KR20240036218A - 개인정보 접속기록 관리 방법 및 장치 - Google Patents
개인정보 접속기록 관리 방법 및 장치 Download PDFInfo
- Publication number
- KR20240036218A KR20240036218A KR1020220114714A KR20220114714A KR20240036218A KR 20240036218 A KR20240036218 A KR 20240036218A KR 1020220114714 A KR1020220114714 A KR 1020220114714A KR 20220114714 A KR20220114714 A KR 20220114714A KR 20240036218 A KR20240036218 A KR 20240036218A
- Authority
- KR
- South Korea
- Prior art keywords
- personal information
- access
- information
- risk index
- access record
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 23
- 238000007726 management method Methods 0.000 claims abstract description 52
- 238000004458 analytical method Methods 0.000 claims abstract description 21
- 230000004044 response Effects 0.000 claims description 31
- 230000008859 change Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 16
- 230000014509 gene expression Effects 0.000 claims description 8
- 230000000873 masking effect Effects 0.000 claims description 7
- 238000005070 sampling Methods 0.000 claims description 5
- 230000004075 alteration Effects 0.000 claims description 4
- 230000009471 action Effects 0.000 claims description 2
- 238000012790 confirmation Methods 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 description 21
- 238000012795 verification Methods 0.000 description 16
- 235000014510 cooky Nutrition 0.000 description 8
- 238000012217 deletion Methods 0.000 description 7
- 230000037430 deletion Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 208000024891 symptom Diseases 0.000 description 3
- 230000003442 weekly effect Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 229940004975 interceptor Drugs 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 웹 응용 서버의 기존 소스를 수정하지 않으면서도 웹 응용 서버에서 DB 서버의 개인정보에 접속하고자 할 경우에 개인정보 접속 사유를 받아 관리하고 접근을 통제할 수 있는 개인정보 접속기록 관리 방법 및 장치을 개시한다.
개시된 개인정보 접속기록 관리 장치는, 접속로그를 수집하는 프라이버시 로깅 에이전트와, 데이터 수신부와, 데이터 수신부로부터 웹 접속 계정에 대한 실제 정보 사용자의 정보를 가져와 육하원칙에 근거하여 표준화된 개인정보 접속기록을 생성하는 접속기록 표준화부와, 개인정보의 스키마, 테이블, 컬럼 정보를 분석하여 개인정보 식별 판단처리시 사용할 수 있도록 데이터 맵을 구성하는 개인정보 탐색부와, 개인정보 탐색부로부터 개인정보 스키마, 테이블, 컬럼 정보를 가져오고, 접속기록 표준화부로부터 표준화된 접속기록을 가져와 개인정보를 식별하고, 위험지수를 산출하는 개인정보 분석부와, 정보 사용자별로 개인정보 접속에 대한 접근을 제어하는 권한을 부여하는 정보 사용자 권한 관리부와, 개인정보 파일 다운로드로 판별된 경우, 웹 접속 계정의 설정된 권한과 위험지수를 비교하여 해당 요청 파일에 대한 다운로드 행위의 허용 여부를 판단하는 개인정보 파일 다운로드 제어부를 포함한다.
개시된 개인정보 접속기록 관리 장치는, 접속로그를 수집하는 프라이버시 로깅 에이전트와, 데이터 수신부와, 데이터 수신부로부터 웹 접속 계정에 대한 실제 정보 사용자의 정보를 가져와 육하원칙에 근거하여 표준화된 개인정보 접속기록을 생성하는 접속기록 표준화부와, 개인정보의 스키마, 테이블, 컬럼 정보를 분석하여 개인정보 식별 판단처리시 사용할 수 있도록 데이터 맵을 구성하는 개인정보 탐색부와, 개인정보 탐색부로부터 개인정보 스키마, 테이블, 컬럼 정보를 가져오고, 접속기록 표준화부로부터 표준화된 접속기록을 가져와 개인정보를 식별하고, 위험지수를 산출하는 개인정보 분석부와, 정보 사용자별로 개인정보 접속에 대한 접근을 제어하는 권한을 부여하는 정보 사용자 권한 관리부와, 개인정보 파일 다운로드로 판별된 경우, 웹 접속 계정의 설정된 권한과 위험지수를 비교하여 해당 요청 파일에 대한 다운로드 행위의 허용 여부를 판단하는 개인정보 파일 다운로드 제어부를 포함한다.
Description
본 발명은 개인정보 접속기록을 관리하는 기술에 관한 것으로, 더욱 상세하게는 웹 응용 서버의 기존 소스를 수정하지 않으면서도 웹 응용 서버에서 DB 서버의 개인정보에 접속하고자 할 경우에 개인정보 접속 사유를 받아 관리하고 접근을 통제할 수 있는 개인정보 접속기록 관리 방법 및 장치에 관한 것이다.
일반적으로, 개인정보란 성명, 주민등록번호 및 영상 등을 통해 살아 있는 개인을 알아볼 수 있는 정보로서 해당 정보만으로는 특정 개인을 알아볼 수 없다하더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보까지를 포함하는 것으로 정의하고 있다. 이러한 개인정보의 종류로는 개인의 성명, 주민등록번호 등 인적 사항에서부터 사회·경제적 지위와 상태, 교육, 건강 및 의료, 재산, 문화 활동 및 정치적 성향과 같은 내면의 비밀에 이르기까지 그 종류가 매우 다양하고, 사업자의 서비스에 이용자(고객)가 직접 회원으로 가입하거나 등록할 때 사업자에게 제공하는 정보뿐만 아니라, 이용자가 서비스를 이용하는 과정에서 생성되는 통화내역, 로그기록, 구매내역 등도 개인정보가 될 수 있다.
기업과 공공기관 등은 개인정보 보호법에 의한 개인정보 접속기록 관리 방안으로 내부 개인정보 취급자의 개인정보 파일 다운로드 대한 증적 자료를 수집하여 2년간 보관하고, 개인정보 사용에 대한 소명(사유)을 입력받아 관리하도록 되어 있다. 여기서, "접속기록"이란 개인정보 취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보(접속한 자의 PC, 모바일기기 등 단말기 정보 또는 서버의 IP주소 등), 처리한 정보주체 정보, 수행업무(수집, 생성, 연계, 연동, 기록, 저장, 보유 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 등) 등을 전자적으로 기록한 것을 말한다.
대한민국 특허청 등록특허공보(B1)에 등록번호 제10-1528437호(특허문헌 1)로 공고된 "개인정보 접속 기록 탐지 장치 및 개인정보 접속 기록 탐지 방법"은 로그인을 요청한 식별자에 대한 제1 접속시각과, 제1 접속시각에서 가장 가까운 직전 로그인의 제2 접속시각을 확인하는 단계와, 사용된 네트워크 주소에 기초하여 로그인이 이루어진 제1 접속지역과 직전 로그인이 이루어진 제2 접속지역을 추출하는 단계, 제1 및 제2 접속지역 사이의 이격 거리를, 제1 및 제2 접속시각 간의 시간격으로 나눈 결과값과, 선정된 임계속도를 제1 비교하는 단계 및 제1 비교 결과, 결과값이 임계속도를 초과하는 경우, 식별자가 부정 사용과 관련되는 것으로 탐지하는 것이다.
또한 등록번호 제10-2013415호(특허문헌 2)로 공고된 "개인정보 접속기록 무결성 검증시스템 및 검증 방법"은 초기 정보교환을 위하여, 통합관리 서버와 접속기록 검증값 저장 서버는 서로의 공개키를 공유하고 검증값을 도출하기 위해 필요한 비밀키를 생성하여 전송하고, 검증값 생성을 위해, 통합관리 서버는 개인정보처리시스템으로부터 생성된 모든 로그 데이터를 주기적으로 수집하고, 수집된 로그 데이터 중에서 개인정보 접속기록에 해당하는 로그 데이터만을 추출한 후, 개별 검증값 및 한 수집 주기에 생성된 개별 검증값들을 하나의 값으로 검증할 수 있는 통합 검증값을 생성하고, 생성된 개별 검증값 및 통합 검증값을 접속기록 검증값 저장 서버로 전송하고, 무결성 검증을 위해, 통합관리 서버는 스스로 개별 검증값및 통합 검증값을 생성한 후, 접속기록 검증값 저장 서버로부터 전송받은 검증값과 비교하여 일치하면 무결성이 있는 것으로 판단하는 것이다.
내부 개인정보 취급자는 일반적으로 사내 업무 시스템인 웹 응용 서버에서 개인정보을 취급하게 되므로 웹 응용 서버에 접속하여 개인정보 파일 다운로드 시, 이를 자동으로 감지하고 그 사유를 받을 수 있으며 또한 추가적으로 접근을 통제할 수 있는 방법을 웹 응용 서버의 기존 소스를 수정하지 않고 구현하는 것이 필요하다.
본 발명은 이러한 요구사항을 충족하기 위해 제안된 것으로, 본 발명이 해결하고자 하는 과제는 웹 응용 서버의 기존 소스를 수정하지 않으면서도 웹 응용 서버에서 DB 서버의 개인정보에 접속하고자 할 경우에 개인정보 접속 사유를 받아 관리하고 접근을 통제할 수 있는 개인정보 접속기록 관리 방법 및 장치를 제공하는 것이다.
본 발명의 실시예는 개인정보 접속기록 관리 장치를 개시한다.
개시된 개인정보 접속기록 관리 장치는, 정보 사용자의 HTTP 요청 및 응답에 대한 모든 접속기록을 수집하고, 계정에따라 HTTP 응답 데이터를 통제하는 프라이버시 로깅 에이전트와, 상기 프라이버시 로깅 에이전트로부터 수집된 개인정보 접속기록을 수신받아 저장하는 접속기록 데이터 수신부와, 상기 접속기록 데이터 수신부로부터 웹 접속 계정에 대한 실제 정보 사용자의 정보를 가져와 육하원칙에 근거하여 표준화된 개인정보 접속기록을 생성하여 저장하는 접속기록 표준화부와, 웹 응용 서버가 사용하는 데이터베이스(DBMS)에 저장된 개인정보를 탐색하고, 해당 개인정보의 스키마, 테이블, 컬럼 정보를 분석하여 개인정보 식별 판단처리시 사용할 수 있도록 데이터 맵을 구성하는 개인정보 탐색부와, 상기 개인정보 탐색부로부터 개인정보 스키마, 테이블, 컬럼 정보를 가져오고, 상기 접속기록 표준화부로부터 육하원칙에 따른 표준화된 접속기록을 가져와 개인정보를 식별하고, 개인정보 오남용과 유출 및 변경을 판단하기 위한 위험지수를 산출하는 개인정보 분석부와, 개인정보 유출 및 오남용을 방지하기 위해 정보 사용자별로 개인정보 접속에 대한 접근을 제어하는 권한을 부여하는 정보 사용자 권한 관리부와, 개인정보 파일 다운로드로 판별된 경우, 웹 접속 계정의 설정된 권한과 상기 위험지수를 비교하여 해당 요청 파일에 대한 다운로드 행위의 허용 여부를 판단하는 개인정보 파일 다운로드 제어부를 포함한다.
상기 개인정보 접속기록 관리 장치는 상기 위험지수가 소정치 이상일 경우, 해당 계정의 개인정보 접근에 대한 소명을 요청하고, 입력된 소명을 기록하는 개인정보 접속 소명 처리부를 더 포함할 수 있다.
상기 프라이버시 로깅 에이전트는 웹 응용 서버에서 플러그인 방식으로 동작하면서 각 정보 사용자의 권한 및 설정값을 기준으로 해당 요청의 개인정보에 대한 개인정보 분석부의 위험지수를 비교하여 개인정보 자동 마스킹 또는 개인정보 초과 사용이라는 응답을 제공하는 것이다.
상기 개인정보 분석부는 개인정보 유형, 개인정보 유형별 사용 건수, 접속시간, 휴가 또는 휴일, 개인정보 사용 권한, 미등록 IP에 근거하여 위험지수를 산출하는 것이다.
또한 본 발명의 다른 실시예는 개인정보 접속기록 관리 방법을 개시한다.
개시된 개인정보 접속기록 관리 방법은, 개인정보 유출 및 오남용을 방지하기 위해 정보 사용자별로 개인정보 접속에 대한 권한을 설정하는 단계와, 데이터베이스(DBMS)에 저장된 개인정보를 탐색하고, 해당 개인정보의 스키마, 테이블, 컬럼 정보를 분석하여 개인정보 식별 판단처리시 사용할 수 있도록 데이터 맵을 구성하는 단계와, 웹 브라우저로부터 개인정보 접속이나 개인정보 파일 다운로드를 요청받는 단계와, 정보 사용자의 HTTP 요청 및 응답에 대한 모든 접속기록을 수집하는 단계와, 수집된 접속기록에서 육하원칙에 근거하여 표준화된 개인정보 접속기록을 생성하는 단계와, 상기 데이터 맵으로부터 개인정보의 스키마, 테이블, 컬럼 정보를 가져오고, 육하원칙에 따른 표준화된 개인정보 접속기록을 가져와 개인정보를 식별하고, 개인정보 오남용과 유출 및 변경을 판단하기 위한 위험지수를 산출하는 단계와, 산출된 위험지수 값이 소정치 이상이면, 소명을 요청하고 입력된 소명을 저장하는 단계와, 정보 사용자의 HTTP 요청이 개인정보 접속 요청이면 해당 계정의 위험지수에 따라 응답하고, 개인정보 파일 다운로드 요청이면, 해당 계정의 위험지수에 따라 HTTP Redirection으로 응답하는 단계를 포함한다.
본 발명의 실시예에 따르면, 기업이나 공공기관 등에서 웹 응용 서버와 데이터베이스에 저장된 개인정보를 이용하여 이미 웹 서비스를 제공하고 있는 경우에 웹 응용 서버의 기존 소스를 수정하지 않으면서도 개인정보 보호법에서 요구하는 다양한 지침들(예컨데, 접속로그 기록 및 소명기록 관리 등)을 저비용으로 충족시킬 수 있는 효과가 있다.
또한 본 발명의 실시예에 따르면 개인정보를 단순히 열람하거나 기록하는 경우와 개인정보 파일을 다운로드하는 경우를 구분하여 개인정보 파일을 다운로드할 경우에는 별도의 개인정보 접속기록 관리 및 통제서버에서 이를 통제하도록 하여 보다 엄격한 절차를 통해 개인정보 보호를 강화시킬 수 있다.
그리고 본 발명의 실시예에 따르면, 개인정보 접속로그를 표준화된 방식으로 기록하여 관리할 수 있고, 접속로그를 분석하여 개인정보일 경우 개인정보 유형, 개인정보 유형별 사용 건수, 접속시간, 개인정보 사용 권한 등과 같은 다양한 요소들에 근거하여 위험지수를 정확하게 산출한 후 정보 사용자의 권한에 따라 개인정보 접근을 다양한 방식으로 통제함으로써 효율적으로 서비스를 운영할 수 있다.
도 1은 본 발명의 실시예에 따른 개인정보 접속 기록 관리 시스템의 전체 구성을 도시한 개략도,
도 2는 본 발명의 실시예에 따른 프라이버시 로깅 에이전트의 동작 순서도,
도 3은 본 발명의 실시예에 따른 개인정보 탐색부의 동작 순서도,
도 4는 본 발명의 실시예에 따른 정보사용자 권한 관리부의 동작 순서도,
도 5는 본 발명의 실시예에 따른 접속기록 표준화부의 동작 순서도,
도 6은 본 발명의 실시예에 따른 개인정보 분석부의 동작 순서도,
도 7은 본 발명의 실시예에 따른 개인정보 분석부의 위험지수 산출 절차를 도시한 순서도,
도 8은 본 발명의 실시예에 따른 다운로드 제어부의 동작 순서도,
도 9는 본 발명의 실시예에 따른 소명 처리부의 동작 순서도이다.
도 2는 본 발명의 실시예에 따른 프라이버시 로깅 에이전트의 동작 순서도,
도 3은 본 발명의 실시예에 따른 개인정보 탐색부의 동작 순서도,
도 4는 본 발명의 실시예에 따른 정보사용자 권한 관리부의 동작 순서도,
도 5는 본 발명의 실시예에 따른 접속기록 표준화부의 동작 순서도,
도 6은 본 발명의 실시예에 따른 개인정보 분석부의 동작 순서도,
도 7은 본 발명의 실시예에 따른 개인정보 분석부의 위험지수 산출 절차를 도시한 순서도,
도 8은 본 발명의 실시예에 따른 다운로드 제어부의 동작 순서도,
도 9는 본 발명의 실시예에 따른 소명 처리부의 동작 순서도이다.
본 발명과 본 발명의 실시에 의해 달성되는 기술적 과제는 다음에서 설명하는 본 발명의 바람직한 실시예들에 의하여 보다 명확해질 것이다. 다음의 실시예들은 단지 본 발명을 설명하기 위하여 예시된 것에 불과하며, 본 발명의 범위를 제한하기 위한 것은 아니다.
도 1은 본 발명의 실시예에 따른 개인정보 접속 기록 관리 시스템의 전체 구성을 도시한 개략도이다.
도 1을 참조하면, 정보 사용자 단말기(10), 웹 응용 서버(20;WAS), 개인정보(32)가 저장된 데이터베이스시스템(30;DBMS)을 포함하는 기업이나 공공기관의 웹 서비스 시스템에서 개인정보 취급자와 같은 정보 사용자는 정보 사용자 단말기(10)를 통해 웹 응용 서버(20)에 로그인한 후, 데이터베이스(30)의 개인정보(32)에 접근하여 소정의 업무를 수행할 수 있도록 되어 있다. 정보 사용자 단말기(10)에는 웹 브라우저가 탑재되어 웹 응용 서버(20)에 HTTP Request나 HTTP 파일다운로드 요청을 수행할 수 있고, 웹 응용 서버(20)에는 HTTP Filter(22)와 DB Driver(24)가 포함되어 있다.
이러한 웹 서비스 시스템에서 각 단말기에 탑재된 웹 브라우저가 데이터베이스의 개인정보(32)에 접근할 경우, 기업이나 공공기관은 개인정보 보호법에 따라 개인정보 취급자와 같은 정보 사용자의 개인정보 접속 로그를 기록하고 관리해야 한다.
본 발명의 실시예에 따른 개인정보 접속기록 관리 시스템(100)은 이와 같은 기업이나 공공기관 등의 요구를 충족시키기 위해 웹 응용 서버(20)에 프라이버시 로깅 에이전트(110)를 플러그인 방식으로 설치한 후 접속기록을 실시간으로 입력받아 개인정보 접속 로그를 기록함과 아울러 개인정보 접속 사유(소명)를 입력받아 기록하며, 개인정보 접속 행태를 분석하여 위험도에 따라 개인정보 접근을 통제할 수 있도록 한다.
이를 위해 본 발명의 실시예에 따른 개인정보 접속기록 관리 시스템(100)은 도 1에 도시된 바와 같이, 웹 응용 서버(20)에 플러그인 빙식으로 설치된 프라이버시 로깅 에이전트(110)와, 개인정보 접속기록 관리 및 통제서버(102)에 구현된 데이터 수신부(120), 접속기록 표준화부(130), 정보 사용자 권한 관리부(140), 개인정보 탐색부(150), 개인정보 분석부(160), 소명 처리부(170), 다운로드 제어부(180), 웹 인터페이스(190)로 구성되고, 접속기록 관리자(104)는 접속기록 관리 및 통제서버(102)에 접속하여 접속기록 관리 시스템(100)을 운영할 수 있도록 되어 있다.
다시 도 1을 참조하면, 정보 사용자 단말기(10)에 탑재된 웹 브라우저가 실행된 후 웹 응용 서버(20)에 접속하여 로그인한 후 웹 URL을 요청한다. 웹 응용 서버(20)는 웹 URL 요청이 'HTTP Request'이면 개인정보 권한이 적용된 응답을 하고, 웹 브라우저 화면을 출력한다. 만일, 웹 URL 요청이 'HTTP 파일 다운로드 요청'이면 웹 응용 서버(20)의 HTTP Filter(22)는 접속기록 관리 및 통제 서버(102)측으로 'HTTP Redirection'하여 개인정보 권한이 적용된 파일 다운로드를 실행하여 파일을 저장할 수 있게 한다.
프라이버시 로깅 에이전트(110)는 웹 응용 서버(20)에 Plug-in 방식으로 설치되어 접속기록 데이터를 수집하고 통제하는 역할을 수행한다. 즉, 프라이버시 로깅 에이전트(110)는 정보 사용자의 웹 브라우저를 통해 접수된 요청이 HTTP Request이면 요청 및 응답에 대한 모든 접속기록을 수집하고, 로그인 계정에 따라 HTTP Response 데이터 통제를 수행하며, HTTP 파일다운로드 요청이면 Redirection으로 응답하여 정보 사용자(10)가 개인정보 접속기록 관리 및 통제서버(102)의 웹 인터페이스(190)로 접속하게 한다.
정보 사용자가 웹 응용 서버(20)에 접속한 모든 접속기록(HTTP Request + Response + 실행SQL)은 프라이버시 로깅 에이전트(110)에 의해 수집되어 개인정보 접속기록 관리 및 통제 서버(102)로 실시간 전송되고, 개인정보 접속기록 관리 및 통제 서버(102)는 해당 정보 사용자의 개인정보 접속내용을 분석하여 위험지수를 산출한 후 프라이버시 로깅 에이전트(110)로 전송하며, 이에 따라 프라이버시 로깅 에이전트(110)는 해당 정보 사용자의 권한과 위험지수에 따라 개인정보 자동 마스킹 또는 개인정보 초과사용이라는 HTTP Response 결과를 제공하여 권한별 통제를 수행한다.
개인정보 접속기록 관리 및 통제 서버(102)의 웹 인터페이스(190)는 WAS 개인정보 접속 관리 및 통제, 외부 인터페이스 기능(HTTP Request/Response), 개인정보 파일 다운로드 기능을 제공하며, 접속기록 관리자 단말기(104)에 관리자 화면 인터페이스를 제공한다. 즉, 웹 인터페이스부(190)는 웹 요청을 대기하다가 관리자 운영 요청이면, 관리자 운영 요청을 처리하고, 개인정보 파일 다운로드 요청이면 다운로드 제어부(180)의 제어를 참조하여 개인정보 파일 다운로드 Redirection을 처리한다.
접속기록 데이터 수신부(120)는 Privacy Logging Agent(110)로부터 수집된 개인정보 접속기록(HTTP Request + Response)의 모든 정보 데이터를 TCP/IP 통신으로 수신받아 레포지토리에 저장한다.
접속기록 표준화부(130)는 데이터 수신부(120)로부터 접속기록을 입력받아 웹 접속 계정에 대한 실제 정보 사용자 정보를 가져와 육하원칙(5W1H)에 따라 표준화된 개인정보 접속 기록을 생성하여 레포지토리에 저장한다.
정보 사용자 권한 관리부(140)는 개인정보의 유출 및 오남용을 방지하기 위해 정보 사용자별로 개인정보 접속에 대한 접근제어 등급(권한)을 1 내지 5 단계의 레벨로 설정하여 관리한다.
개인정보 탐색부(150)는 웹 응용 서버(20)가 사용하는 DBMS(30)에 저장된 고유식별, 민감정보와 같은 개인정보를 사전에 탐색하고, 해당 개인정보의 스키마, 테이블 컬럼 정보를 위험도 분석모듈의 개인정보 식별 판단처리시 사용할 수 있도록 데이터 맵을 구성한다.
개인정보 분석부(160)는 개인정보 탐색부(150)로부터 개인정보 스키마, 테이블, 컬럼 정보를 가져오고, 접속기록 표준화부(130)로부터 육하원칙에 따른 표준화된 접속기록을 가져와 개인정보를 식별하고, 개인정보 오남용과 유출 및 변경을 판단하기 위한 위험지수를 산출한다.
소명 처리부(170)는 위험지수가 소정치 이상일 경우, 해당 계정의 개인정보 접근에 대한 소명을 요청하고, 입력된 소명을 기록하여 관리한다.
다운로드 제어부(180)는 개인정보 파일 다운로드로 판별된 경우, 웹 접속 계정의 접근제어 등급과 위험지수를 비교하여 해당 요청 파일에 대한 다운로드 행위의 허용 여부를 판단한다.
도 2는 본 발명의 실시예에 따른 프라이버시 로깅 에이전트의 동작 순서도이다.
도 2를 참조하면, 프라이버시 로깅 에이전트(110)가 웹 응용 서버(20)에 설치되면 플러그-인 방식으로 동작하면서 HTTP Request 필터와 HTTP Response 필터를 설정한다(S101~S103). 이어 DBMS Driver Interceptor를 설정한다(S104).
또한 로그인 ID 추출 방법을 설정하고, 정보 사용자 권한 관리부(140)로부터 접속 계정별 권한정보를 가져와 데이터 맵을 생성하고, 개인정보 탐색부(150)로부터 개인정보 데이터베이스에서 스키마, 테이블, 컬럼 정보를 가져온다(S105~S107).
이후 HTTP Request 수신을 대기한다.
HTTP Request가 수신되면, HTTP Session 정보를 추출하여 세션 정보 데이터 맵에 저장한다(S108).
HTTP Session이 로그인 페이지이면 로그인 ID 객체로부터 접속 ID를 추출한 후 SQL 실행을 모니터링하고, 로그인 페이지가 아니면 바로 SQL 실행을 모니터링한다(S109,S110). HTTP Session에 포함된 HTTP 수집정보로는 URL 주소, Client ID, 쿠키, 접속시간, 요청 파라메트 등이 있다.
이후 SQL 실행이 감지되면, SQL 실행 쿼리를 수집하고, SQL Return ROW를 수집한다(S111~S113).
SQL 실행이 아니거나 SQL 데이터 수집 후, HTTP Response Interceptor를 보고 파일 다운로드이면, 파일 아이디(ID)와 로그인 아이디(ID)로 다운로드 쿠키를 발급하고, "HTTP Request + Response + 다운로드 쿠키"를 접속기록 관리 및 통제 서버(102)로 전송한다(S114~S117).
이어 Response에 다운로드 쿠키를 추가하여 HTTP Response Redirection 응답 처리로 변경한 후, HTTP Response Redirection으로 응답하여 접속기록 관리 및 통제 서버(102)로 접속하게 한 후 다시 웹 응용 서버(20)에서 HTTP Request 수신을 대기한다(S118,S119).
파일 다운로드가 아니면, HTTP Request + Response 정보를 저장함과 아울러 접속기록 관리 및 통제 서버(102)로 전송하고, HTTP Response 응답 데이터에서 개인정보를 검출한다(S120,S121).
만일, 개인정보가 검출되면, 개인정보 분석부(160)에서 개인정보를 분석하게 하여 위험지수를 산출하게 하고, 위험 지수 값에 따라 접속 해제, 개인정보 마스킹 등의 통제를 실행하고, HTTP Response 마스킹 또는 통제 응답으로 변경한 후 웹 브라우저로 HTTP Response를 전송하며, 다시 HTTP Request 수신을 대기한다(S122~S126).
개인정보가 검출되지 않으면, 바로 웹 브라우저로 HTTP Response를 전송하고, 다시 HTTP Request 수신을 대기한다(S122,S126).
이와 같이 본 발명의 실시예에서는 정보 사용자가 개인정보 파일을 다운로드하고자 할 경우에는 Redirection을 통해 웹 응용 서버(20)가 아닌 접속기록 관리 및 통제 서버(102)가 개인정보 파일 다운로드를 관리하여 보다 엄격하게 개인정보파일을 관리할 수 있다.
도 3은 본 발명의 실시예에 따른 개인정보 탐색부의 동작 순서도이다.
도 3을 참조하면, 개인정보 탐색부(150)는 리포지터리(Repository)로부터 데이터베이스 접속정보, 샘플링 건수, 개인정보 식별 정규식, 개인정보 확정 빈도 등 개인정보 탐색 정책을 가져온 후 데이터베이스(30)에 접속하여 스키마, 테이블, 컬럼, 뷰, 프로시져, 함수 등과 같은 데이터베이스 메타정보를 수집한다(S201~S203).
이후 탐색대상 데이터 DB에서 샘플링 건수 만큼 가져와 개인정보 식별 정규식을 활용하여 개인정보 유형을 판별한다(S204,S205).
이어 개인정보로 식별되면, 주민번호, 계좌번호, 신용카드 등 체크섬 계산을 통해 식별 정보를 체크하여 해당 컬럼의 개인정보 샘플링 건수 대비 출현 빈도를 백분률(100%)로 계산한다(S206~S208).
계산결과, 현재 계산 빈도가 판정 빈도 이상이면, 식별된 개인정보의 스키마, 테이블, 컬럼 및 개인정보 데이터를 리포지토리에 저장하고, 탐색대상 데이터 DB에서 샘플링을 가져와 이상의 과정을 반복한다(S209,S210).
이와 같이 개인정보 탐색부(150)는 개인정보 탐색정책에 따라 주민번호, 계좌번호, 신용카드 등 체크섬 계산을 통한 식별 정보를 체크하여 해당 컬럼의 개인정보 샘플링 건수 대비 출현 빈도를 백분률(100%)로 계산한 결과, 계산 값이 소정 빈도값 이상인 경우 개인정보로 판단하여 개인정보 데이터를 추출하여 저장한다.
도 4는 본 발명의 실시예에 따른 정보 사용자 권한 관리부의 동작 순서도이다.
도 4를 참조하면, 정보 사용자 권한 관리부(140)는 리포지토리(Repository)로부터 웹 접속 계정과 권한 정보를 가져와 이벤트를 대기한다(S301,S302).
권한 정보 변경 이벤트가 발생되면, 권한 정보 동기화를 수행하고, 변경 권한 정보를 프라이버시 로깅 에이전트(110)로 전송하여 동기화시킨 후 다시 이벤트를 대기한다(S303~S305).
관리자에 의한 권한 변경 작업 이벤트가 발생되면, 관리자의 작업에 의해 신규등록, 수정, 삭제된 권한을 리포지토리에 저장하고, 권한 정보 변경 이벤트를 발생시켜 권한 정보 동기화를 수행하게 한 후 다시 이벤트를 대기한다(S306~S308).
이와 같이 정보 사용자의 개인정보 사용권한은 관리자에 의해 신규등록, 수정, 삭제 등이 가능하고, 변경된 권한 정보는 동기화 절차를 통해 프라이버시 로깅 에이전트(110)와 동기화된다.
도 5는 본 발명의 실시예에 따른 접속기록 표준화부의 동작 순서도이다.
도 5를 참조하면, 접속기록 표준화부(130)는 접속기록 데이터 수신부(120)로부터 접속기록 원천 데이터를 가져와 로그인 아이디를 추출(Who)하고, HTTP 요청 시간을 추출(When)하며, 접속IP, 서버IP와 같은 시스템 정보(Where)를 파악한다(S401~S404).
이어, HTTP Response에서 개인정보를 추출(What)하고, JDBC 드라이버에서 저장, 변경, 삭제와 같은 SQL 문장 행위(How)를 파악하여 육하원칙(5W1H)에 따른 접속기록을 생성한 후 JSON 포맷 형식의 파일로 저장한다(S405~S408).
도 6은 본 발명의 실시예에 따른 개인정보 분석부의 동작 순서도이다.
도 6을 참조하면, 개인정보 분석부(160)는 개인정보 식별 정규식을 가져오고, 개인정보 탐색부(150)로부터 개인정보 스키마, 테이블, 컬럼 정보를 가져온다(S501,S502). 또한 접속기록 표준화부(130)로부터 육하원칙에 따른 JSON 형식의 접속기록을 가져와 분석대상 접속 기록 데이터를 읽는다(S503).
그리고 분석대상 접속 기록의 SQL 문장을 분석하여 스키마, 테이블, 컬럼 정보를 추출한 후 개인정보 스키마, 테이블, 컬럼인지를 파악한다(S505~S506).
만일, 개인정보 스키마, 테이블, 컬럼이 아니면 개인정보 정규식을 실행하여 개인정보 여부를 파악한 후 개인정보가 검출되거나 개인정보 스키마, 테이블, 컬럼이면 개인정보 확정 처리를 위해 도 7의 위험지수 산출 절차를 수행한다(S507,S512,S513). 위험지수 산출 절차에서 개인정보 유형별 총 사용건수, 위험지수 환산, 소명 이벤트 등이 발생된다.
이후 HTTP Response에서 비정형 데이터를 추출한 후, HTML 태그 제거를 통해 데이터를 정제하여 순수 텍스트 데이터를 추출하고, 순수 텍스트 데이터에 대해 개인정보 정규식을 실행한다(S508~S511).
정규식 실행을 통해 개인정보가 검출되면, 다시 개인정보 확정 처리를 위해 도 7의 위험지수 산출 절차를 수행한 후, 다시 분석대상 접속기록 데이터 읽기로 돌아간다(S514,S515).
도 7은 본 발명의 실시예에 따른 개인정보 분석부의 위험지수 산출 절차를 도시한 순서도이다.
먼저, 본 발명의 실시예에서 위험 등급에 따른 개인정보 접근 제어 방법은 다음 표 1과 같다.
| 위험 등급 | 세부 내용 |
| 정상 | 모두 허용 |
| 관심 | 모두 허용(개인정보 접속기록 관리자에게 메일을 발송하여 관심대상임을 알림) |
| 주의 | 개인정보 사용 접속 기록에 대한 소명 처리 |
| 경계 | 부분 개인정보 마스킹, 파일 다운로드 접근 통제, 소명처리 |
| 심각 | 전체 개인정보 마스킹, 파일 다운로드 접근 통제, 소명처리 |
그리고 본 발명의 실시예에서 위험지수는 기간에 따라 다음 표 2와 같이 분류할 수 있다.
| 지수 항목 | 상세 설명 |
| 최근 1개월 위험지수 | 날짜 변경시 갱신한다(일일 위험지수 반영한 신규 지수 값 생성) |
| 최근 주간 위험지수 | 날짜 변경시 갱신한다(일일 위험지수 반영한 신규 지수 값 생성) |
| 일일 위험지수 | 매 접속기록 위험지수 값을 반영한 신규 지수 값 생성 |
| 1회접속기록 위험지수 | 매 접속기록에 대한 위험지수 값 반영 |
본 발명의 실시예에서 위험지수 산출요소는 개인정보 유형 위험 레벨, 개인정보 유형별 사용 건수, 접속시간, 휴가 또는 휴일, 개인정보 사용 권한, 미등록 IP 등이 있다.
또한 위험지수값을 통해 개인정보 사용자를 통제하기 위해 개인정보 권한 위험지수(PRIVACY_RULE_RISK_V)를 다음 표 3과 같이 정의한다.
| 권한 | 상세설명 | 위험지수(100) | ||||
| 정상 | 관심 | 주의 | 경계 | 심각 | ||
| 1단계 | 위험지수로 정의한 1등급 정의 값 | 5이하 | 10이하 | 15이하 | 20미만 | 20이상 |
| 2단계 | 위험지수로 정의한 2등급 정의 값 | 10이하 | 15이하 | 20이하 | 25이하 | 40이상 |
| 3단계 | 위험지수로 정의한 3등급 정의 값 | 15이하 | 20이하 | 25이하 | 30이하 | 50이상 |
| 4단계 | 위험지수로 정의한 4등급 정의 값 | 20이하 | 25이하 | 30이하 | 35이하 | 60이상 |
| 5단계 | 위험지수로 정의한 5등급 정의 값 | 35이하 | 40이하 | 45이하 | 50이하 | 70이상 |
개인정보 권한 위험지수(PRIVACY_RULE_RISK_V)는 정보 사용자의 위험지수에 해당하는 단계 값이다.
또한 시간별 위험 지수 가중치(TIME_RISK_V)는 다음 표 4와 같이 정의하며, 정보 사용자, 부서단위의 근무시간외 접근 또는 휴일/휴가시 접근시 가중치 값을 부여하여 위험지수에 반영한다.
| 가중치 항목 | 가중치값 설정 | 비고 |
| 평일 업무시간외 접근 | 0.01 | 위험도값 산출시 가중함 |
| 휴일 및 공휴일 접근 | 0.07 | 위험도값 산출시 가중함 |
| 휴가일정중 접근 | 0.09 | 위험도값 산출시 가중함 |
| 미등록 IP 사용 | 0.03 | 위험도값 산출시 가중함 |
| 다중 IP 사용 | 0.02 | 위험도값 산출시 가중함 |
또한 개인정보 유형별로 다음 표 5와 같이 개인정보 유형 별 위험 레벨(PRIVACY_RISK_V)과 가중치를 정의하여 위험지수 산출시 반영한다.
| 유형 | 위험 레벨(1~10) | 가중 치 |
| 주민등록번호 | 10 | 0.09 |
| 외국인등록번호 | 10 | 0.09 |
| 신용카드번호 | 7 | 0.05 |
| 사업자등록번호 | 5 | 0.03 |
| 여권번호 | 8 | 0.09 |
| 군번 | 5 | 0.03 |
| 의료보험번호 | 5 | 0.07 |
| 운전자면허번호 | 10 | 0.09 |
| 휴대전화번호 | 10 | 0.08 |
| 이메일 | 5 | 0.05 |
| 전화번호 | 3 | 0.02 |
| 계좌번호 | 8 | 0.05 |
| 주소 | 3 | 0.03 |
또한 개인정보 데이터 조회/변경/삭제 대한 위험도 가중치(PRIVACY_ACTION_V)을 다음 표 6과 같이 정의하여 정보 사용자 또는 부서 단위 개인정보 SQL DML(insert, update, delete), DROP에 따른 위험 가중치 값을 부여하여 위험지수에 반영한다.
| 권한 | 상세 설명 | 개인정보 변경(SQL 문장 분석) | |||
| SQL INSERT | SQL UPDATE | SQL DELETE | SQL DROP | ||
| 1 단계 | 1단계 가중치 값 설정 | 0.1 | 0.7 | 0.8 | 10 |
| 2 단계 | 2단계 가중치 값 설정 | 0.075 | 0.3 | 0.5 | 7 |
| 3 단계 | 3단계 가중치 값 설정 | 0.05 | 0.2 | 0.3 | 5 |
| 4 단계 | 4단계 가중치 값 설정 | 0.03 | 0.1 | 0.2 | 3 |
| 5 단계 | 5단계 가중치 값 설정 | 0.01 | 0.01 | 0.1 | 1 |
이와 같은 가중치 정의를 이용하여 위험도 가중치 총합(RISK_V_TOTAL)은 시간별 위험지수 가중치(TIME_RISK_V) + 개인정보 유형 별 위험 레벨(PRIVACY_RISK_V) + 개인정보 데이터 조회/변경/삭제(PRIVACY_ACTION_V)로 구할 수 있다.
도 7을 참조하면, 개인정보 분석부(160)의 위험지수 산출모듈이 접속시간, 개인정보유형, 사용건수, 로그인 사용자, 데이터 행위(조회, 삭제, 변경, 실행SQL 등)와 같은 정보가 포함된 접속기록 데이터에서 위험지수 산출 입력값을 수신한다(S601).
이어 접속횟수 위험지수(WAS_CONNECT_RISK_V;WCRV)를 다음 수학식 1에 따라 계산한다(S602).
먼저, 본 발명의 실시예에서 접속 횟수 위험지수 단계는 다음 표 7과 같이 정의한다.
| 권한 | 상세 설명 | 일일 최대 접속 횟수 | ||||
| 정상 | 관심 | 주의 | 경계 | 심각 | ||
| 1단계 | 일일 최대 접속 횟수 | 10건이하 | 100건이하 | 200건이하 | 300건미만 | 300건이상 |
| 2단계 | 일일 최대 접속 횟수 | 50건이하 | 200건이하 | 300건이하 | 400건미만 | 400건이상 |
| 3단계 | 일일 최대 접속 횟수 | 100건이하 | 300건이하 | 500건이하 | 600건미만 | 600건이상 |
| 4단계 | 일일 최대 접속 횟수 | 200건이하 | 500건이하 | 700건이하 | 900건미만 | 900건이상 |
| 5단계 | 일일 최대 접속 횟수 | 300건이하 | 1000건이하 | 1200건이하 | 1500건미만 | 1500건이상 |
수학식 1에서 접속횟수 위험도지수(WAS_CONNECT_RISK_V; 100점이하)는 ((개인정보총.사용건수/위험등급최대건수)+ RISK_V_TOTAL) * 개인정보 권한 단계위험지수로 구할 수 있다.
예를들면, 조건이 개인정보권한 1단계 사용자이고, 총접속기록횟수가 250일 경우 WAS_CONNECT_RISK_V(16)=((250/300)+RISK_V_TOTAL)* 20(개인정보1단계경계위험지수값)으로 구할 수 있다. 위의 값에 업무시간외 접근, 휴일, 다중.IP 사용자가중치값을 부여한 계산식을 추가할 수 있다.
또한 조건이 위험도 값이 심각보다 큰 경우 "이상징후 최고 위험도 접속기록"으로 분류하여 별다섯개를 부여하고 주요 관리 대상으로 간주한다.
한편, 접속 위험도 지수분류(WAS CONNECTION RISK VALUE;WCRV)는 다음 표 8과 같이 정의한다.
| 구분 | 분류 | 계산식 |
| WCRV_1 | 1회 접속 위험도 지수 | 수학식 1 |
| WCRV_D | 일일 접속 위험도 지수 | WCRV_D=∑WCRV_1/총 접속횟수 |
| WCRV_W | 주간 접속 위험도 지수 | WCRV_W=∑WCRV_D/7(주간일수) |
| WCR_M | 월간 접속 위험도 지수 | WCRV_M=∑WCRV_W/월간일수 |
이어, 개인정보 과다 조회 위험지수(PRIVACY_OVERLOOK_V;POV)를 다음 수학식 2와 같이 산출한다(S603).
먼저, 개인정보 과다 조회 단계(PRIVACY_OVERLOOK_V)를 다음 표 9와 같이 정의한다.
| 권한 | 상세 설명 | 개인정보 과다조회 건수 설정 | ||||
| 정상 | 관심 | 주의 | 경계 | 심각 | ||
| 1단계 | 개인정보 과다조회 위험지수 산정값 | 10건이하 | 100건이하 | 500건이하 | 1000건미만 | 1000건이상 |
| 2단계 | 개인정보 과다조회 위험지수 산정값 | 100건이하 | 200건이하 | 1000건이하 | 2000건미만 | 2000건이상 |
| 3단계 | 개인정보 과다조회 위험지수 산정값 | 200건이하 | 500건이하 | 1500건이하 | 5000건미만 | 5000건이상 |
| 4단계 | 개인정보 과다조회 위험지수 산정값 | 500건이하 | 1000건이하 | 3000건이하 | 7000건미만 | 7000건이상 |
| 5단계 | 개인정보 과다조회 위험지수 산정값 | 3000건이하 | 5000건이하 | 10000건이하 | 15000건미만 | 15000건이상 |
수학식 2에 따라 개인정보과다조회위험지수(PRIVACY_OVERLOOK_V)(100점이하)는 (개인정보총사용건수/위험등급최대건수* RISK_V_TOTAL) * 개인정보권한단계위험지수로 구할 수 있다.
예를들면, 조건이 개인정보 권한 1단계 사용자이고, 개인정보 사용건수 400건인 경우 개인정보 과다 조회 위험도지수(PRIVACY_OVERLOOK_V)= ((과다조회건수/단계별 정의 건수)+ RISK_V_TOTAL) * PRIVACY_RULE_RISK_V에 따라 개인정보 과다 조회 위험도 지수값(PRIVACY_OVERLOOK_V;12)=((400/500)+ RISK_V_TOTAL)*15(개인정보 1단계 주의 위험지수값)으로 구할 수 있다. 위의 값에서 업무시간외 접근, 휴일, 다중IP 사용자 가중치값을 부여한 계산식을 추가할 수 있다.
또한, 조건의 위험도값이 단계심각(20)보다 큰 경우 "이상징후 최고 위험도접속기록"으로 분류하여 별다섯개를 부여하고, 주요관리대상으로 간주한다.
한편, 개인정보 과다조회 위험지수 분류는 다음 표 10과 같이 정의할 수 있다.
| 구분 | 분류 | 계산식 |
| POV_1 | 1회 접속단위 개인정보 과다조회 위험지수 | 수학식 2 |
| POV_D | 일일 개인정보 과다조회 위험지수 | POV_D=∑POV_1/총접속횟수 |
| POV_W | 주간 개인정보 과다조회 위험지수 | POV_W=∑POV_D/7(주간일수) |
| POV_M | 월간 개인정보 과다조회 위험지수 | POV_M=∑POV_W/월간일수 |
이어 개인정보 변경 위험지수(PRIVACY_CHANGE_V;PCV)를 수학식 3과 같이 계산한다(S604).
먼저, 개인정보 변경 위험지수(PRIVACY_CHANGE_V)를 다음 표 11과 같이 정의한다.
| 권한 | 상세 설명 | 개인정보 과다조회 건수 설정 | ||||
| 정상 | 관심 | 주의 | 경계 | 심각 | ||
| 1단계 | 개인정보 변경 삭제건수(SQL) | 10건이하 | 100건이하 | 500건이하 | 1000건미만 | 1000건이상 |
| 2단계 | 개인정보 변경 삭제건수(SQL) | 100건이하 | 200건이하 | 1000건이하 | 2000건미만 | 2000건이상 |
| 3단계 | 개인정보 변경 삭제건수(SQL) | 200건이하 | 500건이하 | 1500건이하 | 5000건미만 | 5000건이상 |
| 4단계 | 개인정보 변경 삭제건수(SQL) | 500건이하 | 1000건이하 | 3000건이하 | 7000건미만 | 7000건이상 |
| 5단계 | 개인정보 변경 삭제건수(SQL) | 3000건이하 | 5000건이하 | 10000건이하 | 15000건미만 | 15000건이상 |
수학식 3에 따라 개인정보 변경 위험지수(PRIVACY_CHANGE_V) (100점이하)는 ((개인정보 총사용건수/위험등급 최대건수) + RISK_V_TOTAL) * 개인정보 권한 단계위험지수로 구할 수 있다.
예를 들면, 조건이 개인정보권한 1단계 사용자이고, 개인정보 사용건수 400건인 경우 수학식 3에 따라 개인정보변경 위험도지수(PRIVACY_CHANGE_V;12)= ((400/500)+ RISK_V_TOTAL) * 15(개인정보1단계.주의위험지수값)로 구할 수 있다.
위의 값에 업무시간외 접근, 휴일, 다중IP 사용자 가중치값을 부여한 계산식을 추가할 수 있다.
또한 조건의 위험도값이 단계심각(20)보다 큰 경우 "이상징후 최고 위험도접속기록으로 분류하여 별다섯개를 부여하고 주요관리대상으로 간주할 수 있다.
한편, 개인정보 데이터 변경 위험지수(PCV) 분류는 다음 표 12와 같이 정의할 수 있다.
| 구분 | 분류 | 계산식 |
| PCV_1 | 1회접속단위 개인정보 변경 위험지수 | 수학식 3 |
| PCV_D | 일일 개인정보 변경 위험지수 | PCV_D=∑PCV_1/총접속횟수 |
| PCV_W | 주간 개인정보 변경 위험지수 | PCV_W=∑PCV_D/7 |
| PCV_M | 월간 개인정보 변경 위험지수 | PCV_M=∑PCV_W/월간일수 |
이어, 정보 사용자 위험지수(URV)를 다음 표 13의 계산식에 따라 계산한다(S605).
본 발명의 실시예에서 정보 사용자 위험지수 산출 분류는 다음 표 13과 같이 정의한다.
| 구분 | 분류 | 계산식 |
| POV_1 | 1회 정보 사용자 위험지수 | URV_1 = (POV_1+PVC_1+(WCRV_1/MV)) / 3 |
| POV_D | 일일 정보 사용자 위험지수 | URV_D= (POV_D+PVC_D+(WCRV_D/MV)) / 3 |
| POV_W | 주간 정보 사용자 위험지수 | URV_W = (POV_W+PVC_W+(WCRV_M/MV)) / 3 |
| POV_M | 월간 정보 사용자 위험지수 | URV_M = (POV_M+PVC_M+(WCRV_W/MV)) / 3 |
상기 표 13에서 MV는 접속횟수 비중 축소값으로서, 3으로 나누어 33.3%만 인정한다. 정보 사용자 위험지수는 데이터베이스, 웹 서버 등 모든 개인정보처리시스템에 적용될 수 있다.
이어, 산출된 위험 지수가 이상 징후로 판정시 경보 알람을 발생하고, 정보 사용자 및 관리자에게 경보 알람 메일을 전송한다(S606).
그리고 산출된 위험 지수값을 리포지토리에 저장한다(S607).
도 8은 본 발명의 실시예에 따른 다운로드 제어부의 동작 순서도이다.
도 8을 참조하면, 다운로드 제어부(180)는 HTTP 다운로드 파일 보관 및 분석 요청이 수신되면, HTTP 쿠키에서 파일 ID와 로그인 ID를 추출하고, 원본 파일을 저장한다(S701~S703).
이어 Office, Hwp, PDF, 이미지 등과 같은 파일 타입을 추출하고, 파일에서 텍스트를 추출한 후 개인정보 분석부(160)에 근거하여 개인정보를 검출한 후, 개인정보 검출 결과와 HTTP 쿠키를 저장한다(S704~S707). HTTP 쿠키에는 File ID, Login ID, Filename) 등이 포함되어 있고, 개인정보 검출결과에는 개인정보 유형별 총 사용건수, 위험지수 환산 등이 포함되어 있다.
HTTP 파일 다운로드 요청이면, HTTP 쿠키에서 File ID와 Login ID를 추출하여 요청 파일을 검색한다(S708~S710). 리포지토리에서 개인정보 위험지수, 사용건수를 가져오고, 개인정보 사용 권한 정보를 가져와 개인정보 위험지수가 허용 권한보다 크면, 다운로드 요청 실패를 HTTP Response로 전송하고, 개인정보 위험지수가 허용 권한보다 작으면 파일 다운로드를 수락하여 파일을 전송한다(S711~S715).
도 9는 본 발명의 실시예에 따른 소명 처리부의 동작 순서도이다.
도 9를 참조하면, 소명 처리부(170)는 개인정보 분석부(160)로부터 '소명 이벤트'가 발생되면, 리포지토리에서 개인정보 위험지수 및 사용자 정보를 추출하고, 정보 사용자 권한 정보를 가져와 개인정보 위험지수가 허용 권한보다 크면, 접속기록 소명 아이디를 발급하고, 육하원칙에 따른 접속기록과 개인정보 사용현황 및 소명 아이디가 포함된 접속기록 소명을 발급한 후 소명 메일을 발송한다(S801~S807).
웹 브라우저로부터 '소명 처리완료 이벤트'가 발생되면, 해당 정보 사용자의 개인정보 소명 URL을 통해 웹 화면을 오픈하고, 개인정보 사용 내역 출력 및 소명 입력 화면을 제공한다(S808~S810). 이어 입력 화면을 통해 입력(기입)된 소명 내용을 리포지토리에 저장한다(S811).
이상에서 본 발명은 도면에 도시된 일 실시예를 참고로 설명되었으나, 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다.
10: 정보 사용자
20: 웹 응용 서버(WAS)
30: 데이터베이스(DBMS) 32: 개인정보
100: 개인정보 접속기록 관리 시스템
102: 개인정보 접속기록 관리 및 통제 서버
104: 접속기록 관리자 110: 프라이버시 로깅 에이전트
120: 데이터 수신부 130: 접속기록 표준화부
140: 정보사용자 권한 관리부 150: 개인정보 탐색부
160: 개인정보 분석부 170: 소명 처리부
180: 다운로드 제어부 190: 웹 인터페이스
30: 데이터베이스(DBMS) 32: 개인정보
100: 개인정보 접속기록 관리 시스템
102: 개인정보 접속기록 관리 및 통제 서버
104: 접속기록 관리자 110: 프라이버시 로깅 에이전트
120: 데이터 수신부 130: 접속기록 표준화부
140: 정보사용자 권한 관리부 150: 개인정보 탐색부
160: 개인정보 분석부 170: 소명 처리부
180: 다운로드 제어부 190: 웹 인터페이스
Claims (7)
- 정보 사용자의 HTTP 요청 및 응답에 대한 모든 접속기록을 수집하고, 계정에따라 HTTP 응답 데이터를 통제하는 프라이버시 로깅 에이전트;
상기 프라이버시 로깅 에이전트로부터 수집된 개인정보 접속기록을 수신받아 저장하는 접속기록 데이터 수신부;
상기 접속기록 데이터 수신부로부터 웹 접속 계정에 대한 실제 정보 사용자의 정보를 가져와 육하원칙에 근거하여 표준화된 개인정보 접속기록을 생성하여 저장하는 접속기록 표준화부;
웹 응용 서버가 사용하는 데이터베이스(DBMS)에 저장된 개인정보를 탐색하고, 해당 개인정보의 스키마, 테이블, 컬럼 정보를 분석하여 개인정보 식별 판단처리시 사용할 수 있도록 데이터 맵을 구성하는 개인정보 탐색부;
상기 개인정보 탐색부로부터 개인정보 스키마, 테이블, 컬럼 정보를 가져오고, 상기 접속기록 표준화부로부터 육하원칙에 따른 표준화된 접속기록을 가져와 개인정보를 식별하고, 개인정보 오남용과 유출 및 변경을 판단하기 위한 위험지수를 산출하는 개인정보 분석부;
개인정보 유출 및 오남용을 방지하기 위해 정보 사용자별로 개인정보 접속에 대한 접근을 제어하는 권한을 부여하는 정보 사용자 권한 관리부; 및
개인정보 파일 다운로드로 판별된 경우, 웹 접속 계정의 설정된 권한과 상기 위험지수를 비교하여 해당 요청 파일에 대한 다운로드 행위의 허용 여부를 판단하는 개인정보 파일 다운로드 제어부를 포함하는 개인정보 접속기록 관리 장치. - 제1항에 있어서, 상기 개인정보 접속기록 관리 장치는
상기 위험지수가 소정치 이상일 경우, 해당 계정의 개인정보 접근에 대한 소명을 요청하고, 입력된 소명을 기록하는 개인정보 접속 소명 처리부를 더 포함하는 것을 특징으로 하는 개인정보 접속기록 관리 장치. - 제1항 또는 제2항에 있어서, 상기 프라이버시 로깅 에이전트는
웹 응용 서버에서 플러그인 방식으로 동작하면서 각 정보 사용자의 권한 및 설정값을 기준으로 해당 요청의 개인정보에 대한 개인정보 분석부의 위험지수를 비교하여 개인정보 자동 마스킹 또는 개인정보 초과 사용이라는 응답을 제공하는 것을 특징으로 하는 개인정보 접속기록 관리 장치. - 제1항 또는 제2항에 있어서, 상기 개인정보 분석부는
개인정보 유형, 개인정보 유형별 사용 건수, 접속시간, 휴가 또는 휴일, 개인정보 사용 권한, 미등록 IP에 근거하여 위험지수를 산출하는 것을 특징으로 하는 개인정보 접속기록 관리 장치. - 개인정보 유출 및 오남용을 방지하기 위해 정보 사용자별로 개인정보 접속에 대한 권한을 설정하는 단계;
데이터베이스(DBMS)에 저장된 개인정보를 탐색하고, 해당 개인정보의 스키마, 테이블, 컬럼 정보를 분석하여 개인정보 식별 판단처리시 사용할 수 있도록 데이터 맵을 구성하는 단계;
웹 브라우저로부터 개인정보 접속이나 개인정보 파일 다운로드를 요청받는 단계;
정보 사용자의 HTTP 요청 및 응답에 대한 모든 접속기록을 수집하는 단계;
수집된 접속기록에서 육하원칙에 근거하여 표준화된 개인정보 접속기록을 생성하는 단계;
상기 데이터 맵으로부터 개인정보의 스키마, 테이블, 컬럼 정보를 가져오고, 육하원칙에 따른 표준화된 개인정보 접속기록을 가져와 개인정보를 식별하고, 개인정보 오남용과 유출 및 변경을 판단하기 위한 위험지수를 산출하는 단계;
산출된 위험지수 값이 소정치 이상이면, 소명을 요청하고 입력된 소명을 저장하는 단계; 및
정보 사용자의 HTTP 요청이 개인정보 접속 요청이면 해당 계정의 위험지수에 따라 응답하고, 개인정보 파일 다운로드 요청이면, 해당 계정의 위험지수에 따라 HTTP Redirection으로 응답하는 단계를 포함하는 개인정보 접속기록 관리 방법. - 제5항에 있어서, 위험지수를 산출하는 단계는
개인정보 유형, 개인정보 유형별 사용 건수, 접속시간, 휴가 또는 휴일, 개인정보 사용 권한, 미등록 IP에 근거하여 위험지수를 산출하는 것을 특징으로 하는 개인정보 접속기록 관리 방법. - 제5항에 있어서, 상기 데이터 맵을 구성하는 단계는
데이터베이스 접속정보, 샘플링 건수, 개인정보 식별 정규식, 개인정보 확정 빈도와 같은 개인정보 탐색 정책을 가져오고, 데이터베이스에 접속하여 스키마, 테이블, 컬럼, 뷰, 프로시져, 함수와 데이터베이스 메타정보를 수집한 후 개인정보 식별 정규식을 활용하여 개인정보 유형을 판별하는 것을 특징으로 하는 개인정보 접속기록 관리 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220114714A KR20240036218A (ko) | 2022-09-13 | 2022-09-13 | 개인정보 접속기록 관리 방법 및 장치 |
| JP2023146356A JP2024041055A (ja) | 2022-09-13 | 2023-09-08 | 個人情報接続記録管理方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220114714A KR20240036218A (ko) | 2022-09-13 | 2022-09-13 | 개인정보 접속기록 관리 방법 및 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20240036218A true KR20240036218A (ko) | 2024-03-20 |
Family
ID=90368931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220114714A KR20240036218A (ko) | 2022-09-13 | 2022-09-13 | 개인정보 접속기록 관리 방법 및 장치 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP2024041055A (ko) |
| KR (1) | KR20240036218A (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101528437B1 (ko) | 2014-12-10 | 2015-06-12 | 전영하 | 개인정보 접속 기록 탐지 장치 및 개인정보 접속 기록 탐지 방법 |
| KR102013415B1 (ko) | 2017-09-06 | 2019-08-22 | 충남대학교산학협력단 | 개인정보 접속기록 무결성 검증시스템 및 검증방법 |
-
2022
- 2022-09-13 KR KR1020220114714A patent/KR20240036218A/ko not_active Application Discontinuation
-
2023
- 2023-09-08 JP JP2023146356A patent/JP2024041055A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101528437B1 (ko) | 2014-12-10 | 2015-06-12 | 전영하 | 개인정보 접속 기록 탐지 장치 및 개인정보 접속 기록 탐지 방법 |
| KR102013415B1 (ko) | 2017-09-06 | 2019-08-22 | 충남대학교산학협력단 | 개인정보 접속기록 무결성 검증시스템 및 검증방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2024041055A (ja) | 2024-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2689353B1 (en) | System and method for data masking | |
| US9300755B2 (en) | System and method for determining information reliability | |
| US9674280B1 (en) | Social file storage | |
| CN103930864A (zh) | 用于备份和归档的公司数据与私人数据的自动分离 | |
| US8620911B2 (en) | Document registry system | |
| WO2003038681A1 (en) | Methods and systems for providing access to information via query application and output interface application | |
| US7085927B1 (en) | Secure data report preparation and delivery | |
| JP3705439B1 (ja) | 個人情報探索プログラム,個人情報管理システムおよび個人情報管理機能付き情報処理装置 | |
| KR101942576B1 (ko) | 개인 정보 보호 제품 통합 분석 감사 시스템 | |
| US9202069B2 (en) | Role based search | |
| US10902383B2 (en) | Vision AR: SmartHR overlay | |
| KR20240036218A (ko) | 개인정보 접속기록 관리 방법 및 장치 | |
| KR20180071699A (ko) | 개인 정보 온라인 감시 시스템 및 방법 | |
| KR100992069B1 (ko) | 인터넷상의 개인정보 노출대응 시스템 및 방법 | |
| ApS | Privacy Policy | |
| JULAN et al. | Methodologies for Retrieving and Processing Information from Open Sources (OSINT) | |
| CN117453982B (zh) | 一种档案管理文件分类系统 | |
| WO2016185922A1 (ja) | アクセス管理装置、アクセス管理方法およびコンピュータプログラム | |
| CN117763519B (zh) | 可信用户体系构建方法、系统及可读存储介质 | |
| WO2014125557A1 (ja) | 計算機、データアクセスの管理方法及び記録媒体 | |
| Li et al. | Data Privacy Enhancing in the IoT User/Device Behavior Analytics | |
| WO2022201257A1 (ja) | 情報提供方法 | |
| RU2698412C2 (ru) | Система защиты персональных данных пользователей в информационной системе на основании деперсонализации и миграции в безопасное окружение | |
| JP2008009850A (ja) | 履歴管理装置及び履歴管理方法及び履歴管理プログラム | |
| JP2024533042A (ja) | サブジェクトロギング |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal |