매김할 것으로 기대하고 있습니다.
ㅣ외부 DRM 솔루션
외부 DRM 솔루션 기능 및 기대 효과
|
보안범위 |
외부 DRM 솔루션 |
주요 기능 |
기대 효과 |
|
외부로 반출되는 중요정보 전송 경로 단일화 및 승인절차 구성 |
승인반출 시스템 |
_ 중요정보 외부 반출 시 승인 요청 및 결재 후 반출 _ 반출 유형, 사유, 반출처 기입 |
자동화된 승인 절차로 내부 업무 효율 향상 반출 이력관리를 통해 정보 추적 가능 |
|
안전한 유통 및 관리 환경 제공 |
엑스라이트 EX-Right |
_ 중요정보 유통 시 보안 메일을 통해 인증 절차 진행 _ 파일 암호화 및 권한 적용 접근 IP, 인증, 다운로드 횟수, 사용기간, 열람/인쇄 횟수 등 _ 메일로 전송된 URL을 통해 파일 다운로드 _ 문서 다운로드 제어, 암호화 문서 정책 변경 및 관리 _ 사용 현황, 다운로드 내역, 시스템접근관리, 암호화 파일 열람시도 등 통계 및 모니터링 |
중요정보에 대한 생성, 배포, 인증, 열람, 다운로드, 제어, 파기 등 모든 단계에 대한 현황 관리 및 통제 가능 |
|
외주업체 수신자에게 안전한 PC 환경 제공 |
에스워크 이엑스 S-Work EX |
_ 반출문서 보안파일 열람 통제 인증성공 시에만 사용 가능 _ 인증 때마다 해당 작업 파일에 대한 변경된 권한 정책 수신 및 최신 권한 적용 _ 문서 편집, 복사, 붙여넣기, 화면 캡쳐 툴 통제 등 |
외주 업체 수신자에게 정보를 안전하게 사용할 수 있는 PC 환경 제공 |
외부 DRM 시스템 구성도
엑스라이트(EX-Right) 주요 기능
ㅣ외부 DRM A은행 도입 사례
외부 DRM 도입 목적 3가지
1. 외주(위탁)업체와 개인정보 위탁업무 진행 시 개인정보를 안전하게 유통하는 것
2. 유통하는 채널을 일원화하는 것
3. 외주업체에 보낸 개인정보 파일에 대한 파기를 관리 감독하는 것
외부 DRM 솔루션 적용
▲ 승인반출 시스템
외부로 유통되는 개인정보 파일에 대한 이력을 남겨서 개인정보 추적
▲ 엑스라이트(EX-Right)
개인정보를 주고받는 채널 일원화
업무 이후 서버 상에서 다운로드할 수 있는 개인정보 파일을 파기하고, 외주업체가 개인정보를 파기했다는
것을 증명하는 원장을 피드백하는 채널로 사용하여 문서 파기에 대한 관리 감독 시행
▲ 에스워크 이엑스(S-Work EX)
개인정보를 안전하게 열람할 수 있는 환경 제공
A은행에 준하는 보안성을 유지하면서 외주업체 PC에서 개인정보를 열람할 수 있는 보안 환경 구현
파기하지 않고 남아있을 수 있는 개인정보 파일에 대한 사용 권한을 통제하고 관리
외부 DRM의 가장 중요한 요건은 위탁업체가 고객사에 준하는 보안 환경에서
개인정보를 안정하게 사용할 수 있는 환경을 구현하고, 업무 이회의 용도로 개인정보를 사용할 수 없도록
문서 파기에 대해 관리 감독하는 것입니다.
개인접보는 문서보안 통한 내부정보 유출 방지뿐 아니라 외부 DRM을 도입해 안팎으로 관리하는 것이 필요합니다.
'제품 이야기' 카테고리의 다른 글
| 사이버보안 최신 트렌드 및 기술 동향, Content Disarm & Reconstruction (0) | 2018.10.04 |
|---|---|
| 외부 보안위협 대응 제거기술_CDR, Content Disarm & Reconstruction (0) | 2018.08.30 |
| CDR 기술, 스테카노그래피(Steganography)로 위장한 악성문서 대응 (0) | 2018.06.11 |
| 소프트캠프 정보유출방지, 비정형 데이터 암호화, PC 가상화 솔루션 (0) | 2018.06.08 |
| 랜섬웨어 유형과 예방수칙5 (0) | 2018.05.24 |
