1. 로그 관리의 중요성
개인정보보호법 제29조 및 동법 시행령 제30조에서는 “개인정보처리자로 하여금 침해사고 발생에 대응하기 위해 접속기록의 보관 및 위조 · 변조방지를 위한 조치”를 하도록 명시하고 있다. 아울러 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 전자금융감독규정 등 모든 정보보호 관련 법령에서도 접속기록에 관한 감독 규정을 두고 있다.
이는 로그자료(log data)가 정보시스템상에서의 체계적인 관리로 안정적인 시스템 유지와 개선, 나아가 보안강화를 위한 근거자료로 활용되기 때문이다. 비록 로그자료 확보가 문제 해결의 전부는 아니지만, 기업이 정보기기의 접속기록을 어떻게 관리하고 다루느냐에 따라 IT컴플라이언스의 성공 여부를 가늠할 수 있다는 점은 상기할 필요가 있다.
로그가 제공하는 이익
- 컴퓨터에 저장된 기록이 삭제되거나 훼손되는 일 없이 잘 보관되어 있음을 보장한다.
- 정기적인 로그 검토와 분석을 통하여 보안사고, 정책위반, 운영결함의 식별이 가능하다.
- 침입자의 불법접속 및 내부 중요정보 유출 등 각종 보안사고를 해결하는데 유용한 정보를 제공한다.
- 넷째, 감사와 디지털포렌식 분석을 수행하여 조직 내 조사를 지원할 수 있다.
2. 국제표준에 부합하는 정보통합 관리시스템 수립
기업은 각종 위험으로부터 정보자산을 관리하여 고객의 기대에 부합하는 고품질의 서비스를 안정적이고 효과적으로 제공하는 목표를 세워야 한다. 이에 국제표준화기구(ISO)에서 11가지 통제영역으로 구분하여 제정한 정보보안 방법론은 적절한 통제로 위험을 감소시킬 수 있음을 밝히고 있어 참고하여 매뉴얼화 하는 작업이 필요하다.
정보통합 매뉴얼 구성
-
정보기기로의 관리자 외 접근통제 강화
- 접근권한을 허가받을 수 있는 자(ex: 교육이수자 또는 전문자격증 소지자 등)와 그렇지 않은 자에 대한 명확한 기준
-
권한 없는 자의 접근 통제를 위한 모니터링
- 위반 시 제재 근거 마련
- 비공개 대상정보에 대한 접근기록 관리
- 관리자 교육 프로그램 수립
- 데이터 암호화
-
주기적인 로그 분석
- 접속기록의 정기적인 확인 · 감독 및 의무 저장기간
- 의무저장기간 만료 확인 및 자료삭제
-
침해 방지조치로의 소극적 사이버 방어행위
- 방화벽, 보안패치, 인증시스템, 안티바이러스
- 비정기적으로 비상점검 및 테스트 실시
- 사고 발생 시 신고 절차 일원화 및 간소화
디지털시대 정보의 수집 · 유출 · 오남용으로부터 사생활의 비밀을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위해서는 정보보호 관련 법령의 준수를 통하여 사전에 위험을 감지하여 사고발생을 억제하는 것이 최선의 방법이다. 첨단기술과 청렴윤리경영과의 융합을 위한 시발점, 기초 교육과 시스템 개발을 위해 힘을 기울여야 할 것이다.
