[디지털데일리 최민지기자] 클라우드 환경에서 개인정보보호가 중요한 이슈로 떠오르고 있다. 기업과 공공기관은 개인정보 유출을 방지하기 위해 접속기록을 철저히 관리하고, 이상행위 발생 때 즉각적 소명 절차를 거치는 방식으로 대응해야 한다.

이와 관련 염승훈 이지서티 수석연구원은 25일 <디지털데일리> 주최로 양재 엘타워에서 열린 ‘클라우드 임팩트 2025’에서 “개인정보보호법 강화와 함께 접속관리 및 소명 절차 중요성이 더욱 커지고 있다”고 밝혔다.

개인정보보호법에 따르면 기업과 기관 내 개인정보처리자는 개인정보 접속기록을 최소 1년 이상 보관‧관리해야 한다. 개인정보처리시스템 접속기록 등을 월 1회 이상 점검해야 하며, 개인정보 다운로드가 확인된 경우 사유를 반드시 확인해야 한다. 특히, 대량 다운로드나 비정상적인 접근 등이 발생했다면 반드시 소명 절차를 거쳐야 한다. 접속기록이 위·변조되지 않도록 암호화, 접근 통제 기술을 적용하는 것도 필요하다.

염승훈 연구원은 “접속기록 소명 절차에 따라, 관리자가 이상행위를 분석하게 된다”며 “이상행위 다운로드, 업무시간 외 접속, 과도한 처리 등에 해당된다면 해당자에게 소명을 요청하고 10일 이내 소명하게 되는데, 추가적인 부분이 있다면 재소명을 요청할 수 있다”고 설명했다.

이어 “개인정보 취급자는 소명에 거부감을 느낄 수 있지만, 개인정보를 투명하고 정확하게 관리했다면 문제 생길 일은 없다”며 “개인정보 취급자가 납득할 수 있는 프로세스를 만드는 것이 중요하다”고 덧붙였다.

클라우드보안인증제(CSAP)와 정보보호관리체계(ISMS-P) 인증을 통해 기본적인 보안 수준을 충족할 수 있다. 그러나 실질적인 데이터 보호를 위해서는 이상 행위를 탐지하고 소명 절차를 강화하는 것이 필수적이며, 이에 따라 자동화된 접속기록 관리 솔루션이 주목받고 있다.

이와 관련 이지서티는 지능형 소명관제 시스템(UBI SAFER-IMS), 개인정보 접속기록 관리 솔루션(UBI SAFER-PSM) 등을 소개했다.

지능형 소명 관제 시스템은 로그 기반 이상징후를 탐지하고, 소명 요청 및 응답 프로세스를 자동화하여 신속한 대응이 가능하도록 지원한다. 대시보드를 활용해 개인정보 접속 및 소명 현황을 실시간으로 모니터링할 수 있다. 개인정보 접속기록 관리 솔루션은 국내 클라우드 SaaS 보안 인증(CSAP)을 비롯해 CC인증 EAL 3등급, GS인증 1등급을 보유해 보안 신뢰성을 확보했다. 개인정보보호법과 개인정보 안정성 확보 기준 요구사항을 지원한다는 설명이다.

염 연구원은 “아마존웹서비스(AWS) 클라우드와 연계한 지능형 소명관제 시스템을 구축한 사례가 있다”며 “이 쇼핑몰 경우 개인정보 취급자가 1500여명에 달했는데, 업무 특성상 고객정보 접근과 금전적 손실이 이뤄질 수 있는 만큼 관련 이상행위를 집중해 관리할 수 있었다”고 말했다.

그는 “2000여곳 기관‧기업 레퍼런스를 보유하고 있고, 이상행위추출 시나리오도 50여개 환경에 따라 적용하고 있다”며 “개인정보보호를 실질적으로 강화하기 위해서는 접속기록을 체계적으로 관리하고, 이상행위가 발생했을 때 즉각적인 대응이 가능한 자동화 솔루션을 고려해야 한다”고 덧붙였다.