SolidStep PieLook

(개인정보 검출 솔루션)

개인정보 관리 리스크?!

1. 개인정보란?

개인정보 생존하는 개인에 관한 정보로서 성명,주민등록번호 등에 의하여 개인을 식별할 수 있는 부호,문자,음성,

음향 및 영상 등의 정보

이름, 주민번호, 운전면허 번호, 주소, 전화번호

가족구성원 이름, 생년월일, 직업, 전화번호

가족병력기록, 과거의료기록, 신체장애, 혈액형, 각종

신체정보

현재 봉급액, 봉급경력, 수수료, 기타소득 원천,

이자소득, 사업소득

대부잔액 및 지불상황, 저당, 신용카드, 미납금,

임금압류 통보 관련 기록

군번 및 계급, 주특기

노조가입, 정당가입

전자우편, 전화통화내용, 로그파일

GPS나 개인위치 정보

흡연, 음주량, 선호 스포츠 및 오락, 비디오 대여기록,

도박성향 등

개인 식별 가능 시 개인정보 해당

개인정보

일반정보

가족정보

의료정보

소득정보

신용정보

고용, 병역, 조직, 통신, 위치, 습관 정보 등

3

개인정보 유출 관련 주요 사건, 사고 사례 시기 내용 유출 규모(명)

뽐뿌 (온라인 커뮤니티)

2015. 9 홈페이지 해킹 195만건

카드3사 2014. 1 외부자 유출 10,400만건 (중복포함)

EBS 2012. 5 홈페이지 해킹 422만건

넥슨 2011.11 백업서버 해킹 1,320만건

(주)한국엡손 2011. 8 홈페이지 해킹 35만건

SK컴즈(해킹) 2011.7 홈페이지 해킹 3,500만건

35개 사업자 2010. 3 홈페이지 해킹

(개인정보 판매자 검거) 3,300만건

개인정보 유출 관련 주요 사건, 사고

2. 개인정보 유출사건 사고

2000 억원 이상 영업손실

(영업정지, 손해배상 등)

과징금 804백만원 과태료 131백만원

&

2억건 이상의 개인정보 유출

4

개인정보보호법 정보통신망 이용촉진 및 정보보호 등에 관한 법률

신용정보의 이용 및 보호에 관한 법률

‘개인정보보호법 제2조 5호

‘개인정보처리자란’ 업무를 목적 으로

개인정보파일을 운용하기 위하여 스스로

또는 다른 사람을 통하여 개인정보를

처리하는 기관, 단체 및 개인

‘정보통신망 이용촉진 및 정보보호

등에 관한 법률‘ 제2조 제1항 3호

‘정보통신서비스 제공자’란 영리를

목적으로 전기통신역무를 이용하여

정보를 제공하거나 정보의 제공을

매개하는자

신용정보의 이용 및 보호에 관한

법률 제2조 7호

‘신용정보제공,이용자’란 고객과의

상거래를 위하여 본인의 영업과 관련하여

얻거나 만들어낸 신용정보를 제공받아

영업에 이용하는 자

3. 개인정보 관련 컴플라이언스

개인정보 취급하는 개인 및 단체 전기통신역무 통해 정보를 제공하는자 (영리 목적)

신용정보를 제공받아 업을 영위하는자

사실 상 모든 기업 (개인정보를 보관, 처리, 제공 하는 모든 개인 및 단체)

사실 상 모든 기업 (개인정보를 보관, 처리, 제공 하는 모든 개인 및 단체)

5

4. 강화되는 개인정보 관련 법규 체계

수탁사 관리 감독 의무

개인정보실태점검 의무

징벌적 손해배상제도

지속해서 강화되는 개인정보 법규 체계

Before After 개정전 개정후

수탁사 자체 관리

자체 개인정보실태 점검

보상적 손해배상제도

6

주민번호 파기 의무화 (2016년 8월 7일부터 시행)

주민번호 변조,훼손, 유출 시 (과징금 5억원)

5. 기업별 개인정보 관리의 한계

WHO 누가 개인정보를 보유하는가?

WHERE 어디에 개인정보가 존재하는가?

HOW MANY

얼마만큼의 개인정보를 보유하는가?

HOW 어떻게 개인정보를 관리할 것인가?

PC

Server

DB

WEB LOG

개인정보

7

개인정보 검출 솔루션

필수요건

8

1. 개인정보 검출 솔루션의 기본요건

개인정보 관리 솔루션은 솔루션의 도입목적과 다양한 고객의 요구사항에 적합하여야 합니다.

솔루션 도입 목적 고객요구사항

해커들의 주 공격 타겟인 개인정보 보호

완벽한 개인정보 컴플라이언스 대응

개인정보 보유현황 및 위험도 분석

기존 업무의 자동화로 인한 비용과 시간 절약

다양한 운영체제에 적용가능 솔루션

설치, 운영에 필요한 리소스 한계

개인정보 포함한 IT자산의 관리 필요

통계, 보고서 등 분석정보 관리 방법 필요

개인정보보호관리 및 기업환경에 맞는 맞춤 솔루션 필요

9

개인정보검출 솔루션은 개인정보 삭제에만 주요 Focusing이 맞춰져 있어, 이를 기반한 개인정보관리 방

안의 도출이 어려우며 나아가, 다양한 IT 환경 내에서의 개인정보의 관리가 적합하지 않습니다.

검출 및 기능상의 문제점

개인정보 삭제 Focusing

Sever, DB table 등 다양한 환경 내 개인정보 검출

- 다양한 IT 인프라 환경 내 개인정보 관리의 어려움 존재 1

개인정보 관리방안 확립의 어려움

- 단순한 개인정보의 검출, 존재유무의 판단으로 인한

개인정보 관리방안(정책설정)의 어려움 2

오탐 가능성

- 사번과 같은 사용자 지정 탐지의 어려움

- 부정확한 정보의 탐지로 인한 개인정보 관리의 난해함 3

2. 검출 및 기능상의 문제점

10

Resource의 부족

IT인프라의 리소스 부족으로

시스템의 장애, 업무비효율성 야기

3. 운영상의 필요요건 - 운영 리소스의 부족

Server DB

11

SolidStep PieLook

12

1. SolidStep PieLook – 솔루션 개요

“SolidStep PieLook"은 개인정보의 현황분석을 통해 위험도를 측정한 결과와 보고서는 컨설팅 산출물

수준의 품질로 관리자가 이행 및 조치에 직접 활용할 수 있도록 제공됩니다.

• 출시일 : 2015.03

• 제조사 : ㈜에스에스알

중앙 집중화된 개인정보 관리

- 중앙 관리 시스템을 통한 효율적인 개인정보 관리

개인정보 유출 방지

- 정확한 개인정보 탐지에 기반한 개인정보 검출

개인정보보호의 필수 솔루션

1

2 Agent

수집기

중앙관리서버

레포터

분석기

SolidStep PieLook

제품명 : SolidStep PieLook

주민등록번호 xxxxxx-xxxxxxx

여권번호 ##xxxxxxx

사업자등록번호 xxx-xx-xxxxx

13

중앙관리서버

Agent

수집기 • 정보 수집 기능만을 수행 • 강력한 암호화(256bit CBC)이용한 정보 전송

템플릿 • 자사 개인정보 기준에 맞는 점검 템플릿 생성 • 템플릿에 따른 분석 및 결과 도출 • 사용자 정의 패턴 적용 가능

분석기 • 수집된 정보 분석하여 개인정보 도출 • 개인정보 형태의 정보를 현실적인 분석

레포터 (보고서)

• 통계 활용이 용이한 수식 기반 보고서 • 다양한 보고서 유형 (요약, 그룹, 개별)

• Windows, Linux, AIX, HP-UX, Solaris 등 5종

• Non-Installation Portable 프로그램 OS

암호화 • Agent인증 및 Client 인증서 요구

• Agent 인증서 서명 검증

2. 솔루션 구조 및 형태 - 아키텍쳐

“SolidStep PieLook”의 Agent에서 1차 수집된 개인정보 형태의 정보를 중앙 관리 서버로 전송 후 2차 분

석하여 개인정보를 확인하여 결과 보고서를 생성하는 기능을 제공합니다.

PC

Network

Windows Unix DBMS

PieLook

FireWall

Internet

Web Log

14

3. SolidStep PieLook 주요 특장점 - 공통

SolidStep PieLook 은 최소의 인프라 리소스를 이용하여 빠른 속도로 개인정보뿐만이 아니라 사용자가 정의한 패턴 등 주요 정보를 정확히 검색하는 개인정보 검색 솔루션입니다.

빠른 검색 속도

1/3 ~ 1/10의 속도로 개인정보

진단 수행

대규모 인프라 환경에서 더욱

빠른 분석 기능 제공

개인정보의 정확한 탐지 개인정보 탐지 정확성을 위해

2중 분석 최적화된 정규식 활용

4 Free Agent / Agentless Install, Resource, OS, ACL

Free

다양한 환경 내 개인정보 검출 PC, SERVER, DBMS 및 문서의

다양한 포맷 지원

개인정보가 포함된 IT자산의 관리

물리적, 논리적 구분에 따른 IT자산의 관리

기존 SolidStep Agent Migration

SolidStep에 Plug in 을 통해, 개인정보 검출 기능 추가

15

3.1. SolidStep PieLook 주요 특장점 – 정확한 탐지

“SolidStep PieLook”은 2중 분석 구조로 1차로 수집된 결과에 대해서 2차 분석하여 정확한 개인정보를 탐

지하며, 탐지 패턴에 S.R.O.A 적용하여 기존 정규식 대비 1,777% 성능 향상이 있습니다.

Exact Detection

2중 분석 구조

1차로 수집된 결과에 대해서

2차 분석하여 정확한 개인정보 탐지

최상의 정규식 (S.R.O.A) Validation 알고리즘 적용

기존 정규식 대비 1,777% 성능 향상 데이터의 성격에 따라 유효하지 않은

개인정보는 예외처리 하도록 추가

Java,Lua.. C++

Perl

String Size

Tim

e

패턴 탐지속도 1800% 향상

독자개발 정규식 최적화 기술

S.R.O.A 적용

1

2

최상의 정규식

빠른 속도의 언어

현대적 코딩에 가장 빠른 언어 채택

수집기 분석기

1차 수집

2차 분석

Server 1

Server 2

Server 3 탐지결과

정확도 상승 .

.

.

Personal Info 1

Personal Info 2

Personal Info 3

Personal Info 4

Personal Info (Need Validation)

Personal Info 5

예외

처리

16

“SolidStep PieLook”은 4-Free Agent 기반으로 Install 시 재부팅이 불필요하며, 리소스를 적게 사용하여

시스템 운영에 안정성을 제공합니다.

4-Free

Agent

Portable 프로그램

재부팅 불필요

리소스 Gear Control

최대 CPU 소모량 1% 이하

자체 리소스보유(독립적운영)

5종 OS 지원

Windows, Linux, AIX, HP-UX, Solaris 등

Agent Port Listening 없음

HTTPS Protocol 이용

Install Free Resource Free

OS Free OS ACL Free

Https

3.2. SolidStep PieLook 주요 특장점 – 4Free Agent

17

“SolidStep PieLook”은 PC는 물론 다양한 OS, DBMS, 파일 포맷에 대해 개인정보진단을 수행할 수 있습니

다.

Various

Detection OS

• 다양한 OS 탐지

- 시스템 구분 없이 다양한 OS 탐지 지원

DBMS

• 다양한 DBMS 탐지 (ORACLE, MSSQL, PostgreSQL)

- MYSQL, DB2, Sysbase, Altibase 등 다양한 DBMS 탐지 지원

FORMAT

• 다양한 파일 포맷 지원

- 대용량 파일, 압축파일(다중 압축 지원), Office 문서, 한글문서, 텍스트 파일, 웹 소스

파일 분석 가능.

3.3. SolidStep PieLook 주요 특장점 – 다양한 환경 내 검출

18

192.10.10.1_Unix

3개의 DB 인스턴스에 대해 하나의 자산으로 처리 개인정보 관리 담당은?

타 팀의 개인정보도 접근가능??

IT 팀 인사팀 재무회계팀

ERP

개인정보를 명쾌하게 관리

192.10.10.1_Unix

192.10.10.1_ERP 192.10.10.1_인사 192.10.10.1_재무

192.10.10.1_Unix

192.10.10.1_DBMS

192.10.10.1_DBMS 192.10.10.1_DBMS

192.10.10.1_DBMS

물리 또는 IP 기반으로 개인정보를 검색하는 솔루션은 원활한 개인정보 관리 활동이 어렵습니다. “SolidStep PieLook”은 이러한 현실을 고려하여 논리적인 자산(인스턴스) 등록을 통해 명확한 개인정보의 관리를 가능하게 합니다.

ERP 인사DB 재무회계

IT 팀 인사팀 재무회계팀

192.10.10.1_Unix

192.10.10.1_ERP

192.10.10.1_인사 192.10.10.1_재무

3.4. SolidStep PieLook 주요 특장점 – 개인정보가 포함된 IT자산의 관리

19

“SolidStep PieLook”은 “SolidStep”의 Agent와 공유되어 있어, SolidStep을 사용하고 있을 시, 추가 설치가 필요없어 설치, 운영상의 리소스를 절감할 수 있습니다.

SolidStep SolidStep PieLook

3.5. SolidStep PieLook 주요 특장점 – SolidStep과의 Agent 공유

SSR 자체 기술에 기반한

SolidStep PieLook, SolidStep의

Agent 공유

추가 설치 부담이 없음에 따른

설치, 운영 리소스의 절감

Windows

Unix DBMS

WEB/WAS

PC

동일 Agent 사용

20

“SolidStep PieLook”은 편의성을 극대화 하기 위한 플랫 메뉴 방식의 화면과 무엇이든 검색 가능한 토큰

인터페이스를 제공합니다. 3 분할 화면 *사용편의를 위해 상/좌 패널은 항상 고정*

-상) 진단실행, 각종 필터, 시스템 리소스 대시보드 -좌) 자산/항목/템플릿 -우) 진단관련 모든 정보

각종 아이콘과 색상으로 클릭 없이 모든 정보 표시

꼭 봐야 하는 지표들만 대시보드 화

진단이력 정보를 한눈에

진단 현황/검색/필터

진단 항목 사용 현황 검색/필터/예외 등

4.1. SolidStep PieLook 주요 기능 - 인터페이스

21

복잡한 진단평가업무의 다년간 경험을 바탕으로 메뉴의 단순화 구현하였습니다.(3번 클릭으로 진단 가능)

개인정보 진단 예약 및 정기 점검 설정이 가능합니다.

1

2

진단 대상 선택

진단 실행 버튼 클릭

진단 시작 버튼 클릭

예약 점검 및 주기적 점검 설정 가능

1

2

3

4.2. SolidStep PieLook 주요 기능 – 진단예약 및 정기점검설정

22

시스템 진단결과를 탐지 항목 및 유형에 따라 분류하여 한 화면에서 전체 현황을 파악할 수 있는 상세한

통계를 제공합니다.

전체 시스템에 대한 개인정보

통계

개별 시스템에 대한 개인정보

통계

4.3. SolidStep PieLook 주요 기능 – 상세 통계 제공

23 23

4.4. SolidStep PieLook 주요 기능 – 상세 보고서 제공

관리시스템 UI 화면에서도 보고서 수준의 상세한 결과 화면을 확인할 수 있어 관리자가 이행 및 조치에

즉시 처리할 수 있도록 제공됩니다.

웹 페이지에서 개인정보 진단에 대한 상세 내용

FILE 진단 시 개인정보 진단에 대한 상세 내용

24

4.5. SolidStep PieLook 주요 기능 – 엑셀 보고서

개인정보의 현황분석을 통해 위험도를 측정한 결과와 보고서는 컨설팅 산출물 수준의 품질로 관리자가

이행 및 조치에 직접 활용할 수 있도록 제공됩니다.

Excel 버튼 클릭 시 보고서 다운로드 가능

25

4.6. SolidStep PieLook 주요 기능 – 사용자 정의 항목

주요 개인정보에(주민번호, 전화번호 등) 대해서 진단 가능하며, 회사에 주요 개인정보(고객번호, 사번 등)

에 대해 사용자 정의 항목으로 별도로 설정하여 진단 가능합니다.

• 세부설정에 탐지하고 싶은 NAME과 정규식 패턴을 등록하여

탐지

• 탐지 개수와 상관없이 등록할 수 있음

• 사용자정의 주요정보 항목은 사용자가 탐지하고 싶은 별도의

항목으로 구성할 수 있음

• 주요개인정보에 대해서 검색가능

1) 주민등록번호

2) 전화번호

3) 카드번호

4) 계좌번호

5) 이메일주소

6) 운전면허번호

7) 외국인등록번호

8) 여권번호

9) 사용자정의 주요정보 26

4.7. SolidStep PieLook 주요 기능 – 점검 옵션 설정

주요 개인정보 진단 시 검색옵션 조절 기능(파일명, 확장자, 파일크기 등)으로 각 시스템에 맞는 최상의

진단 방식을 제공합니다.

• 파일명, 확장자, 파일크기, 생성시간, 변경시간에 따라 검색 옵션 조절

가능

27

4.8. SolidStep PieLook 주요 기능 – 리소스 조절 기능

개인정보 진단 시 리소스 조절 옵션을 제공하여 시스템 환경에 맞게 성능을 조절하여 진단 가능합니다.

• cpuwatcher 옵션 사용으로 리소스 사용량 조절하여 진단

수행 가능

CPU

WATCHER 평균 CPU사용률 비고

5 50%(사용자설정가능)

CPU 가용 리소스 대비

4 40%(사용자설정가능)

3 30%(사용자설정가능)

2 20%(사용자설정가능)

1 10%(사용자설정가능)

CPUWATCHER 수치

28

4.9. SolidStep PieLook 주요 기능 – 상세 진행 로그 제공

개인정보 진단 시 시스템에 따라 많은 시간이 소요될 수 있으므로 현재 진행중인 상황을 확인할 수 있는 화

면을 제공합니다.

29

※ SSL 미적용 환경에서도 전송 데이터의 암호화를 보장하여 안전한 통신이 가능합니다.

수집기

Agent

SSL/TLS(TLSv1 DHE-RSA-AES256-SHA)

DATA

1차 암호화

2차 암호화

Manager 검증

호스트 검증 Manager 인증서 서명 검증

Agent 인증

Client 인증서 요구 인증서 정보 ACL

Agent 인증서 서명 검증

1차 암호화

128/256bit CBC 블록 암호화

Rijndael(AES)

Twofish

SHA256 HMAC 무결성 검증

데이터 암호화

2차 암호화 (DATA)

“SolidStep PieLook”은 이중 암호화 적용으로 Agent 와 Manager 간 안전한 통신을 보장합니다.

4.10. SolidStep PieLook 주요 기능 – 암호화 전송

30

5. 구조 및 형태 – 세부 H/W 및 S/W 규격

“SolidStep PieLook”은 다양한 운영 환경에서 솔루션 적용이 가능하며 최고의 성능을 보장합니다.

구분 모델 규격

Manager Server

H/W

Enterprise 최대지원 Agent: 30,000대

CPU : Intel® Xeon® Processor E5-2650 v2 * 1 RAM : 8G PC3-12800R * 8 HDD : 2TB SATA3 7.2K Enterprise * 2(Raid 1) * 400W Redundant power supplies

Premium 최대지원 Agent: 10,000대

CPU : ntel® Xeon® Processor E3-1270 v3 * 1 RAM : 8G PC3-12800E * 4 HDD : 2TB SATA3 7.2K Enterprise * 2(Raid 1) * 400W Redundant power supplies

Standard 최대지원 Agent: 1,000대

CPU : Intel® Xeon® Processor E3-1240 v3 * 1 RAM : 8G PC3-12800E * 2 HDD : 1TB SATA3 7.2K Enterprise * 2(Raid 1) * 400W Redundant power supplies

S/W

OS Debian 3.16

APP Apache 2.4.4, openssl-1.0.0-27 , PostgreSQL 9.2.4, FastCGI 2.4.6, APC-3.1.12, PHP 5.3.25

Agent S/W OS지원

- Windows NT/2000/2003/2008/2012 - AIX 5.x 6.1/7.1 - HP-UX 11.x (PA-RISC / Itanium) - Linux (RedHat / Debian 계열) - SunOS 5.9/5.10 (x86), 5.x (sparc)

31

행정자치부 지정 개인정보 영향평가 기관

개인정보 관리에 대해

가장 잘 알고 있는 회사가 만든 솔루션

PieLook

32

CONTACT US

서울시 구로구 구로3동 222-3 JnK디지털타워 1606호

Tel. 02) 6959-0129

E-mail : biz@ssrinc.co.kr

행정자치부 지정 개인정보 영향평가 기관 미래창조과학부 지정 지식정보보안 컨설팅 전문업체

33