[논문]개인정보 위탁업무 보안성 강화방안 연구

손태현; 박정선

doi:10.12812/ksms.2014.16.3.433

문제 정의

(3) 바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위하여 다음의 보호대책을 제안한다.
개인정보를 취급하는 취급자의 시스템 접근권한이나 개인정보취급 사항들을 시스템에서 체계적으로 관리할 수 있는 방안을 모색하였다. 그 방법으로 외주용역의 유형을 운영용역, 유지보수 영역, SI용역, 데이터 처리 용역, 오프라인 지원 등 5가지로 구분하여 본 논문에서 제안 한 통제사항들과 상관관계를 검토하여 유형별 보호대책을 제시하였다.
계약의 종료에 따른 위탁사가 제공한 데이터의 회수 및 파기, 계정 및 사용권한의 회수, 계약 기간 중 취득한 정보 유출 금지에 관한 서약서 작성, 수탁업무에 사용한 정보시스템 및 저장 매체의 점검 등 필요한 조치가 이행되었는지를 실물위주로, 현장 확인하도록 하였다.
이러한 문제가 발생하는 가장 중요한 이유는 개인정보의 위탁이 업무수행에 따른 비용-효과성에 치중하여 위탁업무 및 제공되는 정보의 중요성, 수탁사의 자체 정보보호 능력에 대한 평가 기준 등이 제대로 반영되지 못하기 때문이며 수탁자에 대한 관리 감독이 적정한 수준으로 관리되지 못하고 있는 것이다. 따라서 본 논문에서는 위탁사의 수탁사 정보보호 관리 감독 방안과 이에 따른 통제사항을 제시하여 새로운 개선 방향을 모색해 보고자 한다.
본 논문에서는 ISMS의 18개 통제분야 104개 통제항목과 PIMS의 22개 관리과정 118개 통제 항목을 분석·검토하였다.
본 논문에서는 사업 유형에 따라 통제사항을 적용하는 과정에서 세부 내용에 따라 선택할 수 있는 여지를 남겨 두었다. 이것은 위탁사업의 업무 유형이 좀 더 분화하지 못하고 큰 분류로 구분되고 있음을 보여 주는 것이다.
본 논문에서는 위탁사무의 유형과 특성, 통제영역에 대한 관계성 등을 검토하여 개인정보의 위탁자와 수탁자간에 위험을 줄이기 위한 개인정보보호 관리체계의 통제를 도출하고자 한다.
외주인력이 사용하는 저장매체는 엄격히 사용을 제한하도록 하였다. 사용이 허용된 저장매체에 대하여도 저장된 자료를 검사하여 허용 범위를 준수하고 있는지 감사하도록 하였다.
업무용 컴퓨터에 악성코드를 감사하고 제거하는 백신 소프트웨어가 설치되고 실시간으로 감사하고 있도록 하였다. 중요정보가 인쇄된 출력물이 불법적으로 반출하는 것을 방지하기 위한 보호대책을 제시하도록 하였다.
평상시 수탁업무 활동의 로그기록이나 개인정보 접근 형태, 업무처리 건수 등의 취급 현황 등을 검토하여 개인정보 유출 가능성을 최소화하거나 예방가능성을 높이도록 하였다.

가설 설정

(가) 제안 모델의 위탁업무 유형이 업종이나 업무형태에 따라 세분화되어 있지 못하다.

제안 방법

“인적보안”, “매체보안”, “유출차단” 분야에 대하여는 통제사항의 내용을 수탁자의 업무 특성에 맞춰 보완하였다.
(5) 위탁사와 수탁사 간의 직무변경 및 수탁사 내부의 직무 변경 혹은 퇴직 발생 시 정보자산 반납, 접근권한의 조정·회수 등을 절차에 따라 이행하고 결과를 확인한다.
(가) 위탁 사업에 필요한 보안 통제 영역을 정의하여 위탁사 정보보호 관리체계를 수립하였다.
(다) 위탁 업무 유형별로 세부 용역 사항에 맞춰 통제항목을 선택적으로 적용하도록 구분하였다.
3개 통제영역 중 “관리적 보안” 영역에 “계약서”분야를 신설하고 2개 통제사항을 신설하였다.
개인정보보호법을 토대로 개인정보 위탁 시 법적인 준수사항을 도출하고 이를 통제영역으로 구분하였다. 그리고, 국내 개인정보보호 인증 제도인 개인정보보호 관리체계(PIMS)와 개인정보 보호수준 인증(PIPL), 정보보호관리체계(ISMS)의 위탁 관련 통제를 분석하여 법적 준수사항과 대응시켰다.
개인정보를 취급하는 취급자의 시스템 접근권한이나 개인정보취급 사항들을 시스템에서 체계적으로 관리할 수 있는 방안을 모색하였다. 그 방법으로 외주용역의 유형을 운영용역, 유지보수 영역, SI용역, 데이터 처리 용역, 오프라인 지원 등 5가지로 구분하여 본 논문에서 제안 한 통제사항들과 상관관계를 검토하여 유형별 보호대책을 제시하였다.
개인정보보호법을 토대로 개인정보 위탁 시 법적인 준수사항을 도출하고 이를 통제영역으로 구분하였다. 그리고, 국내 개인정보보호 인증 제도인 개인정보보호 관리체계(PIMS)와 개인정보 보호수준 인증(PIPL), 정보보호관리체계(ISMS)의 위탁 관련 통제를 분석하여 법적 준수사항과 대응시켰다. 마지막으로 개인정보 위탁의 실무적용이 가능한 통제 모형을 제시하고, 개인정보 위탁을 위한 관리체계 통제를 제안하였다.
위탁사업에서 개인정보보호를 위한 실질적인 방안과 대책을 도출하기 위하여 개인정보보호에 관련된 관리적, 기술적 총제사항과 관련 법률 규정, 개인정보 유출 사례 등을 분석·검토하였다. 또한 수탁 업무의 유형과 특성을 분석하고 유형별 특성과의 관계를 상호 비교하였다. 이를 통하여 수탁사가 사업의 유형에 따라 해결해야 할 보안 통제 영역을 이해하고 적용해야 할 통제사항을 선정할 수 있도록 하였다.
또한 수탁사의 이직율을 고려하여 계정 등록·삭제 및 접근권한 등록·변경·삭제 권한을 한 사람에게 집중되지 않도록 하고 불가피한 경우, 접근권한 활동의 적정성을 주기적으로 검토한다.
이를 통하여 수탁사가 사업의 유형에 따라 해결해야 할 보안 통제 영역을 이해하고 적용해야 할 통제사항을 선정할 수 있도록 하였다. 또한 위탁사업에서 필수적으로 적용해야 할 통제영역과 통제사항을 도출하여 사업 단계에 맞춰 분류하고 세부 항목을 제안하였다.
또한, 개인정보 출력방법(테이프, 디스크, 인쇄, 휴대용 저장매체 등)에 따라 출력 일시, 방법 등 필요한 사항의 기록·관리 등 보호대책을 수립한다.
특히 로그유형 및 보존기간(최소 6개월 이상 권고)은 법적요건을 고려하여 정한다. 로그기록은 스토리지 등 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한부여는 최소화하여 수탁사의 비인가자에 의한 로그기록 위변조 및 삭제 등이 발생하지 않도록 대책을 세운다.
그리고, 국내 개인정보보호 인증 제도인 개인정보보호 관리체계(PIMS)와 개인정보 보호수준 인증(PIPL), 정보보호관리체계(ISMS)의 위탁 관련 통제를 분석하여 법적 준수사항과 대응시켰다. 마지막으로 개인정보 위탁의 실무적용이 가능한 통제 모형을 제시하고, 개인정보 위탁을 위한 관리체계 통제를 제안하였다.
본 논문에서 제안하는 수탁사 관리감독을 위한 통제 방안에 대하여 ISMS의 정보보호 관련 사항과 PIMS의 개인정보보호 관련 사항들을 분석하여 수탁사의 관리 감독에 적합한 “개인정보 수탁사 관리감독 제안 모델”을 도출하였다.
본 논문에서는 전체적인 위탁업무의 유형을 분류하고, 위탁업무 유형별 특성을 정의하였다. 위탁업무를 수탁사가 접근할 수 있는 IT 자원유형 및 사용권한, 자원에 대한 온라인 또는 오프라인을 통한 접근경로에 따라 [Table 2]와 같이 분류하였다.
(5) 수탁사가 운영하는 정보시스템, 응용프로그램, 보안시스템, 네트워크 장비 등 기록해야 할 로그유형을 정의하여 일정기간 보존하고 주기적으로 검토한다. 서비스 및 업무 중요도를 고려하여 로그 기록 및 보존이 필요한 주요 정보시스템(서버, 응용프로그램, 정보보호 시스템, 네트워크 장비, DB 등)을 지정하고 각 시스템 및 장비별로 기록하여야 할 로그유형 및 보존기간을 정한다. 특히 로그유형 및 보존기간(최소 6개월 이상 권고)은 법적요건을 고려하여 정한다.
업무용 컴퓨터에 악성코드를 감사하고 제거하는 백신 소프트웨어가 설치되고 실시간으로 감사하고 있도록 하였다. 중요정보가 인쇄된 출력물이 불법적으로 반출하는 것을 방지하기 위한 보호대책을 제시하도록 하였다.
위탁사가 사용하는 네트워크와 외주인력이 사용하는 네트워크를 물리적, 논리적으로 분리하도록 하였다.
위탁사업에서 개인정보보호를 위한 실질적인 방안과 대책을 도출하기 위하여 개인정보보호에 관련된 관리적, 기술적 총제사항과 관련 법률 규정, 개인정보 유출 사례 등을 분석·검토하였다.
본 논문에서는 전체적인 위탁업무의 유형을 분류하고, 위탁업무 유형별 특성을 정의하였다. 위탁업무를 수탁사가 접근할 수 있는 IT 자원유형 및 사용권한, 자원에 대한 온라인 또는 오프라인을 통한 접근경로에 따라 [Table 2]와 같이 분류하였다.
또한 수탁 업무의 유형과 특성을 분석하고 유형별 특성과의 관계를 상호 비교하였다. 이를 통하여 수탁사가 사업의 유형에 따라 해결해야 할 보안 통제 영역을 이해하고 적용해야 할 통제사항을 선정할 수 있도록 하였다. 또한 위탁사업에서 필수적으로 적용해야 할 통제영역과 통제사항을 도출하여 사업 단계에 맞춰 분류하고 세부 항목을 제안하였다.
제안모델은 고객의 개인정보가 위탁업무 처리과정에 의해 유출되거나 오용될 가능성을 사전에 차단하고 예방할 수 있는 등 효과적으로 대응 할 수 있는 방안을 제시하였다. 따라서 통제사항에 맞춰 필요한 점검 체크리스트를 작성하여 주기적인 관리·감독을 함으로서 실질적인 효과를 얻을 수 있을 것이다.
주기적으로 수탁 업무 현장을 점검하고 체크리스트를 작성하도록 요구함으로써 수탁사의 보안의식과 법 준수 수준을 향상시키도록 하였다.

대상 데이터

제안모델은 “관리적 보안”, “기술적 보안”, “운영보안” 등 3개 통제영역에 대하여 7개 통제 분야, 15개 통제사항 및 내용으로 구성되었다.

성능/효과

(1) 개인정보의 처리 업무를 위탁하는 위탁자가 수탁자를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려한다. 개인정보의 처리 업무를 위탁하는 경우 계약서 등의 형식으로 수탁자가 준수해야 할 사항을 규정한다.
(1) 수탁사가 운영하는 정보시스템 폐기 또는 재사용시 위탁사의 중요정보를 담고 있는 하드디스크, 스토리지, 테잎 등의 저장매체 폐기 및 재사용 절차를 수립하고 매체에 기록된 중요정보는 복구 불가능하도록 완전히 삭제한다. 사용연한 경과, 고장 등의 사유로 정보시스템을 폐기 또는 재사용(양도, 내부판매, 재활용 등)할 경우 저장매체 처리에 관한 절차를 준수하여 저장매체에 저장된 중요정보 유출을 방지한다.
(1) 운영 위탁 유형은 위탁사의 역할을 동일한 수준으로 대행하는 역할이므로 내부자와 동일하거나 그 이상의 보안 통제가 필요한 상황이며 모든 통제사항의 적용이 필요하며 관리·감독의 수준이 가장 높은 유형이다.
(2) 사용자 패스워드는 법적요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 등 사용자 패스워드 관리절차를 수립한다. 특히 관리자 패스워드는 별도 보호대책을 수립하여 관리한다.
(2) 유지보수 위탁 유형은 유지보수 형태에 따라 모든 정보 자산에 대한 접근과 권한이 필요한 경우와 제한적인 범위 내에서 한정적인 자산과 자원에 대하여 업무를 수행하는 경우로 구분할 수 있다.
(2) 조직의 중요정보 유출을 예방하기 위해 수탁사가 사용하는 외장하드, USB, CD 등 휴대용 저장매체 취급, 보관, 폐기, 재사용에 대한 제한을 강화한다. 또한 매체를 통한 악성코드 감염 방지 대책을 마련한다.
(3) 개발 용역 유형은 운영 위탁과 거의 같은 수준의 보호 대책의 적용이 필요하며, 다만 운영환경 및 내부 업무망과 분리된 독립된 개발망에서 개발 사업이 수행된다면 중요 자산에 대한 접속로그 및 모니터링 통제는 선택적으로 적용할 수 있다.
(4) 데이터 처리 위탁 유형은 기업내의 헬프데스크 운영이나 위탁사 데이터를 활용한 대리점 운영과 같은 업무를 대행하는 것으로 내부 데이터의 수정 및 삭제 권한은 제공되지 않으며 위탁사가 제공한 데이터를 활용하는 권한만을 이용하므로, 네트워크 및 인터넷 사용 제한 등은 업무 처리 유형에 따라 필요한 경우 허용할 수 있다. 외부 인터넷의 접속이 필요한 경우라도 주요 직무자의 인터넷 서비스(P2P, 메신저, 웹메일, 웹하드 등) 기능은 제한하여야 한다.

후속연구

제안모델은 고객의 개인정보가 위탁업무 처리과정에 의해 유출되거나 오용될 가능성을 사전에 차단하고 예방할 수 있는 등 효과적으로 대응 할 수 있는 방안을 제시하였다. 따라서 통제사항에 맞춰 필요한 점검 체크리스트를 작성하여 주기적인 관리·감독을 함으로서 실질적인 효과를 얻을 수 있을 것이다. 제안 모델은 위탁사업의 유형을 분류하여 유형별 통제사항을 제시한 첫 번째 시도라는 면에서 의의를 찾을 수 있을 것이다.
이것은 위탁사업의 업무 유형이 좀 더 분화하지 못하고 큰 분류로 구분되고 있음을 보여 주는 것이다. 따라서 향후 연구를 통하여 선택사항이 발생하지 않을 수 있는 수준으로 사업 유형의 분류가 세분화할 필요가 있을 것이다. 또한 통제사항을 현장에 적용하기 위한 점검도구인 체크리스트를 표준화하는 연구가 추가적으로 필요하다고 본다.
따라서 향후 연구를 통하여 선택사항이 발생하지 않을 수 있는 수준으로 사업 유형의 분류가 세분화할 필요가 있을 것이다. 또한 통제사항을 현장에 적용하기 위한 점검도구인 체크리스트를 표준화하는 연구가 추가적으로 필요하다고 본다.

핵심어	질문	논문에서 추출한 답변
	PIMS 제도란?	국내에서는 기업의 개인정보보호 활동을 체계적이고 지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하고 인증을 부여하는 PIMS 제도가 2011년부터 시행 중이다. 다만, PIMS에서는 일반적인 조직 내부의 개인정보보호 관리 활동에 중점을 두고 있어서 수탁사의 개인정보보호 위험을 적절하게 다루지 못하고 있다[4].
	위탁자가 수탁자에 대한 관리 감독의 책임과 의무를 갖고 있으나 적정 수준에 미치지 못하는 이유는?	위탁자는 수탁자에 대한 관리 감독의 책임과 의무를 갖고 있으나 적정 수준에 미치지 못하는 것이 현실이다. 이러한 문제가 발생하는 가장 중요한 이유는 개인정보의 위탁이 업무수행에 따른 비용-효과성에 치중하여 위탁업무 및 제공되는 정보의 중요성, 수탁사의 자체 정보보호 능력에 대한 평가 기준 등이 제대로 반영되지 못하기 때문이며 수탁자에 대한 관리 감독이 적정한 수준으로 관리되지 못하고 있는 것이다. 따라서 본 논문에서는 위탁사의 수탁사 정보보호 관리 감독 방안과 이에 따른 통제사항을 제시하여 새로운 개선 방향을 모색해 보고자 한다.
	PIMS의 단점은?	국내에서는 기업의 개인정보보호 활동을 체계적이고 지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하고 인증을 부여하는 PIMS 제도가 2011년부터 시행 중이다. 다만, PIMS에서는 일반적인 조직 내부의 개인정보보호 관리 활동에 중점을 두고 있어서 수탁사의 개인정보보호 위험을 적절하게 다루지 못하고 있다[4].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

개인정보 위탁업무 보안성 강화방안 연구
A Study on the Enforced Security of Personal Information Outsourcing 원문보기

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (6)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

개인정보 위탁업무 보안성 강화방안 연구 A Study on the Enforced Security of Personal Information Outsourcing 원문보기

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (6)

이 논문을 인용한 문헌

저자의 다른 논문 :

손태현 (1) 박정선 (27)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

개인정보 위탁업무 보안성 강화방안 연구
A Study on the Enforced Security of Personal Information Outsourcing 원문보기

AI 본문요약
AI-Helper