2024.05.10 (금)
단순 검색 넘어 DRM, DLP와 연계해 진화
인터넷을 사용하는 대한민국 모든 국민의 주민등록번호가 해외에서 거래되고 있다는 말이 나올 정도로, 최근 개인정보 유출사고가 빈번하게 일어나고 또 그로 인한 2차 피해도 늘어나고 있는 상황이다.
이런 가운데 지난해 9월 30일 개인정보보호법이 제정돼 개인정보 관리ㆍ통제에 대한 지침이 강화됐다. 개인정보보호법에 따르면 개인정보의 보유는 최소화해야 하며 개인정보 취급자를 별도로 지정하고, 반드시 암호화 저장돼 있어야 한다.
이러한 컴플라이언스를 충족하려면 우선 개인정보를 얼마나 보유하고 있는지를 알아야 하는데 이것을 일일이 사람의 눈으로 찾기란 어려운 일이다. 이에 PC 내 개인정보를 자동으로 검출하고 관리해줄 수 있는 PC개인정보검색 솔루션이 등장한 것이다.
PC개인정보검색 솔루션은 단순 검색기능뿐 아니라 검출된 개인정보를 격리ㆍ암호화 저장하거나 DRM(Digital Rights Management, 문서 보안), DLP(Data Loss Prevention, 데이터 유출 방지) 등과 연계하는 등 진화를 거듭해가며 공공과 금융계를 비롯한 전 산업계에 빠르게 확산되고 있다.
연보라 기자 bora@ciociso.com
기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징 (소만사, 인포섹, 닉스테크)
1. 시장동향
인터넷 환경 변화에 따른 50억 원대 시장 형성
PC 내 개인정보 검색 및 암호화까지
PC개인정보검색 솔루션이란 말 그대로 PC 내에 저장돼 있는 개인정보를 탐색해내는 솔루션이다. 업계에서는 PC개인정보보유통제 솔루션, PC개인정보보호 솔루션, 단말개인정보검색 솔루션 등 다양한 용어로 불리고 있다.
PC개인정보검색 솔루션은 PC 내에 저장돼 있는 개인정보만을 검출해내고 또 필요에 따라 이를 격리, 삭제, 암호화 저장 등의 후처리 기능까지 포함돼 있다.
개인정보가 흐르는 경로는 서버, 네트워크, PC, 웹 등 다양하다. 기업들은 개인정보의 유출을 방지하기 위해 경로마다 방화벽을 쌓고 DB암호화도 하는 등 여러 방비를 한다. 그 중에서도 PC단의 개인정보 보호가 특히 이슈가 되는 것은, 대부분 PC에 가장 많은 개인정보가 저장돼 있는데다 서버를 비롯한 인프라 시스템과 달리 PC 내의 정보들은 중앙에서 통제하기가 어렵기 때문이다. 심지어 PC 사용자조차 본인의 PC에 어떤 개인정보가 얼만큼 들어있는지 모르는 경우가 많다. 이에 각 PC의 개인정보 보유 실태를 파악하고 관리해야 하는 필요성이 대두됨에 따라 PC개인정보검색 솔루션이 등장했다.
개인정보보호법과 맞물려 빠른 수요
PC개인정보검색 솔루션이 처음 시장에 출시된 것은 2007~8년 무렵이다. 초기에는 단순히 개인정보 검색 및 감사의 목적으로 사용됐고 제품의 기능도 비교적 간단했다. 그러다 개인정보보호법이 이슈화되면서 관련 시장에 대한 기대감으로 업체들이 속속 PC개인정보검색 솔루션을 개발겷蒐쳬煞?지난해 9월 개인정보보호법이 본격 발효되면서 수요가 크게 늘어났다. 개인정보보호법 이전에도 정보통신망법에 의해 개인정보를 다루고 있기는 했으나 정보통신 관련 사업자들에게 한정돼 있었던 것이, 개인정보보호법 제정 이후 모든 사업자에게로 적용범위가 확대돼 시장이 엄청나게 늘어난 셈이다.
특히 개인정보보호법에 따라 공공기관들은 개인정보의 보유, 관리, 흐름, 이용 현황을 정리한 개인정보파일대장을 행정안전부에 의무 제출하도록 돼있어 PC개인정보검색 솔루션에 대한 수요가 증가하고 있다. 또한 공공기관은 일정규모 이상의 개인정보취급시스템 도입 및 운영 시 개인정보 영향평가를 의무적으로 수행해야 하는데, 수행과정에서 개인정보보호검색 솔루션이 필요해 함께 도입하는 사례도 있다.
그러다보니 지난해부터 공공 부문에서 PC개인정보검색 솔루션의 적용이 활발히 일어나고 있는 상황이다.
보안에 대한 투자가 가장 활발한 편인 금융업계는 제1금융권들이 대부분 도입이 끝난 상태이고 최근 제2금융권에서 하나 둘 도입이 확대되고 있다고 업계는 전한다.
또한 이전까지는 개인정보 보호에 큰 관심이 없던 제조 및 유통사들도 컴플라이언스가 강화가 되고 곳곳에서 개인정보 유출 관련 사고들이 발생함으로 인해 PC개인정보검색 솔루션에 대한 관심이 높아졌다.
윤명훈 인포섹 보안기술연구소장은 “엔터프라이즈급이나 금융권에서 상대적으로 도입율이 높았으나 올해 들어서는 대학이나 교육기관, 병원 등의 의료기관에서 문의가 쇄도하고 있으며, 실도입 사례 역시 눈에 띄게 증가하고 있다. 또한 공공분야에서도 중앙부처에서 먼저 움직일 것이라고 예상했는데 지자체에서도 벌써부터 많은 문의가 이어지는 등 기대보다 시장이 더 빨리 확산되고 있다”고 전했다.
박봉근 소만사 공공팀장은 이 시장이 빠르게 성장하고 있는 이유에 대해 “컴플라이언스, 즉 개인정보보호법이 뒷받침돼 있고, PC개인정보검색 솔루션이 다른 솔루션과 연계할 수 있는 여지가 많기 때문”이라고 설명했다. 즉, PC개인정보검색 솔루션은 기존 DRM(Digital Rights Management, 문서 보안)이나 다른 보안 솔루션에서 기능을 추가해 만들 수도 있고, 개인정보검색 솔루션에서 DLP(Data Loss Prevention, 데이터 유출 방지) 기능 등을 추가해 확장할 수 있는 가능성이 많기 때문이라는 것이다.
10여 개 업체 간 경쟁 치열, 저가 수주 폐해 우려
현재 PC개인정보검색 솔루션을 공급하고 있는 업체로는 소만사, 인포섹, 닉스테크, 파수닷컴, 지란지교소프트, 컴투테크놀로지, 인정보, 블루데이타, 센티넬테크 등 10여 개 가량으로 파악된다. 이들 업체 중에는 순수 검색솔루션으로 개발해 공급하는 경우도 있고, 자사 보안 솔루션에 검색기능을 추가한 경우도 있다. 검색기능을 추가한 업체들은 비교적 최근에 시장에 진입한 사례가 많은데 주로 자사 솔루션이 들어가 있는 고객 대상으로 영업을 해 기존 에이전트에 기능을 추가하는 형태로 영업이 이뤄지고 있다.
아직까지는 시장이 충분히 확대되지 않은 상황에서 많은 업체들이 시장에 들어오면서 과열 경쟁을 피할 수 없는 상황이다.
박봉근 소만사 공공사업팀장은 “공공시장에 입찰을 하게 되면 말도 안되는 금액으로 낙찰가가 정해지는 경우가 굉장히 많다”면서 “규모가 작은 업체의 경우 레퍼런스 확보를 위해 저가 수주를 감행하는 경우도 많다”고 호소했다. 게다가 최근에는 대형 벤더사인 안랩까지 PC개인정보검색 시장에 뛰어들어 경쟁이 더욱 심화될 것으로 전망된다.
이처럼 개인정보에 대한 위기의식이 점점 높아짐에 따라 앞으로 PC개인정보검색 솔루션 시장은 동반성장할 것이라는 것이 업계의 공통된 전망이다.
특히 향후 PC개인정보검색 솔루션 단일품목보다는 DLP나 DRM 등 다른 솔루션들과 통합해 공급되는 형태가 늘어날 것이라고 업계는 전망하고 있다.
DRM·DLP과 결합돼 진화 거듭
PC개인정보검색 솔루션은 개인 식별번호의 패턴을 기반으로 PC에 저장된 개인정보 문서를 검출해내는 것이 가장 핵심적인 기능이다. 여기서 개인 식별번호란 개인을 식별할 수 있는 고유한 번호로 예를 들면 주민등록번호, 여권번호, 운전면허번호, 카드번호, 전화번호 등이 있다.
이렇게 검색을 통해 검출된 개인정보 문서들은 암호화해 저장하거나 또는 삭제하는데, 삭제 시에도 복원이 불가능하도록 7번 반복 삭제하는 완전삭제 기능을 갖추고 있다.
초기 PC개인정보검색 솔루션은 단순 검색 기능만 지니고 있었으나 최근에는 DRM이나 DLP 등 이종(異種)의 솔루션과 연계해 진화하는 추세를 보이고 있다.
우선 DRM과 연계하는 경우, 개인정보검색 솔루션의 에이전트가 DRM된 문서를 검색하기 위해 DRM 업체로부터 복호화 키를 받아 문서 암호를 풀고 검색 후 다시 암호화해 저장하는 방식으로 이뤄진다. 이때 DRM 솔루션 업체와 명확히 협의가 이루어지지 않으면, 검색솔루션 자체의 암호화 기술과 DRM 솔루션의 암호화 기술이 서로 중복돼 혼란이 발생할 우려가 있다. 파수닷컴과 같이 본래 갖고 있던 DRM 기술을 개인정보검색 솔루션에 접합해 일괄로 공급하는 경우도 있다.
한편 검색된 개인정보를 보호하기 위해 DLP 기능을 추가하는 경우도 있다. 개인정보가 USB, 디스크, 웹 등으로 유출시도가 있을 시 알람과 차단을 할 수 있는 기능이다.
그렇다면 기업이 PC개인정보검색 솔루션을 도입하고자 할 때 CIO는 무엇을 고려해야 하는가?
박봉근 소만사 공공팀장은 ‘얼마나 많은 PC를 빠르게, 안정적으로 검색할 수 있는가’를 토대로 제품을 선택해야 한다고 조언한다. 즉, 다량의 에이전트를 안정적으로 배포해본 경험이 있는 업체를 고르라는 것이다.
한 PC 내에는 PC개인정보검색 에이전트뿐 아니라 백신이나 DRM 등 여러 가지 에이전트들이 함께 구동하고 있으므로 이들 에이전트 간 충돌이나 PC 성능 저하가 없도록 해야 하기 때문이다.
또한 개인정보 보호를 위한 솔루션이긴 하지만 동시에 개인정보를 다량으로 보유하고 있는 시스템이기도 해, 관련 로그나 데이터가 악의에 의해 위겫?떠?일어나지 않도록 하는 기술도 중요하다고 박 팀장은 강조했다.
그러나 무엇보다 가장 핵심이 되는 기능은 검색이다. 윤명훈 인포섹 보안기술연구소장은 “단순히 숫자가 나열된 패턴을 찾아내는 것이 아니라 얼마나 정확하게 개인정보를 찾느냐에서 기술 수준이 가려진다”고 말했다. 또 박봉근 팀장은 “파일의 확장자를 변경하거나 몇 겹으로 압축을 한 파일, 혹은 파워포인트에서 OLE 객체를 그대로 가져다 쓴 경우 등 검색이 어려운 파일도 분석해낼 수 있어야 한다”고 전했다.
또한 규제의 변화에 따라 패턴 업데이트가 계속 이뤄져야 하므로 향후 안정적인 사후지원이 이뤄지기 위해서는 회사의 규모와 영속성 여부도 따져보아야 한다고 관계자들은 조언했다.
3. 각 사별 솔루션 특징
소만사 - “행안부와 방통위가 선택한 개인정보검색 솔루션”
관련 솔루션 - 프라이버시 아이 (Privacy-i)
프라이버시-i는 PC뿐 아니라 DB, 서버 등 전사적으로 개인정보를 검출해 파기, 암호화하는 솔루션으로 DLP 기능을 탑재하고 있어 개인정보가 담긴 출력물, 보조저장장치, 네트워크의 3대 유출통로를 기록 및 차단한다. 행정안전부, 방송통신위원회, 교육과학기술부에서 개인정보 감사 표준도구로 사용하고 있다.
인포섹 - “실시간 검색으로 강력한 개인정보 보호”
관련 솔루션 - 이글 아이(Eagleye)
이글아이는 검출된 자료의 신뢰성을 높이기 위해 파일 내 두 가지 이상의 개인정보 항목을 조합해 검색하고 검출된 개인정보 파일은 사용자가 구분하기 쉽게 표현해 제공한다. 또한 DLP의 핵심 기능을 일부 추가해 개인정보 파일을 메신저, USB, 메일 등으로 전송 시 알림, 차단한다.
닉스테크 - “패턴과 키워드 통한 개인정보 식별”
관련 솔루션 - 세이프프라이버시(Safeprivacy)
패턴과 키워드를 통한 개인정보파일 식별이 가능하며, 개인정보 파일의 생성부터 매체 이동까지 감사 로그 생성 및 주요 대상자에 대해 블랙리스트 관리가 가능하다. DLP의 주요기능인 PC매체 통제기능을 추가해 이동형 저장장치를 통한 외부로의 자료에 대한 유출을 차단한다.