데이터의 안전한 활용 위해 보안 인텔리전스 (Security Intelligence) 시스템 갖춰야

독자 분들도 한번쯤은 구글에서 본인의 정보를 검색해 보신적이 있으시죠? 본인의 페이스북이나 블로그, 소셜 정보들은 기본적으로 공개되며, 마음만 먹는다면 집주소, 전화번호, 정치적 성향, 소비 성향, 경제 활동 등의 개인적인 정보들을 손쉽게 찾을 수 있습니다. 정보 접근을 위한 어떤 특정한 방식의 로그인이나 인증 절차 없이도 ‘정보의 바다’에서 인터넷에 수년 전 작성했던 글까지 다 확인이 가능한 시대가 됐습니다.

이처럼 나의 정보가 전세계 사람들에게 공유되면서 개인정보를 유용하는 보안 사고도 빈번히 발생하고 있습니다. 구글링 해킹은 단순한 개인정보유출뿐 아니라 회사 전산시스템 관리자계정(admin) 정보를 찾아낸 후 개인화된 지능형 공격을 위해 시스템에 악성코드를 심는 공격에 이용되기도 합니다. 특정 옵션으로 검색을 하면 해당사이트 내에 존재하는 중요 개인정보까지도 검색할 수 있기 때문입니다

모두 공감하시겠지만 인터넷에 개인정보 등 내 데이터가 영원히 남는다는 것은 큰 스트레스입니다. 인터넷에선 여전히 잊혀질 수 있는 혹은 잊혀져야만 하는 정보 또한 다량 생성·유통되고 있습니다. 문제는 정보주체가 기존에 사용했던 소셜 사이트나 블로그, 가입되어 있는 기업 서비스를 해지하여 개인정보 삭제를 요구할 시에도 해당정보의 대상, 위치, 그리고 삭제되어야 할 범위를 명확하게 파악하는 것은 현실적으로 불가능한 상황입니다.

실제로 SNS에 무심코 올린 사진이나 웹 게시판에 쓴 댓글이 인터넷에 공개되어, 지우지도 못하고 ‘온라인 주홍글씨’로 작성자를 평생 따라다니는 사례가 많습니다. 게다가 빅데이터, 클라우드 등의 디지털 신기술 발전으로 정보의 수집과 공유가 대폭 증가하면서, 개인은 물론 이러한 개인 정보를 활용하는 기업들도 정보를 통제하기가 갈수록 어려워지고 있습니다.

개인 정보 접근 제한, 전세계적인 '잊혀질 권리' 찾기 움직임

이러한 개인 정보 유출에 대한 불안감은 전세계적으로 인터넷 정보의 삭제를 요구할 수 있는 잊혀질 권리(Right to be Forgotten)의 법제화로 이어지고 있습니다.

전통적으로 프라이버시를 강하게 보호하는 EU는 2012년 1월 ‘잊혀질 권리’를 명문화하는 내용을 골자로 하는 정보보호규칙(Regulation)을 제안하여, 2014년까지 제정하는 것을 목표로 삼고 있습니다. 프라이버시보다 표현의 자유를 중시하는 미국도 'Do Not Track' 법안에서 개인에게 광범위한 정보 삭제권보다는 불필요한 개인 정보를 수집하지 못하는 방식을 취하고 있습니다. 우리나라도 최근 잊혀질 권리 법제화를 위한 논의가 활발합니다.

그러나 적용과 실행에 대해서는 아직도 의견이 분분합니다. 표현의 자유와 같은 다른 기본권과의 충돌 문제, 인터넷 정보 삭제 시 발생할 수 있는 기술 및 시스템적 한계, 국가간 갈등 같이 풀어야 될 이슈들이 많습니다. 잊혀질 권리는 디지털 시대에 필요한 측면이 있지만, 그 범위를 무제한적으로 확장한다면 표현의 자유를 제약할 우려가 있습니다. 특히 다른 사람이 퍼간 정보에 대한 삭제가 필요한 경우 추가적으로 의견이나 댓글을 남기면서 새로운 글로 적성되기 때문에 이 또한 표현의 자유를 침해할 수 있다는 문제가 발생할 수 있습니다.

무엇보다 잊혀질 권리가 광범위하게 적용된다 하더라도, 인터넷에 있는 모든 관련 정보를 삭제하는 것은 사실상 불가능합니다. 삭제할 자료를 찾는 문제 이외에도 누가 어떤 권한을 가지고 지울 것인가라는 이슈가 남아 있습니다.

잊혀질 권리의 기술적 해결 방안들 - 정보 자동 삭제와 접근 제어

그렇다면 정보를 어떻게 관리해야 할까요? 먼저 개인 사용자라면 오래된 가입했던 사이트에 정보 삭제를 요청하는 것이 첫 단계입니다. 그 다음으로는 근본적인 문제 해결을 위해 정보 생성시 만료일을 지정하는 서비스를 활용할 수 있습니다. 물론 한번 공개된 정보를 다시 주워 담을 수 없기 때문에 효과가 제한적이지만, 원본을 제거함으로써 추가적 피해를 어느 정도 막을 수는 있습니다. 최근 주목 받고 있는 메시지 자동 파괴 SNS 서비스인 스냅챗(Snap Chat)이 대표적인 예입니다. 스냅챗은 사진 공유에 특화된 SNS 앱으로서 마치 영화 미션 임파서블에서처럼 사진을 전송하는 사람이 보는 시간을 제한할 수 있습니다.

이와 함께 자신의 온라인 이력을 관리하는 인터넷 평판 관리 서비스도 활용해 볼만 합니다. 구글은 자신의 이름, 이메일 주소, 블로그 등 개인 관련 정보가 웹 상에서 타인에 의해 어떻게 인용되고 있는지 모니터링 할 수 있는 ‘웹 세상의 나(Me on the Web)’ 서비스를 제공하여, 사용자들이 웹 상에서 자신의 평판을 인지하고 원치 않는 정보의 삭제를 돕고 있습니다.

기업, 안전한 고객 정보 관리를 위한 '보안 인텔리전스 시스템' 구축 필요

개인 정보를 수집하여 활용하는 기업 입장에서도 정보에 대한 접근을 제어하고 관리할 수 있는 기술 그리고 인적 자원 관리를 통한 보안 인텔리전스(Security intelligence) 시스템 구축도 필요합니다.

시스템 외부의 해커들이 내부 망을 침투하거나 내부자에 의해 발생하는 데이터 유출사고가 큰 문제로 부각됨에 따라 보다 강력한 데이터 보호와 데이터 보안에 대한 더 많은 노력을 기울여야 합니다. 특히 전체 시스템 운영 현황을 한눈에 확인할 수 있도록 높을 가시성을 제공하면서도, 데이터의 안전한 보호를 위해 접근 제어 및 인증이 강화된 시스템 도입을 서둘러야 합니다.

실제로, 최근 주요 카드사 고객정보 유출 사태에서도 볼 수 있듯이 내부직원 관리 방안 마련도 시급한 현안으로 떠오르고 있습니다.

모든 조직에는 권한을 가진 사용자가 존재하는데 루트 사용자, 도메인 관리자, 시스템 관리자 등이 강력한 네트워크 접근 권한을 가지고 있는 경우가 많습니다. 이러한 사용자들은 소프트웨어 설치, 시스템 구성 등 작업을 수행하기 위해서 높은 수준의 권한을 필요로 하지만 이 사용자들이 컴퓨터 시스템에 저장된 데이터 및 문서를 읽고 복사 또는 변경 하는 접근권한까지 모두 가지는 경우에는 보안상의 문제가 제기될 수 있습니다.

내부 직원의 유출을 막기 위한 가장 좋은 해결책은 권한을 가진 사용자가 업무를 수행하기 위해 데이터 파일을 이동할 수는 있지만 정보를 실제로 읽거나 편집할 수 없도록 권한을 제한할 수 있는 보안 기술을 적용해 철저히 관리해야 합니다. 그러나 아직까지 대부분의 기업들은 이러한 보안 기능을 제대로 갖추지 않아 이와 같은 대규모 유출 사고가 지속적으로 발생하고 있습니다.

Vormetric Data Security

기업 및 개인의 중요정보와 자산보호를 위한 고성능의 데이터 암호화 솔루션 바로가기

정보 접근 권한 관리를 위한 사회적 합의와 함께 기술적 접근 필요

법적 제도가 디지털 기술의 발전에 따른 사회환경의 급속한 변화를 따라가지 못하는 상황에서 공공의 이익, 창작의 자율성, 디지털 경제의 가치창출 보장 등과의 균형점을 찾는 노력이 필요한 시점입니다. 정보 삭제 및 접근 제어 시스템처럼 신기술 및 새로운 서비스의 발전을 통해 정보 관리에 대한 문제를 해결하려는 노력이 필요한 때입니다.