단순 검색 넘어 DRM, DLP와 연계해 진화

인터넷을 사용하는 대한민국 모든 국민의 주민등록번호가 해외에서 거래되고 있다는 말이 나올 정도로, 최근 개인정보 유출사고가 빈번하게 일어나고 또 그로 인한 2차 피해도 늘어나고 있는 상황이다.
이런 가운데 지난해 9월 30일 개인정보보호법이 제정돼 개인정보 관리ㆍ통제에 대한 지침이 강화됐다. 개인정보보호법에 따르면 개인정보의 보유는 최소화해야 하며 개인정보 취급자를 별도로 지정하고, 반드시 암호화 저장돼 있어야 한다.
이러한 컴플라이언스를 충족하려면 우선 개인정보를 얼마나 보유하고 있는지를 알아야 하는데 이것을 일일이 사람의 눈으로 찾기란 어려운 일이다. 이에 PC 내 개인정보를 자동으로 검출하고 관리해줄 수 있는 PC개인정보검색 솔루션이 등장한 것이다.
PC개인정보검색 솔루션은 단순 검색기능뿐 아니라 검출된 개인정보를 격리ㆍ암호화 저장하거나 DRM(Digital Rights Management, 문서 보안), DLP(Data Loss Prevention, 데이터 유출 방지) 등과 연계하는 등 진화를 거듭해가며 공공과 금융계를 비롯한 전 산업계에 빠르게 확산되고 있다.

연보라 기자 bora@ciociso.com

기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징 (소만사, 인포섹, 닉스테크)

1. 시장동향         

인터넷 환경 변화에 따른 50억 원대 시장 형성

PC 내 개인정보 검색 및 암호화까지
PC개인정보검색 솔루션이란 말 그대로 PC 내에 저장돼 있는 개인정보를 탐색해내는 솔루션이다. 업계에서는 PC개인정보보유통제 솔루션, PC개인정보보호 솔루션, 단말개인정보검색 솔루션 등 다양한 용어로 불리고 있다.
PC개인정보검색 솔루션은 PC 내에 저장돼 있는 개인정보만을 검출해내고 또 필요에 따라 이를 격리, 삭제, 암호화 저장 등의 후처리 기능까지 포함돼 있다.
개인정보가 흐르는 경로는 서버, 네트워크, PC, 웹 등 다양하다. 기업들은 개인정보의 유출을 방지하기 위해 경로마다 방화벽을 쌓고 DB암호화도 하는 등 여러 방비를 한다. 그 중에서도 PC단의 개인정보 보호가 특히 이슈가 되는 것은, 대부분 PC에 가장 많은 개인정보가 저장돼 있는데다 서버를 비롯한 인프라 시스템과 달리 PC 내의 정보들은 중앙에서 통제하기가 어렵기 때문이다. 심지어 PC 사용자조차 본인의 PC에 어떤 개인정보가 얼만큼 들어있는지 모르는 경우가 많다. 이에 각 PC의 개인정보 보유 실태를 파악하고 관리해야 하는 필요성이 대두됨에 따라 PC개인정보검색 솔루션이 등장했다.

개인정보보호법과 맞물려 빠른 수요
PC개인정보검색 솔루션이 처음 시장에 출시된 것은 2007~8년 무렵이다. 초기에는 단순히 개인정보 검색 및 감사의 목적으로 사용됐고 제품의 기능도 비교적 간단했다. 그러다 개인정보보호법이 이슈화되면서 관련 시장에 대한 기대감으로 업체들이 속속 PC개인정보검색 솔루션을 개발겷蒐쳬煞?지난해 9월 개인정보보호법이 본격 발효되면서 수요가 크게 늘어났다. 개인정보보호법 이전에도 정보통신망법에 의해 개인정보를 다루고 있기는 했으나 정보통신 관련 사업자들에게 한정돼 있었던 것이, 개인정보보호법 제정 이후 모든 사업자에게로 적용범위가 확대돼 시장이 엄청나게 늘어난 셈이다.
특히 개인정보보호법에 따라 공공기관들은 개인정보의 보유, 관리, 흐름, 이용 현황을 정리한 개인정보파일대장을 행정안전부에 의무 제출하도록 돼있어 PC개인정보검색 솔루션에 대한 수요가 증가하고 있다. 또한 공공기관은 일정규모 이상의 개인정보취급시스템 도입 및 운영 시 개인정보 영향평가를 의무적으로 수행해야 하는데, 수행과정에서 개인정보보호검색 솔루션이 필요해 함께 도입하는 사례도 있다.
그러다보니 지난해부터 공공 부문에서 PC개인정보검색 솔루션의 적용이 활발히 일어나고 있는 상황이다.
보안에 대한 투자가 가장 활발한 편인 금융업계는 제1금융권들이 대부분 도입이 끝난 상태이고 최근 제2금융권에서 하나 둘 도입이 확대되고 있다고 업계는 전한다.
또한 이전까지는 개인정보 보호에 큰 관심이 없던 제조 및 유통사들도 컴플라이언스가 강화가 되고 곳곳에서 개인정보 유출 관련 사고들이 발생함으로 인해 PC개인정보검색 솔루션에 대한 관심이 높아졌다.
윤명훈 인포섹 보안기술연구소장은 “엔터프라이즈급이나 금융권에서 상대적으로 도입율이 높았으나 올해 들어서는 대학이나 교육기관, 병원 등의 의료기관에서 문의가 쇄도하고 있으며, 실도입 사례 역시 눈에 띄게 증가하고 있다. 또한 공공분야에서도 중앙부처에서 먼저 움직일 것이라고 예상했는데 지자체에서도 벌써부터 많은 문의가 이어지는 등 기대보다 시장이 더 빨리 확산되고 있다”고 전했다.
박봉근 소만사 공공팀장은 이 시장이 빠르게 성장하고 있는 이유에 대해 “컴플라이언스, 즉 개인정보보호법이 뒷받침돼 있고, PC개인정보검색 솔루션이 다른 솔루션과 연계할 수 있는 여지가 많기 때문”이라고 설명했다. 즉, PC개인정보검색 솔루션은 기존 DRM(Digital Rights Management, 문서 보안)이나 다른 보안 솔루션에서 기능을 추가해 만들 수도 있고, 개인정보검색 솔루션에서 DLP(Data Loss Prevention, 데이터 유출 방지) 기능 등을 추가해 확장할 수 있는 가능성이 많기 때문이라는 것이다.

10여 개 업체 간 경쟁 치열, 저가 수주 폐해 우려
현재 PC개인정보검색 솔루션을 공급하고 있는 업체로는 소만사, 인포섹, 닉스테크, 파수닷컴, 지란지교소프트, 컴투테크놀로지, 인정보, 블루데이타, 센티넬테크 등 10여 개 가량으로 파악된다. 이들 업체 중에는 순수 검색솔루션으로 개발해 공급하는 경우도 있고, 자사 보안 솔루션에 검색기능을 추가한 경우도 있다. 검색기능을 추가한 업체들은 비교적 최근에 시장에 진입한 사례가 많은데 주로 자사 솔루션이 들어가 있는 고객 대상으로 영업을 해 기존 에이전트에 기능을 추가하는 형태로 영업이 이뤄지고 있다.
아직까지는 시장이 충분히 확대되지 않은 상황에서 많은 업체들이 시장에 들어오면서 과열 경쟁을 피할 수 없는 상황이다.
박봉근 소만사 공공사업팀장은 “공공시장에 입찰을 하게 되면 말도 안되는 금액으로 낙찰가가 정해지는 경우가 굉장히 많다”면서 “규모가 작은 업체의 경우 레퍼런스 확보를 위해 저가 수주를 감행하는 경우도 많다”고 호소했다. 게다가 최근에는 대형 벤더사인 안랩까지 PC개인정보검색 시장에 뛰어들어 경쟁이 더욱 심화될 것으로 전망된다.
이처럼 개인정보에 대한 위기의식이 점점 높아짐에 따라 앞으로 PC개인정보검색 솔루션 시장은 동반성장할 것이라는 것이 업계의 공통된 전망이다.
특히 향후 PC개인정보검색 솔루션 단일품목보다는 DLP나 DRM 등 다른 솔루션들과 통합해 공급되는 형태가 늘어날 것이라고 업계는 전망하고 있다.

2. 기술동향              

DRM·DLP과 결합돼 진화 거듭

PC개인정보검색 솔루션은 개인 식별번호의 패턴을 기반으로 PC에 저장된 개인정보 문서를 검출해내는 것이 가장 핵심적인 기능이다. 여기서 개인 식별번호란 개인을 식별할 수 있는 고유한 번호로 예를 들면 주민등록번호, 여권번호, 운전면허번호, 카드번호, 전화번호 등이 있다.
이렇게 검색을 통해 검출된 개인정보 문서들은 암호화해 저장하거나 또는 삭제하는데, 삭제 시에도 복원이 불가능하도록 7번 반복 삭제하는 완전삭제 기능을 갖추고 있다.
초기 PC개인정보검색 솔루션은 단순 검색 기능만 지니고 있었으나 최근에는 DRM이나 DLP 등 이종(異種)의 솔루션과 연계해 진화하는 추세를 보이고 있다.
우선 DRM과 연계하는 경우, 개인정보검색 솔루션의 에이전트가 DRM된 문서를 검색하기 위해 DRM 업체로부터 복호화 키를 받아 문서 암호를 풀고 검색 후 다시 암호화해 저장하는 방식으로 이뤄진다. 이때 DRM 솔루션 업체와 명확히 협의가 이루어지지 않으면, 검색솔루션 자체의 암호화 기술과 DRM 솔루션의 암호화 기술이 서로 중복돼 혼란이 발생할 우려가 있다. 파수닷컴과 같이 본래 갖고 있던 DRM 기술을 개인정보검색 솔루션에 접합해 일괄로 공급하는 경우도 있다.
한편 검색된 개인정보를 보호하기 위해 DLP 기능을 추가하는 경우도 있다. 개인정보가 USB, 디스크, 웹 등으로 유출시도가 있을 시 알람과 차단을 할 수 있는 기능이다.
그렇다면 기업이 PC개인정보검색 솔루션을 도입하고자 할 때 CIO는 무엇을 고려해야 하는가?
박봉근 소만사 공공팀장은 ‘얼마나 많은 PC를 빠르게, 안정적으로 검색할 수 있는가’를 토대로 제품을 선택해야 한다고 조언한다. 즉, 다량의 에이전트를 안정적으로 배포해본 경험이 있는 업체를 고르라는 것이다.
한 PC 내에는 PC개인정보검색 에이전트뿐 아니라 백신이나 DRM 등 여러 가지 에이전트들이 함께 구동하고 있으므로 이들 에이전트 간 충돌이나 PC 성능 저하가 없도록 해야 하기 때문이다.
또한 개인정보 보호를 위한 솔루션이긴 하지만 동시에 개인정보를 다량으로 보유하고 있는 시스템이기도 해, 관련 로그나 데이터가 악의에 의해 위겫?떠?일어나지 않도록 하는 기술도 중요하다고 박 팀장은 강조했다.
그러나 무엇보다 가장 핵심이 되는 기능은 검색이다. 윤명훈 인포섹 보안기술연구소장은 “단순히 숫자가 나열된 패턴을 찾아내는 것이 아니라 얼마나 정확하게 개인정보를 찾느냐에서 기술 수준이 가려진다”고 말했다. 또 박봉근 팀장은 “파일의 확장자를 변경하거나 몇 겹으로 압축을 한 파일, 혹은 파워포인트에서 OLE 객체를 그대로 가져다 쓴 경우 등 검색이 어려운 파일도 분석해낼 수 있어야 한다”고 전했다.
또한 규제의 변화에 따라 패턴 업데이트가 계속 이뤄져야 하므로 향후 안정적인 사후지원이 이뤄지기 위해서는 회사의 규모와 영속성 여부도 따져보아야 한다고 관계자들은 조언했다.

3. 각 사별 솔루션 특징

소만사 - “행안부와 방통위가 선택한 개인정보검색 솔루션”

‘프라이버시-i(Pricacy-i)’는 PC뿐 아니라 DB, 서버 등 전사적으로 개인정보를 거출해 파기, 암호화하는 솔루션으로 국내에서 가장 높은 시장점유율을 기록하고 있다.
또한 전사적으로 직원들 PC의 개인정보를 자가진단해 법적인 보유기간을 지정할 수 있으며 정보속성에 따라 분류도 할 수 있다. 보안팀은 개인정보 유효기간이 끝난 개인정보만을 검출해 파기 프로세스를 진행할 수 있다.
DLP 기능을 탑재하고 있어 개인정보가 담긴 출력물, 보조저장장치, 네트워크의 3대 유출통로를 기록 및 차단한다. 개인정보를 정책 이상으로 보유한 출력물은 차단하거나 결재를 거쳐야 하며 출력물에 대한 기록을 이미지 및 텍스트 파일 형태로 저장해 사후 추적할 수 있다. USB 등의 보조저장장치도 차단, 기록 등 보안조치를 취할 수 있으며 네트워크에 파일이 첨부되는 것을 막을 수 있다.
박봉근 공공사업팀장은 “프라이버시-i는 행정안전부, 방송통신위원회, 교육과학기술부에서 개인정보 감사 표준도구로 선택한 개인정보검색솔루션”이라며 “이외에도 LG전자, SK텔레콤, LG유플러스, KT, 롯데백화점, 국민은행 등 대기업에서 도입해 개인정보보호법의 취재를 만족하는 특화기능 및 다양한 고객의 요구사항을 반영한 기능 및 성능을 보유하고 있다”고 설명했다. 또 박 팀장은 “특히 공공시장은 순수 개인정보 검색기능만을 사용하는 기관이 대부분이므로 개인정보 검색기능뿐 아니라 출력물겦택?통제 기능을 포함한 DLP영역까지 영업을 확대할 예정”이라고 밝혔다.

관련 솔루션 - 프라이버시 아이 (Privacy-i)
프라이버시-i는 PC뿐 아니라 DB, 서버 등 전사적으로 개인정보를 검출해 파기, 암호화하는 솔루션으로 DLP 기능을 탑재하고 있어 개인정보가 담긴 출력물, 보조저장장치, 네트워크의 3대 유출통로를 기록 및 차단한다. 행정안전부, 방송통신위원회, 교육과학기술부에서 개인정보 감사 표준도구로 사용하고 있다.

인포섹 - “실시간 검색으로 강력한 개인정보 보호”

인포섹이 처음 PC개인정보검색 솔루션 ‘이글아이(Eagleye)’를 개발하게 된 계기는 2007년 SK계열사의 개인정보 컨설팅을 수행하면서다. 임직원들의 개인정보 보유 현황 분석을 위해 개인정보검색 프로그램을 만들어 각 PC별로 일일이 조사했으며 이를 기술적으로 보완해 상용화한 것이 지금의 이글아이다.
이글아이는 식별된 개인정보에 대해 개인정보보호 관련 법률상 불필요한 정보는 완전 삭제하고 업무상 필요한 자료는 암호화해 보관함으로써 1차적인 정보유출방지 활동을 임직원 스스로 수행할 수 있다. 또 2차적으로는 조직의 개인정보보호 담당자에게 임직원의 PC에서 식별된 정보를 제공해 전사적 차원에서 개인정보보호 정책적 판단 기준을 수립할 수 있도록 해 체계적이고 효율적인 개인정보 유출방지 전략을 이행할 수 있도록 한다.
검출된 자료의 신뢰성을 높이기 위해 파일 내 두 가지 이상의 개인정보 항목을 조합해 검색하고 검출된 개인정보 파일은 사용자가 구분하기 쉽게 표현해 제공하며 DLP 기능을 일부 추가해 개인정보 파일을 메신저, USB, 메일 등으로 전송 시 알림, 차단한다.
인포섹은 조만간 실시간 탐지 방식의 이글아이 3.0 버전을 출시할 예정이다. 윤 소장은 “기존 제품들이 리소스에 대한 부담으로 실시간 탐지보다는 주기적 탐지 방식이 대부분인 것과 달리, 이글아이 3.0 버전은 최대한 가벼운 엔진을 사용해 리소스 부담을 줄이면서도 실시간 탐지를 구현했다”고 신제품에 대해 설명했다.  그는 “개인정보 이슈에 민감한 공공기관 및 금융권은 물론 개인정보 업무 활용도가 높아 개인정보에 대한 관리가 특히 필요한 유통사를 비롯 생명 캐피탈 등 제 2금융권 , 지차제, 학교까지 다수의 레퍼런스를 확보했다”며 “더불어 개인정보(핵심정보) 저장·전송 솔루션 C-Trans 등 개인정보보호 솔루션 라인업 구축을 통해 개인정보보호에 대한 보다 안전하고 효율적인 관리 방안을 제시하며 관련 시장을 선도하고 있다”고 밝혔다.

관련 솔루션 - 이글 아이(Eagleye)
이글아이는 검출된 자료의 신뢰성을 높이기 위해 파일 내 두 가지 이상의 개인정보 항목을 조합해 검색하고 검출된 개인정보 파일은 사용자가 구분하기 쉽게 표현해 제공한다. 또한 DLP의 핵심 기능을 일부 추가해 개인정보 파일을 메신저, USB, 메일 등으로 전송 시 알림, 차단한다.

닉스테크 - “패턴과 키워드 통한 개인정보 식별”

닉스테크의 개인정보보호 솔루션 ‘세이프프라이버시(Safe-privacy)’는 2009년 출시됐으며, PC 안의 주민등록번호, 신용카드 번호 등 개인을 확인할 수 있는 내용으로 구성된 개인정보파일에 대해 식별 및 보안 관리를 제공함으로써 개인정보보호법을 준수할 수 있도록 개발된 제품이다.
특히 닉스테크의 내용인식 기반기술을 바탕으로 파일의 내용을 설정된 패턴과 키워드로 검사하는 것으로 문서를 식별하며, 중요문서에 대한 패턴과 키워드를 등록하면 이를 통해 중요문서 식별이 가능하다.
대표적인 주요기능으로는 PC 안의 개인정보를 파기할 경우 파일 완전삭제 알고리즘을 적용하여 복구 및 재생이 불가능하며, 패턴과 키워드 검색을 통해서 식별된 개인정보파일을 안전하게 암호화 할 수 있다.
또한 패턴과 키워드를 통한 개인정보파일 식별이 가능하며, 개인정보 파일의 생성부터 매체 이동까지 감사 로그 생성 및 주요 대상자에 대해 블랙리스트 관리가 가능하다.
이외에도 개인정보가 포함되어 있는 파일의 출력 시 원천적으로 차단이 가능하며, 해당 출력물의 이미지 사본을 저장할 수 있다.
한편 닉스테크의 DLP 솔루션 ‘SAFEPC Enterprised’의 주요기능인 PC매체 통제기능을 추가하여 타사의 제품과 차별화를 꾀했으며, 이동형 저장장치 (USB, 메모리카드, 외장형하드 등)를 통한 외부로의 자료에 대한 유출을 차단하여 개인정보를 안전하게 보호할 수 있다.

관련 솔루션 - 세이프프라이버시(Safeprivacy)
패턴과 키워드를 통한 개인정보파일 식별이 가능하며, 개인정보 파일의 생성부터 매체 이동까지 감사 로그 생성 및 주요 대상자에 대해 블랙리스트 관리가 가능하다. DLP의 주요기능인 PC매체 통제기능을 추가해 이동형 저장장치를 통한 외부로의 자료에 대한 유출을 차단한다.