[보안맨] 개인정보 접속기록 솔루션 도입 과정

안녕하세요,

본 기고글에서는 개인정보 접속기록 솔루션 도입 과정에서 필자의 에피소드를 다룹니다.

고객의 개인정보를 수집, 이용하는 대부분의 IT 회사는 ‘개인정보처리시스템’이 존재합니다. 문자 그대로 개인정보를 처리하는 시스템을 의미합니다.  이때, 국내외 여러 컴플라이언스 (e.g. GDPR, PIPA)에 따라 고객의 개인정보 또는 개인정보처리시스템을 안전하게 관리해야 하는 여러 요구사항이 수반 됩니다.

국내 정보보호 및 개인정보보호 관리체계 내에서 요구하는 개인정보처리시스템 관리 관련 주요 확인사항은 다음과 같습니다.

• -개인정보처리시스템에 대한 접속기록을 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?

• -개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하는가?

• -오류, 오·남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립·이행하고 있는가?

외국계 금융회사에서 보안 담당자로 재직 당시 필자는 개인정보 취급자의 개인정보 활용 시 오남용을 막고, 관련 요건을 충족하기 위해 개인정보접속기록 관리 솔루션을 도입 했습니다.

도입 당시 겪은 일부 에피소드를  구체적으로 말씀 드리겠습니다. 크게 아래 3단계에 걸쳐 말씀 드리고 싶습니다.

• ●Step 1. 국내 법령, 본사 규정 등 요구사항 수집/분석

• ●Step 2. 벤더 미팅 및 기술 요구사항 컨훰

• ●Step 3. 설치, 테스트, 레포트 구성 등 업무 처리

예산 확보, 회사 내부 프로세스 (e.g. Bidding, etc.) 등 부수적인 내용은 제외하고 IT 및 보안 업무 요소를 다루겠습니다. 특히 아래 굵게 표시한 키워드를 유심히 살펴봐 주시기 바랍니다.

Step 1. 국내 법령, 본사 규정 등 요구사항 수집/분석

당시 내부 IT 감사 결함에 따른 후속 조치 사항으로, 월 1회 개인정보처리시스템에 접속하는 취급자의 접속기록을 주기적으로 검토해야 하는 니즈가 있었습니다. 개인정보처리시스템 내 이미 존재하는 로그기록으로 점검 업무를 진행하기에는 기술적인 한계가 있었습니다. (e.g. 결과값 출력 등). 그에 따라 전용 솔루션의 필요성이 대두 되었습니다. 금융 회사 특성을 고려해 주요 근거는 신용정보법/개인정보보호법 하위 내용 등 (월 1회 점검, 접속기록 일정 기간 보관 등) 감안 했습니다.

국내 요건과 더불어 본사의 로그 보관 기간, 관리 등에 관한 본사(해외) 규정도 준수해야 했습니다. 로컬 규정과 크게 conflict 되는 내용은 없었으며, 오히려 로컬 규정 및 고시 내용이 보다 구체적으로 마련되어 있었습니다.

특이사항으로, 솔루션 도입 검토 당시, CISO의 지시에 따라 별도의 RFP (Request for Proposal)는 마련되지 않았습니다.

Figure 1. 내부 솔루션 도입 보고 문서 (예시)

또한, 별도의 솔루션 도입 총괄 PM (Project Manager) 고려 없이, 유관 부서가 필요 시 벤더와 상의하여 솔루션 설정 등 진행하는 것으로 논의 했습니다.

Step 2. 벤더 미팅 및 기술 요구사항 컨훰

당시 개인정보 접속기록 관리 전용 솔루션 도입이 필요한 까닭은, 필자 IT 시스템 환경 상, 취급자(사람)가 개인정보처리시스템 내에서 처리하는 일련의 개인정보 처리 행위(SQL)와, 시스템 로직에 따라 개인정보처리시스템 내에서 처리되는 일련의 행위(SQL)를 식별하기 매우 어려웠기 때문입니다. ※ 초기 개인정보처리시스템을 설계, 개발, 구성했을 당시 여러 이슈가 있었을 것으로 추정 됩니다.

따라서, 벤더 담당자와 여러차례 회의를 통해 내부 컴플라이언스 요건, 당사 위 IT 환경에 따른 제약사항을 명확히 전달하고 구두로 가능하다는 답변을 받았습니다. 별도 회의록은 작성하지 않았습니다.

Step 3. 설치, 테스트, 레포트 구성 등 업무 처리

솔루션 설치, 테스트, 개인정보 접속기록 레포트 구성 및 결과 확인 등 IT 환경 구성은 일정에 맞게 순차적으로 진행되었습니다. 놀라웠던 점은, 솔루션 도입 총괄 PM 이 부재한 상황에서, 이 부분은 개발팀이, 이 부분은 인프라팀이 ‘눈치껏’ 확인, 업무를 처리한 점 입니다.

필자는 보안팀인 만큼, 주로 내부 절차서 개정 및 감사 레포트 작성에 치중했습니다. 위 레포트 구성의 경우, 최종 운영 데이터 (운영 중인 개인정보처리시스템과 연동된 접속기록 로그)를 통해 보고서가 정상적으로 출력되는지 정도만 확인했습니다. 내부 절차서의 경우, 기존에 타 부서에서 수립한 개인정보 처리 이상행위 시나리오가, 도입한 솔루션과 부합하지 않는 이슈가 있었습니다. 솔루션 업체에 당사 요구사항을 반영해달라고 요청하기에는 비용, 감사 마감 일정 등 여의치 않았으므로, 대체 방안으로 내부 절차서 개정을 빠르게 추진 했습니다. 타 부서에서 수립/관리하는 절차서를 수정하기까지 수많은 회의, 커뮤니케이션이 있었습니다. 많은 이해 관계자 설득 끝에, 보완된 내부 절차서를 마련할 수 있었습니다.

Figure 2. 타 부서와 절차서 개정을 위한 커뮤니케이션 내역 (이메일, 예시)

결론적으로, 솔루션 도입/구축 프로젝트는 좋은 결과를 얻지 못했습니다. 왜 일까요?

솔루션을 도입한다는 것은 향후 운영, 확장성 등 을 고려해야 하는 심도 깊은 업무 입니다. 도입 업무 말미에, 레포트 결과값 수치가 비정상적으로 식별되는 것을 확인했고, 결론적으로 위 2번째 단계인 ‘벤더 미팅’ 당시 당사가 요구한 기술적 요구사항이 전혀 반영되지 않았음을 확인했습니다.

크게 2가지 측면을 말씀 드리고 싶습니다.

첫째, 책임자 부재 입니다. 개인정보접속기록 도입 솔루션 도입 전 과정에 대해 책임을 지고 총괄 관리할 담당자가 명시적으로 부재해, 각 부서에서 필요에 따라 벤더 담당자와 연락을 취해 업무를 처리했습니다. 또한 벤더가 준 답변을 전적으로 신뢰하고 업무를 처리했습니다.

결과적으로, 일정이 어느 단계에 있는지, 중요한 이슈는 무엇인지 놓칠 때가 많았고, 심지어 산출물 리스트도 정리되어 있지 않았습니다. 아무리 작은 소규모 기업이라 할지라도, 프로젝트 관리 또는 솔루션에 대한 어느 정도 이해를 갖추고 있는 Senior 급의 총괄 PM이 선임되어야 할 것입니다.

둘째, 문서화 부재 입니다. 당시 솔루션을  왜 도입해야 하는지에 대한 이유가 비교적 명확히 있었습니다. 그러나, 벤더와의 기술적인 옭고 그름을 따지는 중요한 회의에 대한 회의록이 작성되지 않았습니다. 그로 인해 서로 다른 입장 차이를 가진 채 오랜 기간동안 솔루션이 구축되었고, 결론적으로 프로젝트 종료 시점에 초기 구축 이상의 더 많은 작업이 필요 했습니다. 또한 고객에서 원하는 솔루션의 중요 기능이 기재된 제안 요청서(RFP) 가 공식적으로 벤더에게 전달되지 않은 것도 한계점 입니다. 벤더 입장에서는 고객사의 요구로부터 자유로울 수 있는 일종의 hole 을 만들어 준 셈입니다. 명확한 제안 요청서, 회의록에 대한 당 사간 공유, 일정표 마련 등 체계적인 문서화를 통해 프로젝트를 체계적으로 관리해야 합니다.