[개인정보보호 기술과 파이어월 시스템 이슈 점검(1)]파이어월과 개인정보보호 이슈
[개인정보보호 기술과 파이어월 시스템 이슈 점검(2)]파이어월 기술개발 동향

IP 기반 첨단 기술이 상용화되면서 기술 진화 속도만큼이나 빠르게 보안 공격도 지능화/다양화/조직화되어 가고 있다.
정보 해킹이나 개인정보 유출 등으로 인한 경제적·인적 피해가 갈수록 증가하고 있어 유무선 네트워크의 파이어월 시스템 구축이 새삼 주목받고 있다. 이 연구에서는 파이어월 시스템을 구축하는 데 가장 중요한 이슈로 부각되고 있는 방화벽과 개인정보보호 이슈, 개인정보보호를 위한 국내 파이어월 시스템 기술개발 패턴과 제품개발 추세를 반영한 파이어월 기술개발 동향에 대해 설명한다.

개요

웹 3.0, HTML5, IPv6, 시맨틱웹 등 웹 접속 기술이 다양화되고 인터넷 개방성이 높아지면서 SNS, RSS 및 검색 시스템 등 편리한 서비스들이 지속적으로 증가하고 있다. 

이러한 웹 서비스가 늘어갈수록 악성 소프트웨어(malware), 애드웨어(adware) 등을 이용한 사이버 위협도 함께 증가하면서 특히 개인정보 침해 사건이 빈번하게 발생하고 있다. 

아울러 IP 기반 첨단 기술이 상용화되면서 보안상의 취약점이 나타나고 있으며, 기술 진화 속도만큼이나 빠르게 보안 공격도 지능화/다양화/조직화되어 가고 있다. 

국내외 주요 기관 및 기업의 주요 정보 해킹이나 개인정보 유출 등으로 인한 경제적·인적 피해가 갈수록 증가하고 있어 유무선 네트워크의 파이어월(FIrewall, 침입 차단 방화벽) 시스템 구축이 새삼 주목받고 있다[1].

이 연구에서는 파이어월 시스템을 구축하는 데 가장 중요한 이슈로 부각되고 있는 방화벽과 개인정보보호 이슈, 개인정보보호를 위한 국내 파이어월 시스템 기술개발 패턴과 제품개발 추세를 반영한 파이어월 기술개발 동향에 대해 설명한다. 

이를 토대로 성숙기에 접어들어 국내 기술 수준을 좀 더 고도화 할 필요가 있는 파이어월 기술개발 로드맵(TRM)을 제시한다. 효과적인 개인정보보호를 위한 향후 파이어월 시스템의 성능은 사전 예측 및 방지 기술을 수용할 수 있는 기술개발이 필요하다.

 파이어월과 개인정보보호 이슈

1. 개요
파이어월 시스템을 구축하는 데 가장 중요한 이슈는 개인정보를 보호하는 것이다. 이를 통해 사생활 침해나 경제적 피해를 최소화하고자 하는 것이다. 개인정보보호를 위해 2011년 9월 30일부터 개인정보보호법이 시행되고 있다. 

기존의 정보통신망법※1 등 개인정보보호 관련 개별법마다 달랐던 개인정보 수집·이용, 처리, 파기 등에 대해 단계별로 필요한 보호 기준과 원칙이 수립된 것이다. 주요 내용을 살펴보면 다음과 같다[2].

■ ‌개인정보 열람·정정·삭제 및 처리 정지권을 보장하고, 개인정보 유출 시 통지·신고 제도와 집단 분쟁 조정 제도, 권리 침해 중지를 구하는 단체 소송 등을 도입하여 국민의 피해 구제를 한층 강화한다.
■ ‌각 공공기관은 개인정보 영향 평가를 의무화하는 등 개인정보 침해 사고 예방과 국가의 개인정보보호 수준을 획기적으로 강화한다. 이를 위해 주민등록번호 등 고유 식별번호의 수집 및 저장을 엄격히 제한하며, 영상정보처리기기(CCTV 등) 설치·제한에 대한 근거 규정을 마련한다.
■ ‌개인정보보호위원회를 통해 주요 정책 사안을 심의·의결하고 헌법기관, 중앙행정기관 및 지자체의 법규 위반 사항 등에 대해 시정 조치 권고권, 국회 연차 보고서 제출권과 자료 제출 요구권 등을 부여한다.

2. 개인정보보호법의 주요 특징
개인정보처리 사업자에게 의무화될 것으로 예상했던 개인정보 암호화 등의 안전성 조치 규제 강도는 오히려 기존의 정보통신망법에 비해 크게 완화됐다. 주요 특징을 살펴보면 다음과 같다^[3].

■ ‌내부망에 저장되는 개인정보 암호화 조치 시한을 개인정보보호법 시행일부터 적용하지 않고 최장 1년까지 유예하여 개인정보보호법 의무 대상 사업자들이 준비할 현실적인 조건을 제시하고 있다.
■ ‌주민번호/여권번호/운전면허번호 등 주요 고유 식별정보는 반드시 암호화해야 한다. 아울러 비밀번호는 단방향 암호화를 적용해야 하며, 바이오 정보는 양방향 암호화 적용이 의무화된다.
■ ‌‌개인정보처리 시스템에 적용되고 있는 접근 권한 관리 등 조치사항의 위험 수준을 측정, 분석하여 암호화 적용 범위를 결정할 수 있도록 제시하고 있다.
■ ‌인터넷망의 DB에 개인정보를 저장할 때는 의무적으로 암호화해야 한다^※2. 이로 인해 그동안 주요 개인정보 DB 전체를 암호화하는 데 반대해 온 금융기관은 최소한 개인정보보호법으로는 부담을 덜게 됐다^※3.
■ ‌공공기관은 의무화되는 개인정보 영향 평가 결과에 따라 내부망에 저장되는 개인정보 암호화 범위 등을 결정할 수 있도록 제시하고 있다. 아울러 내부망 저장정보 암호화 조치는 개인정보보호법 시행일로부터 3개월 이내에 계획을 수립해야 한다. 계획 수립 후 12개월 이내에 조치를 완료할 수 있도록 돼 있다^※4.

3. 파이어월을 통한 안전성 조치
개인정보보호법 시행에 따라 개인정보처리 사업자는 개인정보 침해를 방지할 수 있도록 파이어월과 같은 시스템을 구축하여 안전성 확보 조치가 의무화된다. 이 기준에 따라 개인정보를 안전하게 처리하기 위한 개인정보보호 책임자 지정, 역할 및 책임, 안전성 확보 조치, 교육 등을 담은 내부 계획을 운영해야 한다. 이를 위해 다음과 같은 조치가 필요하다[4].

■ ‌개인정보처리 시스템에 대한 불법 접근과 침해 사고 방지를 위한 접속 통제 시스템 설치·운영과 가상 사설망(VPN)·전용선 등을 통한 안전한 접속 수단이 필요하다.
■ ‌고유한 개인 식별정보, 비밀번호 및 바이오 정보 등을 해킹으로부터 보호할 수 있도록 128bit 이상으로 고도로 암호화하여 저장할 필요가 있다. 아울러 개인정보를 정보통신망을 통해 송수신하거나 저장매체 등을 통해 전달하는 경우, 비밀번호와 바이오 정보를 필히 암호화해 저장할 필요가 있다.
■ ‌개인정보를 보관하는 전산실 및 자료 보관실 등에 대한 출입 통제 절차를 수립·운영하고, 개인정보가 포함된 서류나 저장 매체 등은 잠금장치가 있는 안전한 장소에 보관할 필요가 있다.

그림 1. 개인정보 유출 방지 시스템 개념도

■ ‌인터넷 정보센터(IDC) 및 클라우드 컴퓨팅 센터 등과 계약을 통해 하드웨어, 소프트웨어 등을 임대하여 개인정보를 처리하는 경우, 계약서나 서비스 수준 협약서(SLA)에 안전 조치 내용을 반드시 포함시킬 필요가 있다.

개인정보처리 시스템을 불법 침해 사고로부터 예방하기 위해서는 이동식 저장매체(USB 메모리 등) 및 네트워크 기기 등의 개인정보 유출 방지를 위한 시스템을 구축할 필요가 있다. 파이어월 시스템을 이용한 개인정보 유출방지 시스템의 개념을 그림 1에 나타낸다.

박세환 박사 한국과학기술정보연구원 ReSEAT 프로그램 전문연구위원