나경아빠의 스케치북 - 고통은 희망의 씨앗이다

직원이든 고객이든 개인정보가 있는 파일이 중요시되고 있습니다.

개인의 이름, 전화번호, 주소, 주민번호, 계좌번호, 금융거래내역 등이 포함된 개인정보파일을 통제해야 한다고 법에서는 명시하고 있습니다.

개인정보보호법

제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.

그래서, 수천만원 또는 그 이상의 비용을 들여 아주 완벽에 가까운 솔루션을 구축을 하곤 합니다.

개인 컴퓨터에 보관된 파일의 이름뿐만 아니라 그 파일안에 있는 데이터 구조를 보고 개인정보로 추정되는 내용이 있으면 검출하거나 메일로 전달되는 첨부 파일까지 분석해서 개인정보파일의 유출을 차단하고 있습니다.

실제 시만텍의 DLP 관련 솔루션을 설명을 들을 기회가 있었는데 부럽고 대단한 기능을 느낄 수 있었습니다. 기능이 많더라도 사내 구축 시 여러가지를 고려해야겠지만 중앙에서 통제 관점에서만 본다면 정말 탐나는 기능들이 많았습니다.

압축을 하고 파일 이름을 바꿔도 파일 구조를 분석하고 파일 안의 내용을 분석해서 개인정보와 유사한 내용이 있으면 검출한다거나

미리 사전에 정의한 패턴의 데이터가 있으면 불법이라고 검색 결과로 볼 수 있고(회사내 중요 문서의 패턴이나 소스의 외부 유출에 좋을 듯)

중앙에서 직원이든 외주직원이든 원격으로 개인 컴퓨터내 개인정보파일의 보유 여부를 판단할 수 있고

설명을 들을 기회가 없어서인지는 모르겠지만 대부분 결과물에 대한 통제 관점만 보고 들은거 같습니다.

상용 솔루션들이 회사내 백오피스 시스템과 연계가 될 수 있을지 모르겠지만 먼저 사내 백오피스로 개인정보파일 생성의 첫 단계부터 이력관리와 통제가 되면 어떠할까 생각을 하게 되었습니다.

현업, 지점, 외부 요청에 의한 개인정보가 담긴 파일이 필요로 하고 그것을 생성하는 가장 흔한 경우는

'백오피스내 엑셀 다운로드' 와 '전산부서에 요청하는 자료출력' 이라고 생각합니다.

사내에서 저비용으로 통제하기 위한 방법에 앞서 사전 정의할 것이 있습니다.

1. 개인정보파일은 백오피스, 자료출력 전산의뢰의 결과물은 모두 개인컴퓨터의 특정 폴더에 저장

2. 개인정보파일 다운로드/출력 이력관리를 위해 사내 DB 에 이력정보 Table 생성

3. 백오피스에 별도 화면을 만들어 개인정보이력 Table 을 조회

4. 신규 화면에서는 DB 에 저장된 파일명으로 특정 폴더를 조회 후 저장된 개인정보파일을 삭제

   (프로그램 적으로)

개인정보보호법이 발효되거나 이처럼 중요시 되지 않은 작년까지만해도 왠만한 회사내의 백오피스에는

이런 저런 이유로 그리드 내용을 엑셀로 저장할 수 있는 기능이 대부분 들어가 있었다고 볼 수 있습니다.

따라서, 이미 운영중이고 구축된 것을 변경하지 않고 업무 연속성을 가지게 하면서 개인정보파일의 이력, 모니터링, 통제할 수 있는 방법을 아래처럼 하면 어떨까 합니다.

1. 백오피스내에서 엑셀 다운로드 시 팝업 창을 하나 띄웁니다..

2. 팝업 창에 '개인정보파일 다운로드 목적', '개인정보파일 파기예정날짜' 를 입력할 수 있게 처리합니다.

3. 개인정보파일은 사전에 정의한 특정 폴더에 저장됩니다.

4. 저장과 동시에 앞서 입력한 '목적', '파기예정날짜' 정보와 더불어 백오피스에 로그인한 담당자의 사번,

   다운로드한 날짜와 시각, 개인정보파일명 등을 DB 에 저장(중간에 자바, 턱시도, 티맥스 등 미들웨어 통

   해서)

5. 개인과 중앙부서는 백오피스에 사전에 만들어진 개인정보파일 이력관리 화면을 통해 파기예정날짜에 도

   래하는 파일명을 DB 를 통해 화면에서 조회합니다.

6. 파기해야할 파일을 체크해서 '파기' 버튼을 클릭하면 해당 파일을 사전 정의한 폴더에서 검색해서 프로

   그램적으로 삭제합니다.

   기술적으로 c 드라이브 전체를 뒤지는건 부하가 많아 보입니다. -> 이 점이 최대 단점!

다음으로 개인정보파일을 많이 접할 수 있는 것이 자료출력이 아닐까 합니다.

정형화된 포멧으로 되어 있는  백오피스를 통하지 않고 사용자 정의로 개인정보파이를 전산 자료의뢰할 수 있습니다.

이것도 다음과 같은 방법으로 통제할 수 있지 않을까 합니다.

1. 현업 담당자는 개인정보가 포함된 자료 요청을 합니다.

2. 컴플라이언스팀이나 내부통제 주관 부서에서 해당 요청건을 검토해서 '개인정보보유', '금융거래내역보

   유' 등을 체크를 합니다.

3. 전산 담당자는 자료가 완성되면 전자결제로 해당 파일을 전달하면서 업무 완료 처리합니다.

4. 이 시점에 사전에 '개인정보보유', '금융거래내역보유' 라고 체크된 요청건이면 개인정보 이력관리 Table

   에 '목적', '파기예정날짜', '사번' 등을 저장합니다.

5. 개인과 중앙부서는 백오피스에 했던 방법과 동일하게 개인정보파일의 파기가 도래하는 파일에 대해서

   파기 명령을 수행합니다.

위와 같이 사내 개발자, 사내 백오피스, 사내 전자결제 시스템을 통해서 다소 제한되기는 하지만 저비용으로 개인정보파일의 통제, 이력관리, 현황, 모니터링이 가능하지 않을까 합니다.

예산이 많고 솔루션을 회사 내 100% 적용가능할 수 있다면 모두가 편한(?) 솔루션 구축이 답이겠지만

현실은 그렇게 탁상공론으로 되지 않을 수 있다는 점과 인식의 변화를 통해 보안 환경에 대한 나름 노하우를 만들어갈 수 있지 않을까 생각을 해봅니다.

하지만 가장 큰 담점은 개인컴퓨터의 전체 디렉토리 검색과 삭제가 힘들고

개인이 악의적으로 파일명을 변경하거나 다른 폴더로 복사시엔 비효율적일 수 있습니다.

하지만 이것은 내부 교육, 시행 그리고 별도의 솔루션으로 보완이 필요로 해 보입니다.

어차피 보안은 하나의 솔루션으로 모두 막을 수는 없으니깐...

강사 : 금융감독원 강준모 선임조사역

장소 : 금융보안연구원

지난 13일 금융보안연구원에서 한 IT 컴플라이언스 교육 중 전자금융거래법에 대한 주요 내용을 정리합니다.

전자금융거래법은 크게 2가지 법으로 구성되어 있습니다.

1. 거래법 -> 전자금융거래 안전성, 신뢰성 확보 및 이용자 보호

    - 전자금융거래 전반을 규율하는 거래법

    - 비서면, 비대면의 전자적 거래 특성 반영

    - 전자금융거래 기본절차 및 책임관계 명확화

2. 사업법 -> 전자금융업의 건전한 발전 및 활성화 도모

    - 전자금융업 영위 및 감독/검사에 관한 사업법

    - 전자금융업의 대한 범위, 진입(허가, 등록)

    - 금융회사 정보기술부문 기준 마련

다음과 같은 환경이라면 전자금융거래법을 적용 받아야 할까요?

'저희 은행은 인터넷 뱅킹이 없습니다. 오직 창구에서만 업무가 이뤄지고 있습니다.'

결론은 전자금융거래법을 적용 받습니다. IT 로 이루어진 업무가 대내외로 있다면 전자금융거래법이

적용된다고 합니다.

전자금융거래의 개념은

'금융기관 또는 전자금융업자가 전자적 장치(1)를 통하여 금융상품 및 서비스를 제공(2)하고, 이용자가 금융기관 또는 전자금융업자의 종사자와 직접 대면(3)하거나 의사소통을 하지 아니하고(4) 자동화된 방식(5)으로 이를 이용하는 거래' 라고 법에 기술되어 있습니다.

다음 중 전자금융거래는 어떤 것일까요?

① 증권사 관리자에게 전화해서 시장가에 팔아달라고 요청하고 비밀번호를 말해서 거래 성사

② 증권사 ARS 로 전화해서 거래

답은 2번 입니다.

① 은 법에 규정된 전자금융거래 정의에서 (4), (5) 를 만족하지 못했으므로 전자금융거래가 아닙니다.

② 는 전자금융거래가 맞습니다.

즉, 사람의 조작이 중간에 들어가면 전자금융거래가 아닙니다.

전자금융거래법 주요 내용

해킹, 전산장애 등의 쌍방 무과실 사고시 금융기관/전자금융업자 책임(제9조)

    - 접근매체 위/변조 또는 전자적 전송 및 처리과정에서의 사고로 이용자에게 손해 발생시 금융기관/전자금융

       업자가 책임을 부담.

    - 다만, 1) 사고발생시 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의

       부담으로 할 수 있다는 취지의 약정을 체결한 경우 및

    - 2) 법인이용자의 경우 금융기관이 사고방지를 이한 보안절차 수립, 준수 등 충분한 주의의무를 다한 경우

       금융기관 등의 면책 가능

여기서 책임은 '민사' 에 대한 책임을 말하는 것이라 합니다.

또한 해킹으로 인해 고객이 손해를 입었다 하더라도 금융기관/전자금융업자가 민사상 책임을 져야 한다고 합니다.

다음 중 금융기관/전자금융업자의 책임은 어떻게 될까요?

① 이용자가 여러 은행의 보안카드 번호를 엑셀로 정리해서 개인 컴퓨터에 보관했는데 해킹 당해서 이용자

    의 금전적인 손해 발생

② 이용자가 여러 은행의 보안카드 번호를 엑셀로 정리해서 클라우드나 네이버의 N드라이브 등에 올려놓고

    클라우드가 해킹 당해서 금전적인 손해 발생

③ 술집에서 종업원에게 현금 빼오라고 하면서 카드와 비밀번호를 모두 전달한 경우

① 은 100% 금융기관 책임이고

② 는 금융업자의 보안 정책에 따라 일부 책임 가능.

③ 은 100% 이용자의 중대한 과실

따라서, 금융업자는 공인인증서 재발급 강화(2 채널 인증, 특정 컴퓨터 ip/mac address 에서만 인증서

발급할 수 있어야 위 사고로부터 대처할 수 있습니다.

접근매체의 분실과 도난 책임(법 제10조)

    - 접근매체 분실/도난 시 신고 후 거래에 대해서는 금융기관 등의 책임

공인인증서와 보안카드가 유출되거나 피싱 피해를 입었을 경우 신고 후 발생하는 거래에 대해서만 민사

상 책임을 금융기관이 집니다. 신고 전 발생한 피해액은 금융기관 책임이 없습니다.

단, 카드는 신고 전 90일 전 사고도 금융기관이 책임을 집니다.

정보보호최고책임자의 지정(법 제21조의 2)

    - 금융기관(전자금융업자)는 정보기술부문 보안 총괄책임자(정보보호최고책임자)를 의무적으로 지정

    - 총자산/종업원수가 일정수준 이상의 기관(최근 사업년도말 기준 총자산 2조 이상이면서 종업원수 300

       명이상)인 경우에는 임원으로 지정해야 함

임원이라 함은 이사 이사를 말합니다.

만약, 자산 2조원 미만이거나 종업원수 300명 미만이면 부장급이하 팀장도 CISO 지정 가능합니다.

법상으론 CPO, CIO, CISO, 신용정보 관리책임자 모두를 한 사람이 겸직 가능합니다.

6월 12일 데일리 시큐 주최로 한 개인정보 위험도 분석 컨퍼런스에서 행정안전부 박사님이 말씀하신 Q&A,

그 중 몇가지 추려서 정리합니다.

Q 8. 서비스 제공이나 상담 등을 위해서는 회원들의 주민등록번호 앞 6자리(생년월일)를 활용할 경우가 많은데,

      주민등록번호를 모두 암호화하면 암호화/복호화에 따라 시스템에 상당한 부하가 발생한다. 별다른 방법이

      없는가?

A. 개인정보의 일부만을 암호화할 수 있다.

    생년월일 및 성별을 포함한 앞 7자리를 제외하고 뒷자리 6개 번호 이상을 암호화

주민번호가 key 로 잡혀 있다면 이럴 경우 부분 암호화 한다면 select 등에서 cost 가 높지 않을까

생각이 든다.

별도의 고객식별번호 구현이 적당해 보인다.

Q 17. 개인정보취급담당자의 정확한 기준

A, "개인정보취급자" 란 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 임직원, 파견근로자,

    시간제근로자 등을 말한다.

    "개인정보처리자" 란 업무를 목적으로 개인정보파일을 운용하기 위해서 스스로 또는 다른 사람을

    통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인을 말한다.

즉, 개인정보처리자 = 회사, 팀장, 파트장, 리터, 업무담당자, 개발자

     개인정보취급자 = 업무담당자, 개발자 등

Q 25. 임직원의 주민번호도 모두 암호화 대상입니까?

A, 임직원의 주민번호도 암호화 대상입니다.

Q 26. 오라클이나 MS 에서 제공하는 TDE 방식의 DB 암호화가 법적 요건을 충족할 수 있는지?

A. 일반기업의 경우 암호화 요건을 충족합니다.

    공공기관은 국정원의 인증을 받은 제품을 사용해야 한다.

금융기관은 '전자금융 감독규정'  보면 정보보호제품은 국가기관의 평가/인증을 받은 제품을 쓰라고 명시되어 있다.

금감원 트위터로 어느 정도 답은 보인다.

Q 30. DB 서버에 접속하는 단말의 경우 인터넷을 제한하는 경우 보안 패치도 업데이트 할 수 없기에 이런 경우

        는 어떻게 해야 하는지?

A. USB 통해서 한다.

Q 35. 위험도 분석 기준 및 해설서 기준으로 자사에서 점검하여 부서장의 결재를 득하여 보관하도록 되어

        있는데 그렇다면 제대로 분석이 되었는지에 대한 검증절차가 있어야 하는 것 아닌가요?

A. 담당자가 제대로 분석을 하면 된다.( ㅜㅜ )

Q 40. 위험도 분석을 어떻게 해야 하나요? 위험도 분석 전문가의 자격 기준이 있나요?

A. 별도로 없다. 내부 책임자가 한다.