개인정보 유출 방지를 위한 접속기록 관리의 필요성_인스피언

 

안녕하세요. 인스피언입니다.

​

정부의 개인정보 안전성 확보조치 기준이 계속해서 강화되고 있습니다.

​

오늘은 정부에서 발표한 강화된 개인정보 유출 방지 대책과 접속기록 관리의 필요성에 대해 알아보도록 하겠습니다.

 

---

개인정보 유출 방지 대책

 

최근 개인정보보호위원회는 제3회 국정현안점검조정회의에서 '공공부문 개인정보 유출 방지 대책'을 발표했습니다.

​

개인정보위는 민감한 개인정보를 대규모로 처리하는 기관의 경우 3단계 안전조치의무가 부과되는 등 개인정보 관리를 강화한다고 밝혔습니다.

​

개인정보 취급자에 대한 처벌 강화, 개인정보처리시스템 보호 강화, 사각지대 없는 보호 관리체계 구축, 개인정보 보호기반 구축 등의 내용을 담고 있습니다.

​

중점적으로는 고의 유출에 대한 징계 및 형사처벌을 강화하고, 집중관리 대상 시스템에 대한 3단계 안전조치 의무를 부과하는 등 개인정보 처리에 대한 책임과 역할을 명확하게 하도록 한다고 합니다.

​

(관련 뉴스를 참고해주세요↓)

[그래픽] 공공부문 개인정보 유출 방지대책 주요 내용 | 연합뉴스

 

 

접속기록 관리 시스템

 

개인정보보호위원회에서 밝힌 중점 추진 과제 중에서 집중관리 대상 시스템에 대한 3단계 안전조치 의무 부과에서 꼬집은 문제점으로는 공공부문에서 접속기록 관리 시스템을 구축한 비율이 56%라는 점입니다.

​

개인정보를 취급하는 모든 기업 및 기관은 취급자의 접속기록을 조회할 수 있도록 하고, 비정상적 접근 시도를 탐지‧차단하는 기능이 필요합니다.

따라서 접속기록 관리 시스템을 의무적으로 도입할 필요가 있습니다.

​

업무 목적 외 개인정보를 무단 열람하거나 제공하는 것을 막기 위한 조치로 접속기록 관리 시스템이 꼭 필요합니다.

 

 

접속기록 관리의 필요성

 

 

그렇다면 접속기록 관리 시스템, 공공기관에만 필요할까요?

​

최근 여행사에서 제3자에게 고객정보를 노출하기도 하고, 쇼핑몰에서 개인정보가 유출된 사건도 있습니다.

모든 기업 및 기관이 개인정보 유출의 위협을 받고 있습니다.

​

데이터의 중요성이 점점 증가하는 시대이기 때문에, 데이터의 안전한 활용이 받쳐줘야 합니다.

​

개인정보 보호법 제59조에 의하면 개인정보 유출을 금지행위로 규정되어 있고, 제29조에 따르면 유출되지 않도록 안전조치의무를 부과합니다.

​

개인정보의 안전성 확보조치 기준의 제8조에서 접속기록의 보관 및 점검을 확인할 수 있습니다.

 

① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다.  다만 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.  ​ ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다.  특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.  ③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

 

생각보다 많은 기업과 기관에서 접속기록을 조회·점검하고 있지 않는 경우가 있습니다.

인력·전문성 부족 등의 이유로 방대한 접속기록을 실질적으로 점검하는데 한계가 있기도 합니다.

또는 여전히 수기 점검만 하고 있을지도 모릅니다.

​

접속기록 관리 시스템을 미도입하면, 비정상적인 접근 시도를 탐지하거나 차단하는 등의 기술이 전혀 이루어지지 않습니다.

​

법이 강해지는 만큼, 개인정보보호는 더 이상 방치하거나, 미룰 수 없습니다.

 

 

Bizinsider xCon for SAP

 

 

인스피언의 비즈인사이더 엑스콘은 SAP 프로토콜 기반의 SAP 개인정보 접속기록 시스템입니다.

​

사용자의 행위를 감시하는 기록이 있기 때문에, SAP의 모든 통신 기록을 남깁니다.

사용자의 업무 수행 데이터의 입력/수정 행위를 로그에 저장하며, SAP 공통 User로 사용 시에는 IP별 업무 행위에 대한 로그를 저장합니다.

​

ID, IP 주소에 따른 SAP 시스템 접근 통제가 가능하며, 사용자 정의 이벤트에 따라 보안정책 위배 시 접근을 차단할 수도 있습니다.

​

시스템 내 오류 발생 유형에 대한 기록과 시스템 사용 현황 통계 자료도 제공합니다.

​

그리고 가장 중요한 개인정보 보호법 법령 준수를 위한 개인정보 관리의 기술적 보호대책이 가능합니다.

SAP 시스템 내의 개인정보에 대한 접근 기록을 조회하고 점검할 수 있습니다.

​

개인정보의 안전성 확보조치 강화에 따른 접속기록 관리를 고려한다면, Bizinsider xCon for SAP을 확인해보세요!

 

 

 

---

[참고 자료]

[개인정보보호위원회] 메인사이트

(개인정보보호위원회)개인정보의안전성확보조치기준

---

 

개인정보 유출 관련 법안이 강화되는 만큼, 현재 기업과 기관은 형식적인 접속기록을 점검하고 있는게 아닌지 확인이 필요합니다.

개인정보 관리에는 사각지대가 있어서는 안됩니다.

​

SAP 접속기록은 비즈인사이더 엑스콘입니다!

(xCon 도입 관련 뉴스를 참고해주세요↓)

인스피언, LS그룹 계열사 ‘예스코’에 SAP 접속기록 솔루션 공급