빅데이터 활용 위해 국내외 규제 개선 중…암호화 적용은 필수

 
[컴퓨터월드] 빅데이터는 4차 산업혁명 시대의 원유로 비유된다. 빅데이터를 활용함으로써 새로운 비즈니스와 가치를 창출할 수 있기 때문이다. 이에 각 국가들은 안전한 빅데이터 활용을 위해 관련 규정을 마련하고 있다. 빅데이터를 활용할 수 있도록 지원하되, 개인정보 등 민감한 정보는 보호한다는 방향이다.

이에 빅데이터의 80% 이상을 차지하는 비정형데이터 보호에도 초점이 맞춰지고 있다. 기존의 정형데이터를 보호하던 방식으로는 비정형데이터의 형식이 다양해 모두 보호할 수 없기 때문이다. 보안 기업들은 비정형데이터를 보호하기 위한 방안으로 파일 암호화, 디지털저작권관리(DRM) 등 솔루션을 제시하고 있다. 국내외 비정형데이터 보안 동향을 살펴본다.


국가별 빅데이터 활용 위한 규정 마련

4차 산업혁명 시대의 원유로 비유되는 빅데이터를 활용하기 위해 각 국가별로 활발한 움직임을 보이고 있다. 유럽연합(EU), 미국, 일본 등이 대표적이다. 특히 유럽의 경우 2018년 5월 25일부터 개인정보보호규정(GDPR: General Data Protection Regulation)이 시행되고 있다. GDPR은 심각한 위반 시 2천만 유로(약 260억 원) 또는 전세계 매출의 4%가 벌금으로 부과돼 전 세계적으로 이슈가 됐다. 국내에서도 GDPR 규정 중 개인정보의 국외이전 조치에 관한 조항으로 인해 관심을 끌었다.

▲ 국가별 빅데이터 활용 위한 규정 비교(출처: 금융보안원)

GDPR은 자연인에 관한 기본권과 자유, 특히 개인정보보호에 대한 권리를 보호하고, EU 역내에서 개인정보의 자유로운 이동을 보장하는 것을 목적으로 제정됐다. GDPR은 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 해 95년 지침보다 정보주체의 권리를 확대·강화한 것이 특징이다. 이외에도 DPO 지정, 정보보호 체계 등의 내용을 포함해 기업의 책임성을 강화했다.

GDPR은 강력한 개인정보보호 규제이긴 하지만, 규정이 준수되는 범위 안에서 개인정보의 활용을 보장하는 법이기도 하다. GDPR에서는 데이터의 가명 처리(pseudonymisation)와 익명 처리(anonymisation)를 구분해 규정하고 있으며, 이와 같은 조치시 빅데이터 분석을 허용하고 있다.
일본도 빅데이터를 활용하기 위해 개인정보보호법을 마련하고 있다. 일본은 2016년 빅데이터, IoT 등 새로운 산업 활성화에 대비하고자 ‘익명가공정보’, ‘익명가공정보 취급사업자’와 같은 개념을 정립하는 등 개인정보보호법을 개정했다.

일본 개인정보보호법의 특징은 가명정보와 익명정보를 따로 구분하지 않고, ‘익명가공정보’라는 하나의 개념을 정의하고 있다. 개정된 일본 개인정보보호법 제2조에는 익명가공정보를 ‘특정 개인을 식별할 수 없도록 개인정보를 가공해 얻을 수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것’이라고 명시돼 있다.

다만 익명정보의 경우 법의 적용을 아예 받지 않는다는 GDPR의 내용과 달리, 일본 개인정보 보호법에서는 익명가공정보를 작성하는 경우 재식별 또는 개인정보 복원을 할 수 없도록 개인정보보호위원회 규칙으로 정하는 기준에 따라 개인정보를 가공해야 하며, 가공방법 등에 관한 정보의 누설을 방지하기 위해 개인정보보호위원회 규칙으로 정하는 기준에 따라 안전관리 조치를 마련해야 한다.

미국에는 상무부 산하의 표준화기구인 미국국립표준기술연구소(NIST: National Institute of Standards and Technology)에서 2015년 발간한 ‘개인 식별 정보의 비식별 처리 가이드’가 마련돼 있다. 미국의 ‘개인 식별 정보의 비식별 처리 가이드’는 모든 데이터 비식별화 기술에는 재식별 위험성이 존재한다는 것을 전제로 한다.

특히 특정인과 정보 간 연결가능성 등 비식별화 데이터 유형에 따라 프라이버시 침해 위험성의 정도를 표현하는 개념을 제시했다. 즉, 데이터가 특정인과 연결됐는지, 특정인과 연결될 잠재적 가능성이 있는지, 특정인은 아니지만 어느 정도 사람들과 연결될 가능성이 있는지 등에 따라 해당 정보가 식별돼 프라이버시를 침해할 위험성이 있다는 것이다.

또한 비식별화, 재식별화의 개념들을 개괄적으로 정의하고, 이미지나 유전자 정보와 같은 복잡한 정보의 비식별화에 대한 요구사항을 제시했다. 데이터 비식별화를 위한 방법으로 삭제, 마스킹 등 다양한 방법들을 설명하고 있으며, 비식별화는 단일한 기업만 존재하는 것이 아니라 개별적인 활용 목적이나 상황에 따라 다양한 비식별 처리 기법이 수행될 수 있다고 명시했다.


국내서도 빅데이터 활용 위한 움직임 활발

현재 국내 개인정보보호법은 2011년 제정됐고, 2015년 일부 개정을 통해 개인정보보호 요건이 강화됐다. 개정된 법령에서는 기존의 정형화된 데이터뿐만 아니라, 다양한 형태의 데이터에 포함돼 있는 주민등록번호를 모두 암호화 하는 것을 필수로 규정하고 있다(제21조의2). 즉 이미지, 녹취, 영상, 로그 데이터 등 비정형데이터에 담겨 있는 개인정보를 모두 보호하라는 것이다.

▲ 개인정보보호법 개정안 중 암호화 적용대상(자료: 소프트캠프)

국내에서도 빅데이터 활용을 위한 규제 개선의 목소리가 높아지고 있다. 특히 개인정보와 관련해 비식별화된 개인정보를 활용할 수 있는 방안이 검토되고 있으며, 국내 비식별화 논의의 핵심 이슈는 크게 두 가지 측면에서 볼 수 있다. 첫째는 개인정보를 암호화해 비식별 조치를 한 가명 정보를 산업적 연구에 허용하느냐의 문제다. 현재 개인정보보호법에서는 비식별화된 가명 정보에 대해 학술적 연구만 허용하고 있다. 하지만 가명 정보는 개인이 특정되지 않는 만큼 산업적 연구에 활용할 수 있게 해달라는 것이 산업계의 요청이다. 예를 들어 고객 개인정보를 암호화해 이를 기반으로 소비자 트렌드 분석을 하고자 하는 기업들이 있다.

두 번째는 데이터 결합 허용이다. 서로 다른 두 기업이 고객의 개인정보를 비식별화한 후 서로의 데이터를 결합하면 특정 연령대, 직업군에 대한 정보를 분석할 수 있다. 이를 통해 해당 기업은 특정 집단군을 대상으로 새로운 상품과 서비스를 선보일 수 있고, 기업의 데이터를 연결해주는 과정에서 ‘데이터 유통 시장’도 생길 수 있다. 산업계는 빅데이터 산업을 육성하기 위해서는 데이터 재결합이 반드시 필요하다고 주장하고 있다.

지난 2016년 6월 국내에서 정부 주도로 ‘개인정보 비식별 조치 가이드라인’이 발표된 적도 있다. 2016년 가이드라인은 당시 ▲정부 3.0 및 빅데이터 활용 확산에 따른 데이터 활용가치 증대 ▲개인정보 보호 강화에 대한 사회적 요구 지속 ▲보호와 활용을 동시에 모색하는 세계적 정책 변화에 적극 대응 등을 위해 추진됐다.

하지만 참여연대를 비롯한 시민단체 12곳이 ‘개인정보 비식별 조치 가이드라인’에 따라 데이터 사업을 시작한 한국인터넷진흥원(KISA) 등 4개 기관과 현대자동차, SK텔레콤, 삼성생명 등 기업 20곳을 개인정보보호법 위한 혐의로 검찰에 고발하는 일이 있고나서, 이를 활용하려는 기업들의 움직임이 소극적으로 변했다. 업계 관계자들은 한 목소리로 “현행 개인정보보호법을 개정하지 않는 한 개인정보 활용은 어렵다”고 지적했다.

그럼에도 빅데이터 활용을 위한 데이터 경제 활성화 방안은 지속적으로 논의되고 있다. 지난 8월 31일 판교 스타트업캠퍼스에서 문재인 대통령이 참석한 가운데 관계부처 합동으로 ‘데이터 경제 활성화 위한 규제혁신 현장 방문 행사’가 진행됐다. 정부는 여기서 데이터 경제를 이끌어가기 위한 규제 혁신 및 산업 육성방안을 논의했다.

이 때 논의 내용 중 단연 핵심으로 꼽힌 것은 개인정보 관련 규제 혁신이었다. 수년간 산업계가 요구했던 기업 및 기관에서 개인으로 정보 관리 주체 전환, 비식별화된 개인정보 이용·제공 허용 등이 이번 정책에 반영됐다.

문재인 대통령은 이 행사에서 “데이터 규제 혁신은 혁신성장과 직결된다. 데이터를 잘 가공하고 활용하면 생산성이 높아지고 새로운 서비스와 일자리가 생겨난다. 한 예로 심야에 운행되는 서울시의 ‘올빼미 버스’는 통신사 고객의 위치정보를 분석해 노선을 정했다”며, “개인과 관련한 정보를 개인정보, 가명정보, 익명정보로 구분해 개인정보는 철저히 보호하고, 가명정보는 개인정보화할 수 없도록 확실한 안전장치 후 활용할 수 있게 하며, 개인정보화 할 수 없는 익명정보는 규제 대상에서 제외해야 할 것”이라고 말했다.

이어 “정부는 규제 혁신과 함께 국가전략투자 프로젝트로 데이터 경제를 성정했으며, 핵심기술 개발을 지원하고, 전문인력 5만 명, 데이터 강소기업 100개를 육성할 것”이라면서, “2019년 데이터 산업에 총 1조 원을 투자하겠다”고 덧붙였다.

이 외에도 데이터 경제 활성화를 위해 퍼스널데이터스토어(PSD: Personal Data Store)를 구성하려는 움직임도 있다. 금융보안원은 지난 7월 하반기 중점 추진계획을 발표하면서 데이터스토어에 관해 언급했다. 비식별 데이터를 거래할 수 있는 빅데이터 중개 플랫폼을 구축해 풍부한 데이터 인프라 및 유통시장 조성을 지원한다는 계획이다.

다른 한편으로 한국인터넷진흥원(KISA)은 정보주체가 자기 개인정보를 스스로 관리, 활용하는 PDS 모델에 블록체인 기술을 접목하는 시범사업을 지원할 계획이다. KISA 측은 PSD의 단점인 개인의 데이터를 누가 어떻게 활용하는지에 대한 신뢰성을 높이기 위해 데이터 사용 이력의 추적성, 투명성, 위변조 불가 등의 특징을 갖는 블록체인 기술을 활용하는 시범사업을 구상하고 있다고 밝혔다.


빅데이터 활용 관심 증가에 비정형데이터 보호방안도 주목

이렇듯 국내외에서 빅데이터 활용에 대한 관심이 높아지면서 관련 규정도 변화의 움직임이 나타나고 있다. 그럼에도 변하지 않는 것은 데이터를 보관할 때는 암호화 등 보호조치를 취해야 한다는 점이다. 국내외 개인정보보호 규정들은 모두 개인정보 등 데이터를 보관할 때 암호화 등 보호조치를 취할 것을 명시하고 있다. 이에 기업들은 주로 중요정보 유출 방지와 국내외 컴플라이언스 준수를 목적으로 데이터 보안 솔루션을 도입하고 있다.

배환국 소프트캠프 대표는 국내 비정형데이터 보호 시장을 두 가지 방향으로 발전하고 있다고 설명했다. 그는 “국내 시장에서 데이터 보안 솔루션은 기업이 기업 중요정보 유출방지에 초점을 맞춰 도입하거나, 개인정보보호법 등 컴플라이언스와 밀접한 산업군은 규정을 준수하기 위해 도입하는 것이 대부분”이라며, “데이터 보안 솔루션은 크게 데이터를 격리해 보호하는 방식과 암호화하는 방식으로 나뉜다”고 말했다.

<솔루션 소개>

소프트캠프 영역 DRM 솔루션 ‘에스워크(S-Work)’

▲ ‘에스워크’ 개념도(출처: 소프트캠프)

소프트캠프의 영역 DRM 솔루션 ‘에스워크(S-Work)’는 가상화 기술로 암호화된 특정 보안 영역에서만 업무데이터를 저장하고 통제한다. 대용량의 비정형 데이터들을 암호화된 특정 보안영역에서만 저장 및 통제해 사용하기 때문에 기업의 핵심 기술이 담긴 설계도면, 개발소스코드 등을 안전하게 보안 할 수 있다.

또한 개인정보가 담긴 주민등록증 사본 스캔 이미지, 녹취 파일, CCTV 영상, 로그 데이터 등의 비정형 데이터를 파일 단위로 암호화할 수 있기 때문에 정보유출을 방지해주고, 개인정보보호법 규정을 준수한다. 이외에도 내부직원뿐만 아니라 외부직원 또는 협력업체와 자료를 공유할 때 보안 드라이브를 통해서만 가능토록 지원하기 때문에 협력업체로 인한 정보 유출 등을 방지할 수 있다.

가상화 격리 솔루션 ‘에스워크 FX’는 한 대의 PC에서 작업환경을 일반과 보안환경으로 분리해 CAD, 개발 툴 등 다양한 비정형 데이터를 보호할 수 있다. 보안환경에서 생성되는 모든 데이터를 가상의 보안 영역으로 지정해 보호하며, 보안영역간 인증된 사용자만 접근 가능한 업무시스템과 네트워크를 통해 자료 공유 및 협업이 가능하다.

사용자는 격리된 데스크톱 환경에서 실시간으로 환경을 전환하며 다중작업이 가능하고, 개인의 PC 성능을 그대로 활용할 수 있다. 동일한 윈도우 커널을 사용하는 가상응용환경이기 때문에 라이선스 제약 없이 설치된 모든 응용 프로그램을 각각의 환경에서 동시에 사용 가능하다.

또 다른 가상화 격리 솔루션 ‘에스워크 포인트 DX(Point DX)’는 비정형데이터에 대한 저장, 통제, 열람, 편집, 유통 시 보안환경을 지원한다. 암호화된 보안영역에만 데이터를 저장토록 하며, 열람도 보안영역에서만 가능하다. 보안영역 내에서 작업을 완료하면 파일단위(DSD)로 암호화하고, 출력 시 마킹 표시 기능도 제공한다.


데이터 보안에서 가장 주목받는 방식은 암호화다. 데이터 보호 컴플라이언스는 영업비밀보호법, 개인정보보호법 등 다양하게 있지만, 모두 데이터 보관 시 암호화할 것을 명시하고 있다.

김기태 탈레스 이시큐리티 한국지사장은 “국내 시장은 2016년 금융감독원이 주민등록번호 암호화 대상 금융사에 이미지, 로그파일 등 비정형데이터 암호화를 권고했고, 2017년부터 100만 명 이하의 개인정보를 보유한 기업을 대상으로 비정형데이터 안에 포함된 개인정보를 암호화해야하는 개인정보보호법 개정안이 시행되면서 비정형데이터 보호 시장이 본격화됐다”고 설명했다.

김 지사장은 이어 “이 당시 녹취파일, SNS, 음성, CCTV영상, 계약서 이미지 등 비정형데이터가 담고 있는 민감한 개인정보의 경우 유출이 될 경우 기업 및 개인에게 큰 타격을 줄 수 있는 위험성을 내포하고 있어 은행, 보험사 등의 금융권을 중심으로 한 비정형데이터 보호 시스템 구축 움직임이 활발해지고 있다”고 덧붙였다.

김기태 지사장은 글로벌 시장의 경우 “GDPR의 제32조는 모든 기관들이 데이터 위협에 대응할 수 있도록 적절한 개인정보 가명화 및 암호화를 실시할 것을 요구하며, 제 34조는 암호화와 같이 권한이 부여된 자에 한해서만 데이터를 열람할 수 있도록 규정하고 있다”며, “암호화를 성공적으로 도입하면 유출된 데이터를 무효화함으로써 막대한 비용이 드는 유출 공시 프로세스를 피할 수 있을 뿐 아니라 치명적인 기업 이미지 손상을 예방해 개인정보를 다루는 기업들을 보호할 수 있게 된다는 것을 의미한다”고 말했다.


OS 커널 방식 암호화 솔루션이 대세

비정형데이터로 가장 각광받고 있는 방식은 운영체제(OS) 커널 방식의 암호화다. 암호화 솔루션은 크게 3가지 방식으로 구성된다. API 방식과 에이전트 방식, OS 커널 방식 등이다. 에이전트 방식은 서버 내에 암호화를 수행하는 별도의 에이전트를 설치하는 방식이다. 애플리케이션 내 소스코드를 수정하지 않아도 암호화할 수 있다는 장점이 있지만, 서버 내에 설치됨으로써 시스템 성능을 감소시킨다는 단점이 있다.

API 방식은 애플리케이션에서 암호화를 진행한다. 다른 두 가지 방식에 비해 구축기간이 길지만 맞춤형 개발이 가능하다는 장점이 있다. 하지만 시스템의 소스코드를 수정해야 하는 만큼, 특정한 형식이 정해지지 않은 비정형데이터를 보호하기 위해선 데이터의 형식별로 소스코드를 수정해야 한다는 단점도 있다.

반면 커널 방식의 암호화는 OS 커널 레벨에서 암호화를 수행하기 때문에, 데이터의 종류에 상관없이 암호화가 가능하며, 애플리케이션의 소스코드를 변경할 필요도 없다. 다만 시스템에 영향을 줘 성능 이슈가 있을 수도 있다. 또 지원하지 않는 OS에서는 사용이 불가능하다는 단점도 있지만, 현재 주로 사용되는 리눅스, 윈도우NT, 유닉스는 대부분 지원함으로써 보완해 나가고 있다.

박천오 피앤피시큐어 대표는 “클라우드 환경에서는 OS 커널 방식의 암호화가 더욱 각광 받을 것으로 전망된다”며, “다만 클라우드 환경의 경우 기존 보안 솔루션이 구축된 상태에서 암호화 솔루션을 도입하는 것과 달리, 접근제어 솔루션 등 필수 보안 솔루션도 같이 마련해야 해 솔루션을 통합으로 제공할 수 있는 업체가 주목받을 것으로 생각된다”고 말했다.

배환국 소프트캠프 대표는 “실시간 암호화를 지원하는 등 성능은 OS 커널 방식의 암호화 솔루션이 가장 뛰어나지만, 유출방지 목적으로 사용할 경우에는 성능을 발휘하지 못하는 경우가 있어 다양한 보안 솔루션을 함께 고려해야 할 수 있다”고 설명했다. 이어 “주로 업무는 엔드포인트에서 이뤄지기 때문에 엔드포인트 단에서의 보호도 중요하다”면서, “비정형데이터 보호는 어디서, 어떻게 보호할 것인가가 중요하며, 암호화뿐만 아니라 복호화와 사용성의 측면도 고려해야 한다”고 강조했다.

<솔루션 소개>

피앤피시큐어 실시간 파일 암호화 솔루션 ‘데이터크립토(DATACrypto)’

▲ ‘데이터크립토’ 구성도(출처: 피앤피시큐어)

피앤피시큐어의 실시간 파일 암호화 솔루션 ‘데이터크립토’는 서버에 설치돼 커널 레벨에서 암·복호화를 수행한다. 별도의 애플리케이션 수정이 필요 없으며, 성능 이슈도 적다는 점이 특징이다. ‘데이터크립토’는 ▲정형 및 비정형 파일의 실시간 암·복호화 ▲중앙 원격 통제 및 키 관리 ▲파일 및 디렉토리 접근 시 권한통제 ▲추가 인증을 통한 사용자 식별 ▲다양한 서버용 OS 및 볼륨매니저 지원 등의 기능을 제공한다.

‘데이터크립토’는 공용 계정에 대해 사용자를 식별하고 암·복호화 수행하며, 국정원 요구사항인 암호화 알고리즘을 모두 충족한다. 또한 파일과 디렉토리에 대한 실시간 암·복호화 및 가속 기능을 제공하고 대용량 파일에 대한 앱 수정 없이 실시간 온라인 암호화 방식과 벌크 암호화 방식을 지원한다. 더불어 키 관리 서버를 통한 중앙 통제 및 키 관리가 가능하고 다양한 서버용 OS 및 볼륨매니저를 지원한다. 운영환경을 변경하지 않고도 암호화를 적용할 수 있으며, 사고 발생 또는 감사 요구 시 추적 가능한 로그를 제공한다.


솔루션 도입 목적 명확히 해야

업계 관계자들은 암호화 솔루션 도입 시 주의해야할 사항으로 도입 목적을 명확히 해야 한다고 한 목소리로 조언한다. 암호화 솔루션 도입 목적이 정보 유출 방지를 위한 것인지, 컴플라이언스 준수를 위한 것인지 명확해야 한다는 것이다. 대게 유출방지를 목적으로 솔루션을 도입하는 경우에는 암호화 솔루션과 함께 데이터유출방지(DLP) 등 다양한 데이터 보안 솔루션을 고려할 필요가 있다.

도입 목적을 명확히 했다면, 적합한 암호화 방식이 무엇인지 생각해 봐야 한다. 기업에서 주로 사용하는 데이터의 형식은 무엇인지, 어떤 방식의 솔루션을 도입할 것인지 등도 중요한 요소가 된다. 또 솔루션의 운영 방향 및 보안 정책 등도 수립해야 한다.

한 예로 CAD를 사용하는 기업의 경우, CAD 파일 특성상 파일간 연결이 돼 파일 암호화만으로는 사용성을 해칠 수 있다. 연결된 모든 파일을 복호화해야 사용이 가능하기 때문이다. 이 경우 영역 DRM 같은 솔루션이 대안이 될 수 있다. 또 대용량의 녹취, 동영상 파일을 보호하기 위해서는 기존 파일 암호화 솔루션을 통해 보호할 수 있다.

김기태 탈레스 이시큐리티 한국지사장은 “비정형데이터의 특징은 음성파일, 이미지파일 등 파일 크기가 크다는 점인데, 큰 파일에 암호화를 적용할 경우 그 크기가 더욱 커져 시스템에 부담을 줄 수 있다”면서, “파일 보안을 위한 암호화를 하기 위해서 시스템 확충을 고민하게 되는 상황이 있을 수 있다. OS 커널 레벨의 암호화를 적용한다면 데이터 크기가 변하지 않고 암호화 시간도 짧아 시스템 구축의 시간과 비용을 절감시킬 수 있다”고 말했다.

이어 “비정형데이터에 민감 정보가 있을 수 있는데, 이런 데이터의 경우 기존 DB와 동일한 수준의 보안을 요구하지만, 형식이 다양해 기존 방식의 암호화로는 처리하기 어려울 수 있다”며, “이런 비정형데이터 특징을 살펴볼 때 OS 커널 레벨 암호화 솔루션이 각광받고 있다”고 덧붙였다. 

<솔루션 소개>

탈레스 이시큐리티 ‘보메트릭 트랜스페어런트 인크립션’

▲ 탈레스 ‘보메트릭 트랜스페어런트 인크립션’ 개념도(출처: 탈레스 이시큐리티)

‘보메트릭 트랜스페어런트 인크립션(VTE: Vormetric Transparent Encryption)’은 데이터 보호를 위한 암호화 솔루션으로 성능 저하나 키 관리 복잡성 없이 모든 유형의 파일, DB 및 애플리케이션을 보호하며, 구축 및 관리가 용이한 단일 솔루션이다. 리눅스, 유닉스, 윈도우 등 주요 플랫폼을 모두 지원하며, 정형데이터뿐 아니라 비정형데이터도 보호할 수 있다.

‘VTE’는 비정형 파일을 온사이트, 클라우드 등 위치에 상관없이 암호화할 수 있다. 스프레드시트, 문서, 프레젠테이션, 이미지 등에 포함된 민감 데이터를 보호할 수 있을 뿐 아니라, 애플리케이션, 인프라 또는 비즈니스 절차를 변경하지 않고 파일 레벨에서 암호화를 구현할 수 있도록 지원한다.

‘VTE’의 암호화뿐만 아니라 세부적인 정책을 적용해 무단 액세스를 방지하고 액세스를 지속적으로 로깅한다. 정책들은 각 사용자, 프로세스, 파일 유형, 시간 및 기타 파라미터 별로 적용할 수 있다. ‘VTE’는 파일 시스템과 스토리지 아키텍처를 지원하며 윈도우, 리눅스, 오라클 솔라리스, IBM AIX, HP-UX 등 운영체제를 지원한다. 또 DB2, SQL서버, 사이베이스(Sybase), MySQL, NoSQL 등 DB환경에서도 데이터 보호가 가능하다.

‘VTE’는 관리자와 데이터 소유자 간에 책임을 분리할 수 있도록 지원한다. 이런 방식으로 서버관리자 등 IT 직원들은 시스템에 상주하는 민감데이터에 접근하지 않고 시스템 관리 작업을 수행할 수 있다.

 

데이터 활용 규제 개선 위해 활발한 논의 필요

데이터의 중요성이 더욱 높아짐에 따라 데이터 보안 시장도 성장할 것으로 예상된다. 특히 국내에서는 개인정보보호법 개정안을 통해 비정형데이터에도 암호화를 적용할 것을 규정하면서 시장이 커질 것으로 예상하고 있다. 글로벌 시장에서도 기업들이 GDPR 등 컴플라이언스 준수를 위해 암호화 솔루션 도입이 활발해질 것으로 보인다.

컴플라이언스 준수 외에 기업의 주요 정보를 보호하는데도 암호화 솔루션은 효과적이다. 이미 구축돼 있는 보안체계가 뚫려 정보가 유출되더라도, 암호화가 적용돼 있다면 내용을 확인할 수 없기 때문이다. 특히 CAD, 소스코드 등 기업의 주요정보가 담긴 비정형데이터는 앞으로도 빠르게 증가할 것으로 보여, 기업은 보안 체계를 구축하는 것 외에도 암호화를 적용하는 등 정보유출방지에 더욱 심혈을 기울일 것으로 생각된다.

최근 국내에서도 데이터 활용을 위한 규제 개선의 움직임이 활발하다. 하지만 시민단체를 중심으로 한 보호에 중점을 둬야한다는 입장과 산업 발전을 위해 획기적인 규제 개선이 필요하다는 입장 간의 의견 차이는 줄어들고 있지 않다. 보안업계는 데이터를 비식별화하거나 암호화하는 기술은 이미 마련돼 있기 때문에, 규정이 마련되면 그에 맞춰 정책만 설정하면 된다고 설명한다. 지속적으로 활발한 논의를 통해 데이터 보호와 활용, 두 마리 토끼를 다 잡을 수 있는 방안을 마련해야 한다는 지적이다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지