KR101663288B1 - 개인정보 모니터링 시스템 및 방법 - Google Patents
개인정보 모니터링 시스템 및 방법 Download PDFInfo
- Publication number
- KR101663288B1 KR101663288B1 KR1020150125483A KR20150125483A KR101663288B1 KR 101663288 B1 KR101663288 B1 KR 101663288B1 KR 1020150125483 A KR1020150125483 A KR 1020150125483A KR 20150125483 A KR20150125483 A KR 20150125483A KR 101663288 B1 KR101663288 B1 KR 101663288B1
- Authority
- KR
- South Korea
- Prior art keywords
- personal information
- score
- type
- level
- processing system
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 개인정보 모니터링 시스템 및 방법에 관한 것으로, 본 발명에 따른 시스템은 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 자산 규모 설정부, 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 개인정보 유출 가능성 계산부, 개인정보 처리 시스템의 자산 규모 및 작업에 대해서 계산된 개인정보 유출 가능성에 기초하여 작업에 대한 위험도를 산출하는 위험도 산출부, 그리고 작업에 대한 로그(log)에 산출된 위험도를 포함하여 기록하는 기록부를 포함한다. 본 발명에 의하면, 보다 일관적이고 효율적으로 개인정보의 유출을 방지할 수 있도록 한다.
Description
본 발명은 개인정보 모니터링 시스템 및 방법에 관한 것으로, 보다 자세하게는 개인정보의 유출 위험에 대하여 모니터링할 수 있는 개인정보 모니터링 시스템 및 방법에 관한 것이다.
일반적으로 컴퓨터 기술이 꾸준히 발전함에 따라 인터넷도 계속적으로 발전하여 다양한 정보의 수집과 공유가 용이하게 되었으며, 정보의 유통에 혁명적인 변화를 가지고 왔다. 정보통신 서비스를 제공하는 사업자는 인터넷을 통하여 개인정보를 손쉽게 수집하고 수집된 개인정보를 상업적으로 이용하고 있다.
하지만, 정보화의 역기능으로 피싱 또는 악성코드 등의 해킹 기술이 발전하고 정보 유통의 부정적인 효과로 웹사이트를 통하여 대량의 개인정보가 유출될 위협에 직면하게 되었다. 유출된 개인정보는 사생활 침해 또는 범죄 등으로 악용될 수 있어 2차 피해를 발생시키고 있으며, 이렇게 유출된 개인정보는 오남용이 되어 국민에게 정신적 피해와 금전적 피해를 줄 수 있다. 이에 개인정보 대량 유출 위험에 대하여 모니터링하고 조기에 대응하여 관련 피해를 최소화해야 할 필요가 있다.
종래에는 방화벽, 침입 탐지 시스템, 문서 보안 시스템 또는 트래픽 감시 시스템 등과 같은 정보 보안 시스템을 통하여 개인정보 처리 대상에 불법적으로 접속하는 행위를 제한하거나 개인정보가 유출되는 것을 모니터링하여 이를 사전에 차단하는 방식을 사용하였다.
그러나, 종래의 방식으로는 개인정보의 유출 징후를 집중적으로 감시하는 데에는 한계가 있었다.
아울러, 개인정보 처리 대상은 개인정보가 유출되지 않도록 개인정보의 유출 정도에 대응하여 내부 관리 계획 등을 수립하여야 하나, 개인정보의 유출 정도를 파악하기 위한 평가 기준이 명확하지 않고, 평가 기준에 객관성이 없기 때문에 개인정보의 유출 위험을 정확하게 파악하여 대응하기 어려운 문제점이 있었다.
한국공개특허공보 제2002-0003309호 (공개일 2002. 01. 12.)
따라서 본 발명이 해결하고자 하는 기술적 과제는 개인정보 처리 시스템의 자산 규모 및 개인정보 처리 시스템에 접속하여 이루어진 작업에 대한 개인정보 유출 가능성에 기초하여 작업에 대한 위험도를 산출함으로써 보다 일관적이고 효율적으로 개인정보의 유출을 방지할 수 있도록 하는 개인정보 모니터링 시스템 및 방법을 제공하는 것이다.
또한, 본 발명은 명시적으로 언급된 목적 이외에도, 후술하는 본 발명의 구성으로부터 달성될 수 있는 다른 목적도 포함한다.
상기한 기술적 과제를 해결하기 위한 본 발명의 실시예에 따른 개인정보 모니터링 시스템은 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 자산 규모 설정부, 상기 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 개인정보 유출 가능성 계산부, 상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 위험도 산출부, 그리고 상기 작업에 대한 로그(log)에 상기 산출된 위험도를 포함하여 기록하는 기록부를 포함한다.
상기 자산 규모 설정부는 상기 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형, 상기 개인정보 처리 시스템에서 취급하는 개인정보의 유형, 상기 개인정보 처리 시스템에서 처리하는 개인정보 파일 수에 따른 정보 주체 수 및 상기 개인정보 처리 시스템에서 취급하는 개인정보의 유형의 조합을 각각 설정 받을 수 있다.
상기 자산 규모 설정부는 상기 설정 받은 개인정보 서비스의 유형에 따라 부여되는 서비스 유형 점수, 상기 설정 받은 개인정보의 유형에 따라 부여되는 개인정보 유형 점수, 상기 설정 받은 정보 주체 수에 따라 부여되는 정보 주체 수 점수, 상기 개인정보의 유형의 조합에 따라 부여되는 개인정보 유형 조합 점수 및 미리 정해진 가중치를 합산하여 자산 규모 점수를 산출할 수 있다.
상기 개인정보 유출 가능성 계산부는 비지정 접근 형태인지 여부에 따라 부여되는 제1 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 부여되는 제2 레벨 접근형태 점수, 상기 비지정 접근 형태의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 접근형태 점수, 개인정보 이용 행위 여부에 따라 부여되는 제1 레벨 정보이용행위 점수, 상기 개인정보 이용 행위의 종류별로 부여되는 제2 레벨 정보이용행위 점수 및 상기 개인정보 이용 행위의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 정보이용행위 점수를 합산하여 개인정보 유출 가능성 점수를 계산할 수 있다.
상기 비지정 접근 형태의 종류는 비지정된 맥(Mac) 어드레스의 접근, 비지정된 시간의 접근 및 비지정된 IP 또는 ID의 접근을 포함하고, 상기 개인정보 이용 행위의 종류는 조회, 출력, 복사 또는 저장 및 전송에 대한 행위를 포함할 수 있다.
상기 위험도 산출부는 상기 자산 규모 점수와 상기 개인정보 유출 가능성 점수를 합산하여 상기 작업에 대한 위험도를 산출할 수 있다.
상기 위험도 산출부는 상기 자산 규모 점수와 상기 개인정보 유출 가능성 점수를 합산한 점수가 미리 정해진 복수의 기준 범위 중 어느 기준 범위에 포함되는지에 따라 위험 수준을 결정할 수 있다.
한편, 본 발명의 실시예에 따른 개인정보 모니터링 방법은 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 단계, 상기 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 단계, 상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 단계, 그리고 상기 작업에 대한 로그(log)에 상기 산출된 위험도를 포함하여 기록하는 단계를 포함한다.
상기 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 단계는 상기 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형, 상기 개인정보 처리 시스템에서 취급하는 개인정보의 유형, 상기 개인정보 처리 시스템에서 처리하는 개인정보 파일 수에 따른 정보 주체 수 및 상기 개인정보 처리 시스템에서 취급하는 개인정보의 유형의 조합을 각각 설정 받을 수 있다.
상기 설정 받은 개인정보 서비스의 유형에 따라 부여되는 서비스 유형 점수, 상기 설정 받은 개인정보의 유형에 따라 부여되는 개인정보 유형 점수, 상기 설정 받은 정보 주체 수에 따라 부여되는 정보 주체 수 점수, 상기 개인정보의 유형의 조합에 따라 부여되는 개인정보 유형 조합 점수 및 미리 정해진 가중치를 합산하여 자산 규모 점수를 산출하는 단계를 더 포함할 수 있다.
상기 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 단계는 비지정 접근 형태인지 여부에 따라 부여되는 제1 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 부여되는 제2 레벨 접근형태 점수, 상기 비지정 접근 형태의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 접근형태 점수, 개인정보 이용 행위 여부에 따라 부여되는 제1 레벨 정보이용행위 점수, 상기 개인정보 이용 행위의 종류별로 부여되는 제2 레벨 정보이용행위 점수 및 상기 개인정보 이용 행위의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 정보이용행위 점수를 합산하여 개인정보 유출 가능성 점수를 계산할 수 있다.
상기 비지정 접근 형태의 종류는 비지정된 맥(Mac) 어드레스의 접근, 비지정된 시간의 접근 및 비지정된 IP 또는 ID의 접근을 포함하고, 상기 개인정보 이용 행위의 종류는 조회, 출력, 복사 또는 저장 및 전송에 대한 행위를 포함할 수 있다.
상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 단계는 상기 자산 규모 점수와 상기 개인정보 유출 가능성 점수를 합산하여 상기 작업에 대한 위험도를 산출할 수 있다.
상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 단계는 상기 자산 규모 점수와 상기 개인정보 유출 가능성 점수를 합산한 점수가 미리 정해진 복수의 기준 범위 중 어느 기준 범위에 포함되는지에 따라 위험 수준을 결정할 수 있다.
이와 같이 본 발명의 실시예에 따른 개인정보 모니터링 시스템 및 방법에 따르면, 개인정보 처리 시스템의 자산 규모 및 개인정보 처리 시스템에 접속하여 이루어진 작업에 대한 개인정보 유출 가능성에 기초하여 작업에 대한 위험도를 산출함으로써 보다 일관적이고 효율적으로 개인정보의 유출을 방지할 수 있도록 한다.
그리고, 개인정보 처리 시스템의 자산 규모 및 작업에 대한 개인정보 유출 가능성을 산출하기 위한 평가 기준을 명확히 하고 객관화할 수 있으며, 개인정보 처리 시스템에 접속하여 이루어진 작업에 대한 로그를 기록할 때마다 위험도를 포함시켜 기록함으로써 개인정보의 유출 징후를 보다 집중적으로 감시할 수 있으며, 개인정보 처리 시스템에 접속하여 이루어진 작업에 대한 위험도를 보다 세부적으로 분석하여 내부 관리 계획 등의 수립 시 이용할 수 있는 장점이 있다.
한편, 본 발명의 효과는 상술된 것에 국한되지 않고 후술하는 본 발명의 구성으로부터 도출될 수 있는 다른 효과도 본 발명의 효과에 포함된다.
도 1은 본 발명의 실시예에 따른 개인정보 모니터링 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 개인정보 모니터링 과정을 보여주는 동작 흐름도이다.
도 2는 본 발명의 실시예에 따른 개인정보 모니터링 과정을 보여주는 동작 흐름도이다.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 개인정보 모니터링 시스템의 구성도를 나타낸다.
도 1에 도시한 바와 같이, 개인정보 모니터링 시스템(1)은 자산 규모 설정부(100), 개인정보 유출 가능성 산출부(200), 위험도 산출부(300) 및 기록부(400)를 포함하여 구성된다.
자산 규모 설정부(100)는 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받을 수 있다. 자산 규모는 개인정보 처리 시스템에서 취급하는 개인정보의 양(정량) 및/또는 질(정성)을 반영한 것으로 정의될 수 있다.
보다 자세하게는, 자산 규모 설정부(100)는 개인정보 처리 시스템을 운영하는 관리자로부터 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형, 개인정보 처리 시스템에서 취급하는 개인정보의 유형, 개인정보 처리 시스템에서 처리하는 개인정보 파일 수에 따른 정보 주체 수 및 개인정보 처리 시스템에서 취급하는 개인정보의 유형의 조합을 각각 설정 받을 수 있다.
자산 규모 설정부(100)는 설정 받은 개인정보 서비스의 유형에 따라 서비스 유형 점수를 부여하고, 설정 받은 개인정보의 유형에 따라 개인정보 유형 점수를 부여하고, 설정 받은 정보 주체 수에 따라 정보 주체 수 점수를 부여하고, 개인정보의 유형의 조합에 따라 개인정보 유형 조합 점수를 부여하고, 하기의 (수식 1)과 같이, 부여된 서비스 유형 점수, 개인정보 유형 점수, 정보 주체 수 점수, 개인정보 유형 조합 점수 및 미리 정해진 가중치를 합산하여 자산 규모 점수를 산출할 수 있다.
(수식 1)
자산 규모 점수 = 서비스 유형 점수 + 개인정보 유형 점수 + 정보 주체 수 점수 + 개인정보 유형 조합 점수 + 가중치
| 구분 | 내용 | 설명 | 배점 |
| 개인정보서비스 유형 |
제1 개인정보 서비스 유형 | 정부기관에 등록된 개인정보 파일을 처리하기 위해 운영하는 개인정보 처리 시스템 | 3 |
| 제2 개인정보 서비스 유형 | 개별 기업 내부에서 인사 또는 회계 등의 업무를 처리하기 위해 개인정보를 저장하고 있는 개인정보 처리 시스템 | 2 |
|
| 제3 개인정보 서비스 유형 | 출입 관리 시스템 등과 같은 기타 업무를 처리하기 위해 개인정보를 저장하고 있는 개인정보 처리 시스템 | 1 |
개인정보 서비스의 유형은 (표 1)에서와 같이, 행정자치부 등과 같은 정부기관에 등록되어 개인정보 파일을 처리하기 위해 운영되는 개인정보 처리 시스템에 대한 제1 개인정보 서비스의 유형, 개별 기업 내부에서 인사 또는 회계 등의 업무를 처리하기 위하여 개인정보를 저장하고 있는 개인정보 처리 시스템에 대한 제2 개인정보 서비스의 유형 및 출입 관리 등과 같이 제1 개인정보 서비스의 유형과 제2 개인정보 서비스의 유형에 해당되지 않는 기타 업무를 처리하기 위하여 개인정보를 저장하고 있는 개인정보 처리 시스템에 대한 제3 개인정보 서비스의 유형을 포함할 수 있다. 예컨대, 자산 규모 설정부(100)는 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형이 제1 개인정보 서비스 유형일 경우 3점을 부여하고, 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형이 제2 개인정보 서비스 유형일 경우 2점을 부여하고, 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형이 제3 개인정보 서비스 유형일 경우 1점을 부여할 수 있다. 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형과 개인정보 서비스의 유형에 따라 부여되는 점수는 다양한 기준에 따라 조정될 수 있음은 물론이다.
| 구분 | 내용 | 설명 | 배점 |
| 개인정보 유형 |
제1 개인정보의 유형 |
한 가지 정보만으로도 개인을 식별할 수 있고 변경이 불가능하여 악용할 경우 위험이 매우 큰 개인정보 | 5 |
| 주민등록번호, 여권번호, 외국인등록번호, 운전면허번호 | |||
| 제2 개인정보의 유형 |
개인의 신분 및 신상을 식별할 수 있고 변경이 어려워 악용할 경우 위험이 높은 개인정보 | 4 |
|
| 이름, 주소, 전화번호, 핸드폰번호, 계좌번호, 군번 등 | |||
| 제3 개인정보의 유형 |
개인의 신분 및 신상에 대한 추정 및 변경이 가능하고 악용할 경우 위험이 낮은 개인정보 | 3 |
|
| 직장명, 직급, 이메일주소, ID, 학번, 학년, 사번 등 | |||
| 제4 개인정보의 유형 |
다른 정보의 조합으로 개인의 신분 및 신상의 추정은 가능하나 개인을 식별할 수 없어 다른 정보와 같이 노출 시 위험이 있는 개인정보 | 2 |
|
| 마스킹 처리된 개인정보의 조합 | |||
| 제5 개인정보의 유형 | 개인을 식별할 수 없는 정보가치가 낮은 개인정보 | 1 |
|
| 통계 값 및 비식별화 된 개인정보 |
개인정보의 유형은 (표 2)에서와 같이, 개인의 식별 가능 여부, 개인정보의 변경 가능 여부 및 위험 정도에 따라 복수 개로 분류될 수 있다. 예컨대, 제1 개인정보의 유형은 주민등록번호, 여권번호, 운전면허번호 또는 외국인등록번호 등과 같이 법령에서 정한 개인고유식별정보로, 한 가지 정보만으로도 개인을 식별할 수 있고 변경이 불가능하여 악용할 경우 위험이 매우 큰 개인정보로 이루어질 수 있다. 제2 개인정보의 유형은 이름, 주소, 전화번호, 핸드폰 번호 또는 계좌번호 등과 같이 개인의 신분 및 신상을 식별할 수 있고 변경이 어려워 악용할 경우 위험이 높은 개인정보로 이루어질 수 있다. 제3 개인정보의 유형은 직장명, 직급, 이메일 주소, ID, 학번, 학년 또는 사번 등과 같이 개인의 신분 및 신상에 대한 추정 및 변경이 가능하고 악용할 경우 위험이 낮은 개인정보로 이루어질 수 있다. 제4 개인정보의 유형은 다른 정보의 조합으로 개인의 신분 및 신상의 추정은 가능하나 개인을 식별할 수 없어 다른 정보와 같이 노출 시 위험이 있는 개인정보로, 이름 + 휴대폰 번호 뒷자리 등과 같이 마스킹 처리된 개인정보의 조합으로 이루어질 수 있다. 제5 개인정보의 유형은 통계 값이나 비식별화된 개인정보 등과 같이 개인을 식별할 수 없는 정보가치가 낮은 개인정보로 이루어질 수 있다. 예컨대, 자산 규모 설정부(100)는 개인정보 처리 대상에서 취급하는 개인정보의 유형이 제1 개인정보의 유형일 경우 5점을 부여하고, 제2 개인정보의 유형일 경우 4점을 부여하고, 제3 개인정보의 유형일 경우 3점을 부여하고, 제4 개인정보의 유형일 경우 2점을 부여하고, 제5 개인정보의 유형일 경우 1점을 부여할 수 있다.
| 구분 | 내용 | 설명 | 배점 |
| 정보 주체 수 |
제1 정보 주체 수 | 개인정보 처리 시스템에서 처리하는 개인정보 파일의 수가 5만건 이상일 경우 | 3 |
| 제2 정보 주체 수 | 개인정보 처리 시스템에서 처리하는 개인정보 파일의 수가 1만건 이상 5만건 이하일 경우 | 2 |
|
| 제3 정보 주체 수 | 개인정보 처리 시스템에서 처리하는 개인정보 파일의 수가 1만건 미만일 경우 | 1 |
정보 주체 수는 (표 3)과 같이, 개인정보 처리 시스템에서 처리하는 개인정보 파일의 수가 5만건 이상인 제1 정보 주체 수, 개인정보 처리 시스템에서 처리하는 개인정보 파일의 수가 1만건 이상이고 5만건 미만인 제2 정보 주체 수 및 개인정보 처리 시스템에서 처리하는 개인정보 파일의 수가 1만건 미만인 제3 정보 주체 수로 분류될 수 있다. 예컨대, 자산 규모 설정부(100)는 설정 받은 개인정보 파일의 수가 5만건 이상일 경우 3점을 부여하고, 개인정보 파일의 수가 1만건 이상이고 5만건 미만일 경우 2점을 부여하고, 설정 받은 개인정보 파일의 수가 1만건 미만일 경우 1점을 부여할 수 있다. 정보 주체 수를 분류하기 위한 개인정보 파일의 수 및 이에 따라 부여되는 점수는 다양한 기준에 따라 변경될 수 있다.
| 구분 | 내용 | 설명 | 배점 |
| 개인정보의 유형의 조합 |
제1 개인정보의 유형의 조합 | 고유식별정보, 민감정보 및 일반개인정보의 조합 | 4 |
| 제2 개인정보의 유형의 조합 | 고유식별정보 및 일반개인정보의 조합 | 3 |
|
| 제3 개인정보의 유형의 조합 | 민감정보 및 일반개인정보의 조합 | 2 |
|
| 제4 개인정보의 유형의 조합 |
일반개인정보(해당 정보만으로는 개인을 식별할 수 없으나, 다른 정보와 결합하여 개인을 식별할 수 있는 정보를 포함) | 1 |
개인정보의 유형의 조합은 (표 4)와 같이, 상술한 제1 내지 제5 개인정보의 유형을 다양하게 조합한 형태로 이루어질 수 있다. 예컨대, 제1 개인정보의 유형의 조합은 개인고유식별정보, 사상, 신념, 노동조합 정당의 가입, 탈퇴, 정치적 견해, 건강 또는 성생활 등과 같은 정보와 정보 주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 포함한 민감정보 및 성명, 주소, 연락처 등과 같이 개인을 식별할 수 있는 일반개인정보를 모두 조합한 것으로, 의료기록정보나 학생생활기록정보 등을 포함할 수 있다. 제2 개인정보의 유형의 조합은 고유식별정보 및 일반개인정보의 조합이고, 제3 개인정보의 유형의 조합은 민감정보 및 일반개인정보의 조합이고, 제4 개인정보의 유형의 조합은 일반개인정보일 수 있다. 예컨대, 자산 규모 설정부(100)는 개인정보 처리 시스템에서 취급하는 개인정보의 유형의 조합이 제1 개인정보의 유형의 조합일 경우 4점을 부여하고, 제2 개인정보의 유형의 조합일 경우 3점을 부여하고, 제3 개인정보의 유형의 조합일 경우 2점을 부여하고, 제1 개인정보의 유형의 조합일 경우 1점을 부여할 수 있다. 이와 같이, 개인정보의 유형의 조합은 개인정보의 유형을 다양하게 조합하여 구성될 수 있고, 이와 같이 구성된 개인정보의 유형을 조합한 위험 정도에 따라 적절하게 점수를 부여할 수 있다.
자산 규모 설정부(100)는 가중치의 기본 디폴트 값으로 0을 정의하며, 관리자가 미리 정의한 바에 따라 값을 수정할 수 있다. 즉, 가중치는 개인정보에 대한 자산 규모의 중요도에 따라 부여될 수 있는데, 기관의 특성과 자산 규모의 중요도에 따라 관리자가 직접 가중치를 입력하여 위험도에 반영될 수 있도록 한다.
개인정보 유출 가능성 계산부(200)는 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산할 수 있다.
보다 자세하게는, 개인정보 유출 가능성 계산부(200)는 비지정 접근 형태인지 여부에 따라 부여되는 제1 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 부여되는 제2 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 접근형태 점수, 개인정보 이용 행위 여부에 따라 부여되는 제1 레벨 정보이용행위 점수, 개인정보 이용 행위의 종류별로 부여되는 제2 레벨 정보이용행위 점수 및 개인정보 이용 행위의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 정보이용행위 점수를 합산하여 개인정보 유출 가능성 점수를 계산할 수 있다.
개인정보 유출 가능성은 개인정보 처리 시스템에 접속하여 작업하는 개인정보 처리자의 행위에 따라 제1 레벨 접근형태, 제2 레벨 접근형태 및 제3 레벨 접근형태와, 제1 레벨 정보이용행위, 제2 레벨 정보이용행위 및 제3 레벨 정보이용행위로 나누어질 수 있고, 제1 레벨 접근형태, 제2 레벨 접근형태 및 제3 레벨 접근형태에서 각각 나온 점수와, 제1 레벨 정보이용행위, 제2 레벨 정보이용행위 및 제3 레벨 정보이용행위에서 각각 나온 점수를 합산하여 개인정보의 유출 가능성 점수를 계산할 수 있다.
| 제1 레벨 | 제2 레벨 | 제3 레벨 | |||
| 배점 | 내용 | 배점 | 내용 | 배점 | 내용 |
| 1 |
접근형태 |
3 |
비지정된 IP/ID의 접근 |
4 | 비지정된 국가 IP에서 접근 |
| 3 |
10분 이내 비지정된 다수의 다른 IP에서 접근 | ||||
| 2 |
10분 이내 비지정된 1개의 다른 IP에서 접근 | ||||
| 1 |
지정된 시간 내에 비지정된 다른 IP에서 접근 | ||||
| 2 |
비지정된 시간의 접근(근무시간) |
2 |
휴가/휴직자의 접근 |
||
| 1 | 특정 시간대 접근 | ||||
| 비지정된 시간의 접근(근무요일) | 2 | 휴가/휴직자의 접근 | |||
| 1 | 공휴일의 접근 | ||||
| 1 |
비지정된 맥 어드레스의 접근 |
3 |
10분 이내에 비지정된 다수의 다른 맥 어드레스에서 접근 | ||
| 2 |
10분 이내 비지정된 1개의 다른 맥 어드레스에서 접근 | ||||
| 1 |
지정된 시간 내에 비지정된 다른 맥 어드레스에서 접근 | ||||
(표 5)에서와 같이, 제1 레벨 접근형태는 비지정 접근 형태인지 여부를 나타내는 것으로, 예를 들어, 개인정보 처리 시스템에 접근하는 형태가 비지정 접근 형태일 경우 제1 레벨 접근형태 점수로 1점이 부여되고, 비지정 접근 형태가 아닐 경우 제1 레벨 접근형태 점수로 0점이 부여될 수 있다.
제2 레벨 접근형태는 비지정 접근 형태의 종류를 나타내는 것으로, 1) 비지정된 맥(Mac) 어드레스의 접근, 2) 비지정된 시간의 접근 및 3) 비지정된 IP 또는 ID의 접근을 포함할 수 있다. 예를 들어, 제2 레벨 접근형태가 1) 비지정된 맥(Mac) 어드레스의 접근일 경우 제2 레벨 접근형태 점수로 1점이 부여되고, 2) 비지정된 시간의 접근일 경우 제2 레벨 접근형태 점수로 2점이 부여되고, 3) 비지정된 IP 또는 ID의 접근일 경우 제2 레벨 접근형태 점수로 3점이 부여될 수 있다.
제3 레벨 접근형태는 비지정 접근 형태의 종류별로 세부적으로 구분한 것으로, 예를 들어, 제2 레벨 접근형태가 비지정된 맥 어드레스의 접근일 경우 제3 레벨 접근형태는 지정된 시간 내에 비지정된 다른 맥 어드레스에서 접근, 10분 이내 비지정된 1개의 다른 맥 어드레스에서 접근 및 10분 이내에 비지정된 다수의 다른 맥 어드레스에서 접근 등이 될 수 있다.
그리고, 제3 레벨 접근형태가 지정된 시간 내에 비지정된 다른 맥 어드레스에서 접근일 경우 제3 레벨 접근형태 점수로 1점이 부여되고, 제3 레벨 접근형태가 10분 이내 비지정된 1개의 다른 맥 어드레스에서 접근일 경우 제3 레벨 접근형태 점수로 2점이 부여되고, 제3 레벨 접근형태가 10분 이내에 비지정된 다수의 다른 맥 어드레스에서 접근일 경우 제3 레벨 접근형태 점수로 3점이 부여될 수 있다.
제2 레벨 접근형태가 비지정된 시간의 접근일 경우 제3 레벨 접근형태는 휴가/휴직자의 접근, 특정 시간대 접근이나 공휴일의 접근 등이 될 수 있고, 제3 레벨 접근형태가 휴가/휴직자의 접근일 경우, 제3 레벨 접근형태 점수로 2점이 부여되고, 제3 레벨 접근형태가 특정 시간대 접근이나 공휴일의 접근일 경우, 제3 레벨 접근형태 점수로 1점이 부여될 수 있다.
제2 레벨 접근형태가 비지정된 IP 또는 ID의 접근일 경우, 제3 레벨 접근형태는 지정된 시간 내에 비지정된 다른 IP에서 접근, 10분 이내 비지정된 1개의 다른 IP에서 접근, 10분 이내 비지정된 다수의 다른 IP에서 접근 및 비지정된 국가 IP에서 접근 등이 될 수 있다. 제3 레벨 접근형태가 지정된 시간 내에 비지정된 다른 IP에서 접근일 경우 제3 레벨 접근형태 접수로 1점이 부여되고, 제3 레벨 접근형태가 10분 이내 비지정된 1개의 다른 IP에서 접근일 경우 2점이 부여되고, 제3 레벨 접근형태가 10분 이내 비지정된 다수의 다른 IP에서 접근일 경우 3점이 부여되고, 제3 레벨 접근 형태가 비지정된 국가 IP에서 접근일 경우 4점이 부여될 수 있다.
| 제1 레벨 | 제2 레벨 | 제3 레벨 | |||
| 배점 | 내용 | 배점 | 내용 | 배점 | 내용 |
| 2 |
정보 이용 행위 |
3 |
전송 |
5 | 법령 지정 수량 이상 |
| 4 | 표준 편차에 의한 시간대별 분포도 이상 | ||||
| 3 | 개인정보 처리 시스템에 할당된 총 정보 주체 수 대비 30% 이상 | ||||
| 2 | 평균치 이상 | ||||
| 1 | 임계치 이상 | ||||
| 복사/저장 |
5 | 법령 지정 수량 이상 | |||
| 4 | 표준 편차에 의한 시간대별 분포도 이상 | ||||
| 3 | 개인정보 처리 시스템에 할당된 총 정보 주체 수 대비 30% 이상 | ||||
| 2 | 평균치 이상 | ||||
| 1 | 임계치 이상 | ||||
| 2 |
출력 |
5 | 법령 지정 수량 이상 | ||
| 4 | 표준 편차에 의한 시간대별 분포도 이상 | ||||
| 3 | 개인정보 처리 시스템에 할당된 총 정보 주체 수 대비 30% 이상 | ||||
| 2 | 평균치 이상 | ||||
| 1 | 임계치 이상 | ||||
| 1 |
조회 |
5 | 법령 지정 수량 이상 | ||
| 4 | 표준 편차에 의한 시간대별 분포도 이상 | ||||
| 3 | 개인정보 처리 시스템에 할당된 총 정보 주체 수 대비 30% 이상 | ||||
| 2 | 평균치 이상 | ||||
| 1 | 임계치 이상 | ||||
(표 6)에서와 같이, 제1 레벨 정보이용행위는 개인정보 이용 행위 여부에 따라 부여되는 것으로, 예를 들어, 개인정보 처리자가 개인정보를 이용하는 행위가 미리 지정된 행위일 경우 제1 레벨 정보이용행위 점수로 2점이 부여되고, 미리 지정된 행위가 아닐 경우 제1 레벨 정보이용행위 점수로 0점이 부여될 수 있다.
제2 레벨 정보이용행위는 개인정보 이용 행위의 종류를 나타낸 것으로, 조회, 출력, 복사 또는 저장 및 전송에 대한 행위를 포함할 수 있다. 예를 들어, 제2 레벨 정보이용행위가 조회일 경우 제2 레벨 정보이용행위 점수로 1점이 부여되고, 제2 레벨 정보이용행위가 출력일 경우 제2 레벨 정보이용행위 점수로 2점이 부여되고, 제2 레벨 정보이용행위가 복사 또는 저장이거나, 전송일 경우 제2 레벨 정보이용행위 점수로 3점이 부여될 수 있다.
제3 레벨 정보이용행위는 개인정보 이용 행위의 종류별로 세부적으로 구분한 것으로, 예를 들어, 개인정보 이용 행위가 조회, 출력, 복사/저장, 전송일 경우 각 개인정보 이용 행위에 대하여 제3 레벨 정보이용행위는 모두 임계치 이상, 평균치 이상, 개인정보 처리 시스템에 할당된 총 정보 주체 수 대비 30% 이상, 표준 편차에 의한 시간대별 분포도 이상 및 법령 지정 수량 이상 등이 될 수 있다. 제3 레벨 정보이용행위가 임계치 이상일 경우 제3 레벨 정보이용행위 점수로 1점이 부여되고, 제3 레벨 정보이용행위가 평균치 이상일 경우 제3 레벨 정보이용행위 점수로 2점이 부여되고, 제3 레벨 정보이용행위가 개인정보 처리 시스템에 할당된 총 정보 주체 수 대비 30% 이상일 경우 제3 레벨 정보이용행위 점수로 3점이 부여되고, 제3 레벨 정보이용행위가 표준 편차에 의한 시간대별 분포도 이상일 경우 제3 레벨 정보이용행위 점수로 4점이 부여되고, 제3 레벨 정보이용행위가 법령 지정 수량 이상일 경우 제3 레벨 정보이용행위 점수로 5점이 부여될 수 있다. 한편, 제1 레벨 접근형태, 제2 레벨 접근형태 및 제3 레벨 접근형태와, 제1 레벨 정보이용행위, 제2 레벨 정보이용행위 및 제3 레벨 정보이용행위는 개인정보 처리 시스템의 특성에 따라 다양하게 설정될 수 있으며, 이에 부여되는 점수 또한 중요도 및 위험도에 따라 다양하게 가변할 수 있음은 물론이다.
예컨대, 개인정보 처리 시스템에 10분 이내 비지정된 1개의 다른 IP에서 접근하여 평균치 이상의 출력을 수행한 경우, 개인정보 유출 가능성 계산부(200)는 제1 레벨 접근형태 점수(1점) + 제2 레벨 접근형태 점수(3점) + 제3 레벨 접근형태 점수(2점) + 제1 레벨 정보이용행위 점수(2점) + 제2 레벨 정보이용행위 점수(2점) + 제3 레벨 정보이용행위 점수(2점)를 합산하여 개인정보 유출 가능성 점수로 12점을 계산할 수 있다. 이때, 개인정보 이용 행위가 100%의 출력으로 이루어지는 업무의 경우, 조회, 복사/저장, 전송의 행위는 제외하고, 출력만으로 제1 내지 제3 레벨 정보이용행위 점수를 계산할 수 있다.
또한, 개인정보 처리 시스템에 10분 이내 비지정된 다수의 다른 맥 어드레스에서 접근하여 열람을 수행한 경우, 개인정보 유출 가능성 계산부(200)는 제1 레벨 접근형태 점수(1점) + 제2 레벨 접근형태 점수(1점) + 제3 레벨 접근형태 점수(3점) + 제1 레벨 정보이용행위 점수(0점) + 제2 레벨 정보이용행위 점수(0점) + 제3 레벨 정보이용행위 점수(0점)를 합산하여 개인정보 유출 가능성 점수로 5점을 계산할 수 있다. 이때, 열람은 미리 지정된 개인정보 이용 행위가 아니기 때문에 제1 레벨 정보이용행위 점수, 제2 레벨 정보이용행위 점수 및 제3 레벨 정보이용행위 점수로 모두 0점이 부여될 수 있다.
위험도 산출부(300)는 개인정보 처리 시스템의 자산 규모 및 작업에 대해서 계산된 개인정보 유출 가능성에 기초하여 작업에 대한 위험도를 산출할 수 있다. 즉, 위험도 산출부(300)는 자산 규모 설정부(100)에서 산출된 자산 규모 점수와 개인정보 유출 가능성 계산부(200)에서 계산된 개인정보 유출 가능성 점수를 합산하여 작업에 대한 위험도를 산출할 수 있다.
그리고, 위험도 산출부(300)는 자산 규모 점수와 개인정보 유출 가능성 점수를 합산한 점수가 미리 정해진 복수의 기준 범위 중 어느 기준 범위에 포함되는지에 따라 위험 수준을 결정할 수 있다.
보다 자세하게는, 위험도 산출부(300)는 자산 규모 점수와 개인정보 유출 가능성 점수를 합산하여 총 점수를 산출하고, 산출된 총 점수가 미리 정해진 복수의 기준 범위 중 어느 기준 범위에 포함되는지 판단하여 심각, 경계, 주의, 관심, 정상 단계 중에서 어느 하나의 단계로 위험 수준이 결정될 수 있다. 예를 들어, 위험 수준은 점수에 따라 심각, 경계, 주의, 관심 및 정상 단계로 구분될 수 있는데, 심각 단계는 점수가 대략 20점 이상으로 개인의 신분 및 신상 정보에 대해 악용으로 이어질 수 있는 매우 큰 위험 단계이고, 경계 단계는 대략 15~19점으로 개인의 신분 및 신상 정보에 대해 악용할 수 있는 높은 위험 단계이고, 주의 단계는 대략 10~14점으로 개인의 신분과 신상 정보에 대한 노출 발생 가능성이 있는 주의 단계이고, 관심 단계는 대략 5~9점으로 개인정보를 침해하는 요인의 발생 가능성이 높지 않은 단계이고, 정상 단계는 대략 1~4점으로 개인정보를 침해하는 요인의 발생 가능성이 희박하고 정상적인 업무 처리가 이행되는 단계를 나타낼 수 있다.
기록부(400)는 작업에 대한 로그에 위험도 산출부(300)에서 산출된 위험도를 포함하여 기록할 수 있다.
여기서, 로그는 개인정보 처리 시스템에 접속하여 개인정보 처리자가 작업한 상황이나 작업 내용에 대하여 기록한 정보로, 기록부(400)는 작업에 대한 로그를 기록할 때마다 작업에 대한 위험도를 함께 기록하여 저장할 수 있다. 이때, 작업에 대한 위험도는 점수로 기록되거나 심각, 경계, 주의, 관심, 정상 단계로 기록될 수 있다.
예컨대, 로그에는 제1 작업의 내용(언제, 어디서, 무엇을 작업하였는지와, 접근 ID 또는 IP, 접근 시간) 및 제1 작업의 위험도, 제2 작업의 내용 및 제2 작업의 위험도, 제3 작업의 내용 및 제3 작업의 위험도가 기록될 수 있다.
이와 같이, 개인정보 처리 시스템에 접속하여 이루어진 작업에 대한 로그를 기록할 때마다 위험도를 포함시켜 기록할 수 있기 때문에 개인정보 처리 시스템에 접속하여 이루어진 작업별로 위험도를 산출할 수 있으며, 이에 따라 개인정보의 유출 징후를 집중적으로 감시할 수 있게 된다.
그리고, 개인정보의 유출을 방지함과 함께 내부 관리 계획 등의 수립 시 이를 이용하여 개인정보 대량 유출 위험에 대하여 조기에 대응할 수 있다.
이하에서는 본 발명의 실시예에 따른 개인정보를 모니터링하는 과정에 대하여 설명하도록 한다.
도 2는 본 발명의 실시예에 따른 개인정보 모니터링 과정을 보여주는 동작 흐름도를 나타낸다.
도 2를 참조하면, 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받을 수 있다(S200). 자산 규모는 개인정보 처리 시스템에서 취급하는 개인정보의 양(정량) 및/또는 질(정성)을 반영한 것으로 정의될 수 있다.
보다 자세하게는, 개인정보 처리 시스템을 운영하는 관리자로부터 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형, 개인정보 처리 시스템에서 취급하는 개인정보의 유형, 개인정보 처리 시스템에서 처리하는 개인정보 파일 수에 따른 정보 주체 수 및 개인정보 처리 시스템에서 취급하는 개인정보의 유형의 조합을 각각 설정 받을 수 있다.
그리고, 설정 받은 개인정보 서비스의 유형에 따라 서비스 유형 점수를 부여하고, 설정 받은 개인정보의 유형에 따라 개인정보 유형 점수를 부여하고, 설정 받은 정보 주체 수에 따라 정보 주체 수 점수를 부여하고, 개인정보의 유형의 조합에 따라 개인정보 유형 조합 점수를 부여하고, 부여된 서비스 유형 점수, 개인정보 유형 점수, 정보 주체 수 점수, 개인정보 유형 조합 점수 및 미리 정해진 가중치를 합산하여 자산 규모 점수를 산출할 수 있다.
다음으로, 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산할 수 있다(S210).
보다 자세하게는, 비지정 접근 형태인지 여부에 따라 부여되는 제1 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 부여되는 제2 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 접근형태 점수, 개인정보 이용 행위 여부에 따라 부여되는 제1 레벨 정보이용행위 점수, 개인정보 이용 행위의 종류별로 부여되는 제2 레벨 정보이용행위 점수 및 개인정보 이용 행위의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 정보이용행위 점수를 합산하여 개인정보 유출 가능성 점수를 계산할 수 있다.
개인정보 유출 가능성은 개인정보 처리 시스템에 접속하여 작업하는 개인정보 처리자의 행위에 따라 제1 레벨 접근형태, 제2 레벨 접근형태 및 제3 레벨 접근형태와, 제1 레벨 정보이용행위, 제2 레벨 정보이용행위 및 제3 레벨 정보이용행위로 나누어질 수 있고, 제1 레벨 접근형태, 제2 레벨 접근형태 및 제3 레벨 접근형태에서 각각 나온 점수와, 제1 레벨 정보이용행위, 제2 레벨 정보이용행위 및 제3 레벨 정보이용행위에서 각각 나온 점수를 합산하여 개인정보의 유출 가능성 점수를 계산할 수 있다.
그런 다음, 개인정보 처리 시스템의 자산 규모 및 작업에 대해서 계산된 개인정보 유출 가능성에 기초하여 작업에 대한 위험도를 산출할 수 있다(S220). 즉, 산출된 자산 규모 점수와 개인정보 유출 가능성 계산부(200)에서 계산된 개인정보 유출 가능성 점수를 합산하여 작업에 대한 위험도를 산출할 수 있다.
그리고, 자산 규모 점수와 개인정보 유출 가능성 점수를 합산한 점수가 미리 정해진 복수의 기준 범위 중 어느 기준 범위에 포함되는지에 따라 위험 수준을 결정할 수 있다.
보다 자세하게는, 자산 규모 점수와 개인정보 유출 가능성 점수를 합산하여 총 점수를 산출하고, 산출된 총 점수가 미리 정해진 복수의 기준 범위 중 어느 기준 범위에 포함되는지 판단하여 심각, 경계, 주의, 관심, 정상 단계 중에서 어느 하나의 단계로 위험 수준이 결정될 수 있다.
그 후, 작업에 대한 로그(log)에 산출된 위험도를 포함하여 기록할 수 있다(S230).
여기서, 로그는 개인정보 처리 시스템에 접속하여 개인정보 처리자가 작업한 상황이나 작업 내용에 대하여 기록한 정보로서, 작업에 대한 로그를 기록할 때마다 작업에 대한 위험도를 함께 기록하여 저장할 수 있다. 이때, 작업에 대한 위험도는 점수로 기록되거나 심각, 경계, 주의, 관심, 정상 단계로 기록될 수 있다.
예컨대, 로그에는 제1 작업의 내용(언제, 어디서, 무엇을 작업하였는지와, 접근 ID 또는 IP, 접근 시간) 및 제1 작업의 위험도, 제2 작업의 내용 및 제2 작업의 위험도, 제3 작업의 내용 및 제3 작업의 위험도가 기록될 수 있다.
이와 같이, 개인정보 처리 시스템에 접속하여 이루어진 작업에 대한 로그를 기록할 때마다 위험도를 포함시켜 기록할 수 있기 때문에 개인정보 처리 시스템에 접속하여 이루어진 작업별로 위험도를 산출할 수 있으며, 이에 따라 개인정보의 유출 징후를 집중적으로 감시할 수 있게 된다.
그리고, 개인정보의 유출을 방지함과 함께 내부 관리 계획 등의 수립 시 이를 이용하여 개인정보 대량 유출 위험에 대하여 조기에 대응할 수 있다.
본 발명의 실시예는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터로 읽을 수 있는 매체를 포함한다. 이 매체는 앞서 설명한 개인정보 모니터링 방법을 실행시키기 위한 프로그램을 기록한다. 이 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 이러한 매체의 예에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 자기 매체, CD 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 자기-광 매체, 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치 등이 있다. 또는 이러한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
1: 개인정보 모니터링 시스템
100: 자산 규모 파악부
200: 개인정보 유출 가능성 산출부
300: 위험도 산출부
400: 기록부
100: 자산 규모 파악부
200: 개인정보 유출 가능성 산출부
300: 위험도 산출부
400: 기록부
Claims (14)
- 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 자산 규모 설정부,
상기 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 개인정보 유출 가능성 계산부,
상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 위험도 산출부, 그리고
상기 작업에 대한 로그(log)에 상기 산출된 위험도를 포함하여 기록하는 기록부
를 포함하고,
상기 개인정보 유출 가능성 계산부는,
비지정 접근 형태인지 여부에 따라 부여되는 제1 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 부여되는 제2 레벨 접근형태 점수, 상기 비지정 접근 형태의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 접근형태 점수, 개인정보 이용 행위 여부에 따라 부여되는 제1 레벨 정보이용행위 점수, 상기 개인정보 이용 행위의 종류별로 부여되는 제2 레벨 정보이용행위 점수 및 상기 개인정보 이용 행위의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 정보이용행위 점수를 합산하여 개인정보 유출 가능성 점수를 계산하는 개인정보 모니터링 시스템. - 삭제
- 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 자산 규모 설정부,
상기 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 개인정보 유출 가능성 계산부,
상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 위험도 산출부, 그리고
상기 작업에 대한 로그(log)에 상기 산출된 위험도를 포함하여 기록하는 기록부
를 포함하고,
상기 자산 규모 설정부는,
상기 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형, 상기 개인정보 처리 시스템에서 취급하는 개인정보의 유형, 상기 개인정보 처리 시스템에서 처리하는 개인정보 파일 수에 따른 정보 주체 수 및 상기 개인정보 처리 시스템에서 취급하는 개인정보의 유형의 조합을 각각 설정 받으며, 상기 설정 받은 개인정보 서비스의 유형에 따라 부여되는 서비스 유형 점수, 상기 설정 받은 개인정보의 유형에 따라 부여되는 개인정보 유형 점수, 상기 설정 받은 정보 주체 수에 따라 부여되는 정보 주체 수 점수, 상기 개인정보의 유형의 조합에 따라 부여되는 개인정보 유형 조합 점수 및 미리 정해진 가중치를 합산하여 자산 규모 점수를 산출하는 개인정보 모니터링 시스템. - 제 3 항에서,
상기 개인정보 유출 가능성 계산부는,
비지정 접근 형태인지 여부에 따라 부여되는 제1 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 부여되는 제2 레벨 접근형태 점수, 상기 비지정 접근 형태의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 접근형태 점수, 개인정보 이용 행위 여부에 따라 부여되는 제1 레벨 정보이용행위 점수, 상기 개인정보 이용 행위의 종류별로 부여되는 제2 레벨 정보이용행위 점수 및 상기 개인정보 이용 행위의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 정보이용행위 점수를 합산하여 개인정보 유출 가능성 점수를 계산하는 개인정보 모니터링 시스템. - 제 1 항 또는 제 4 항에서,
상기 비지정 접근 형태의 종류는,
비지정된 맥(Mac) 어드레스의 접근, 비지정된 시간의 접근 및 비지정된 IP 또는 ID의 접근을 포함하고,
상기 개인정보 이용 행위의 종류는,
조회, 출력, 복사 또는 저장 및 전송에 대한 행위를 포함하는 개인정보 모니터링 시스템. - 제 1 항 또는 제 4 항에서
상기 위험도 산출부는,
상기 자산 규모 점수와 상기 개인정보 유출 가능성 점수를 합산하여 상기 작업에 대한 위험도를 산출하는 개인정보 모니터링 시스템. - 제 6 항에서,
상기 위험도 산출부는,
상기 자산 규모 점수와 상기 개인정보 유출 가능성 점수를 합산한 점수가 미리 정해진 복수의 기준 범위 중 어느 기준 범위에 포함되는지에 따라 위험 수준을 결정하는 개인정보 모니터링 시스템. - 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 단계,
상기 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 단계,
상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 단계, 그리고
상기 작업에 대한 로그(log)에 상기 산출된 위험도를 포함하여 기록하는 단계
를 포함하고,
상기 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 단계는,
비지정 접근 형태인지 여부에 따라 부여되는 제1 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 부여되는 제2 레벨 접근형태 점수, 상기 비지정 접근 형태의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 접근형태 점수, 개인정보 이용 행위 여부에 따라 부여되는 제1 레벨 정보이용행위 점수, 상기 개인정보 이용 행위의 종류별로 부여되는 제2 레벨 정보이용행위 점수 및 상기 개인정보 이용 행위의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 정보이용행위 점수를 합산하여 개인정보 유출 가능성 점수를 계산하는 개인정보 모니터링 방법. - 삭제
- 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 단계,
상기 개인정보 처리 시스템에 접속하여 이루어진 작업에 대해서 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 단계,
상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 단계, 그리고
상기 작업에 대한 로그(log)에 상기 산출된 위험도를 포함하여 기록하는 단계를 포함하고,
상기 개인정보 처리 시스템에서 취급하는 개인정보에 대한 자산 규모를 설정 받는 단계는,
상기 개인정보 처리 시스템에서 처리하는 개인정보 서비스의 유형, 상기 개인정보 처리 시스템에서 취급하는 개인정보의 유형, 상기 개인정보 처리 시스템에서 처리하는 개인정보 파일 수에 따른 정보 주체 수 및 상기 개인정보 처리 시스템에서 취급하는 개인정보의 유형의 조합을 각각 설정 받으며,
상기 설정 받은 개인정보 서비스의 유형에 따라 부여되는 서비스 유형 점수, 상기 설정 받은 개인정보의 유형에 따라 부여되는 개인정보 유형 점수, 상기 설정 받은 정보 주체 수에 따라 부여되는 정보 주체 수 점수, 상기 개인정보의 유형의 조합에 따라 부여되는 개인정보 유형 조합 점수 및 미리 정해진 가중치를 합산하여 자산 규모 점수를 산출하는 단계를 더 포함하는 개인정보 모니터링 방법. - 제 10 항에서,
상기 접근 형태 및 개인정보 이용 행위 형태에 따른 개인정보 유출 가능성을 계산하는 단계는,
비지정 접근 형태인지 여부에 따라 부여되는 제1 레벨 접근형태 점수, 비지정 접근 형태의 종류별로 부여되는 제2 레벨 접근형태 점수, 상기 비지정 접근 형태의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 접근형태 점수, 개인정보 이용 행위 여부에 따라 부여되는 제1 레벨 정보이용행위 점수, 상기 개인정보 이용 행위의 종류별로 부여되는 제2 레벨 정보이용행위 점수 및 상기 개인정보 이용 행위의 종류별로 세부적으로 구분하여 부여되는 제3 레벨 정보이용행위 점수를 합산하여 개인정보 유출 가능성 점수를 계산하는 개인정보 모니터링 방법. - 제 8 항 또는 제 11 항에서,
상기 비지정 접근 형태의 종류는,
비지정된 맥(Mac) 어드레스의 접근, 비지정된 시간의 접근 및 비지정된 IP 또는 ID의 접근을 포함하고,
상기 개인정보 이용 행위의 종류는,
조회, 출력, 복사 또는 저장 및 전송에 대한 행위를 포함하는 개인정보 모니터링 방법. - 제 8 항 또는 제 11 항에서
상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 단계는,
상기 자산 규모 점수와 상기 개인정보 유출 가능성 점수를 합산하여 상기 작업에 대한 위험도를 산출하는 개인정보 모니터링 방법. - 제 13 항에서,
상기 개인정보 처리 시스템의 자산 규모 및 상기 작업에 대해서 계산된 상기 개인정보 유출 가능성에 기초하여 상기 작업에 대한 위험도를 산출하는 단계는,
상기 자산 규모 점수와 상기 개인정보 유출 가능성 점수를 합산한 점수가 미리 정해진 복수의 기준 범위 중 어느 기준 범위에 포함되는지에 따라 위험 수준을 결정하는 개인정보 모니터링 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150125483A KR101663288B1 (ko) | 2015-09-04 | 2015-09-04 | 개인정보 모니터링 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150125483A KR101663288B1 (ko) | 2015-09-04 | 2015-09-04 | 개인정보 모니터링 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101663288B1 true KR101663288B1 (ko) | 2016-10-07 |
Family
ID=57145294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150125483A KR101663288B1 (ko) | 2015-09-04 | 2015-09-04 | 개인정보 모니터링 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101663288B1 (ko) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019017550A1 (ko) * | 2017-07-19 | 2019-01-24 | 주식회사 삼오씨엔에스 | 개인정보 보안제품 통합관제 시스템 및 방법 |
| KR101933712B1 (ko) * | 2017-07-19 | 2019-04-05 | 주식회사 삼오씨엔에스 | 개인정보 보안제품 통합관제 방법 |
| KR20200074772A (ko) * | 2018-12-17 | 2020-06-25 | 부산대학교 산학협력단 | 한글 형태소 분석 기반 회원가입 정보 자동 수집 및 개인정보 영향 평가 시스템 및 방법 |
| KR20200141115A (ko) * | 2019-06-10 | 2020-12-18 | 제이제이소프트 주식회사 | 금융사기를 방지하는 방법 및 그를 이용한 서버 |
| KR102357935B1 (ko) * | 2021-07-05 | 2022-02-08 | 주식회사 데이타스 | 가명정보 처리 및 재식별 가능성 평가 시스템 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020003309A (ko) | 2001-07-24 | 2002-01-12 | 황인수 | 개인정보 누출 방지 및 상업적 목적의 회원 정보 통합관리시스템 |
| KR20100088861A (ko) * | 2009-02-02 | 2010-08-11 | 주식회사 유섹 | 컨택센터 고객의 개인정보 보호 방법 및 그 시스템 |
| KR20120056719A (ko) * | 2010-11-25 | 2012-06-04 | (주) 키스피 | 개인정보 위험도 산정을 통한 개인정보 종합관리 장치 및 방법 |
| KR101478233B1 (ko) * | 2014-08-01 | 2015-01-06 | (주)세이퍼존 | 적응형 빅데이타 처리 기반 업무자 평가 시스템 |
| KR20150009798A (ko) * | 2013-07-17 | 2015-01-27 | 채중석 | 개인 정보 상시 감시 시스템 및 그 상시 감시 방법 |
-
2015
- 2015-09-04 KR KR1020150125483A patent/KR101663288B1/ko active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020003309A (ko) | 2001-07-24 | 2002-01-12 | 황인수 | 개인정보 누출 방지 및 상업적 목적의 회원 정보 통합관리시스템 |
| KR20100088861A (ko) * | 2009-02-02 | 2010-08-11 | 주식회사 유섹 | 컨택센터 고객의 개인정보 보호 방법 및 그 시스템 |
| KR20120056719A (ko) * | 2010-11-25 | 2012-06-04 | (주) 키스피 | 개인정보 위험도 산정을 통한 개인정보 종합관리 장치 및 방법 |
| KR20150009798A (ko) * | 2013-07-17 | 2015-01-27 | 채중석 | 개인 정보 상시 감시 시스템 및 그 상시 감시 방법 |
| KR101478233B1 (ko) * | 2014-08-01 | 2015-01-06 | (주)세이퍼존 | 적응형 빅데이타 처리 기반 업무자 평가 시스템 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019017550A1 (ko) * | 2017-07-19 | 2019-01-24 | 주식회사 삼오씨엔에스 | 개인정보 보안제품 통합관제 시스템 및 방법 |
| KR101933712B1 (ko) * | 2017-07-19 | 2019-04-05 | 주식회사 삼오씨엔에스 | 개인정보 보안제품 통합관제 방법 |
| KR20200074772A (ko) * | 2018-12-17 | 2020-06-25 | 부산대학교 산학협력단 | 한글 형태소 분석 기반 회원가입 정보 자동 수집 및 개인정보 영향 평가 시스템 및 방법 |
| KR102183192B1 (ko) * | 2018-12-17 | 2020-11-25 | 부산대학교 산학협력단 | 한글 형태소 분석 기반 회원가입 정보 자동 수집 및 개인정보 영향 평가 시스템 및 방법 |
| KR20200141115A (ko) * | 2019-06-10 | 2020-12-18 | 제이제이소프트 주식회사 | 금융사기를 방지하는 방법 및 그를 이용한 서버 |
| KR102239558B1 (ko) * | 2019-06-10 | 2021-04-12 | 제이제이소프트 주식회사 | 금융사기를 방지하는 방법 및 그를 이용한 서버 |
| KR102357935B1 (ko) * | 2021-07-05 | 2022-02-08 | 주식회사 데이타스 | 가명정보 처리 및 재식별 가능성 평가 시스템 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11411980B2 (en) | Insider threat management | |
| Kim et al. | Data governance framework for big data implementation with NPS Case Analysis in Korea | |
| US10735455B2 (en) | System for anonymously detecting and blocking threats within a telecommunications network | |
| US10282702B2 (en) | Dynamic employee security risk scoring | |
| KR101663288B1 (ko) | 개인정보 모니터링 시스템 및 방법 | |
| US20200394327A1 (en) | Data security compliance for mobile device applications | |
| US8819009B2 (en) | Automatic social graph calculation | |
| US7805415B1 (en) | Systems and methods for sharing data between entities | |
| US20210044613A1 (en) | Network resource implementation prioritization | |
| Kim et al. | Data governance framework for big data implementation with a case of Korea | |
| US20240005012A1 (en) | Privacy score | |
| WO2016122638A1 (en) | Collaborative security lists | |
| US10754984B2 (en) | Privacy preservation while sharing security information | |
| KR101006413B1 (ko) | 컨택센터 고객의 개인정보 보호 방법 및 그 시스템 | |
| CN116827697B (zh) | 网络攻击事件的推送方法、电子设备及存储介质 | |
| Ozedirne | Fourth Amendment Particularity in the Cloud | |
| Miller et al. | Balancing security and privacy in the digital workplace | |
| US11651313B1 (en) | Insider threat detection using access behavior analysis | |
| Barnhill | Cloud Computing and Stored Communications: Another Look at Quon v. Arch Wireless | |
| CN116305038A (zh) | 一种基于用户画像的账号安全监测方法、装置及电子设备 | |
| Mascetti et al. | EPIC: a methodology for evaluating privacy violation risk in cybersecurity systems | |
| US20090234827A1 (en) | Citizenship fraud targeting system | |
| CN114066624A (zh) | 基于图计算的黑名单关联图谱挖掘方法及系统 | |
| Metoui | Privacy-aware risk-based access control systems | |
| O’Regan | Ethics and privacy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20190917 Year of fee payment: 6 |