2024.05.20 (월)
[CIOCISO매거진 홍상수 기자] 삼오씨엔에스(대표 김현철)의 파르고스(Pargos)는 개인정보 접속기록관리의 다양한 항목에 따른 개인정보 오남용 및 이상징후 점검항목을 지원하며, 소명처리 리스트 관리 기능 등을 통해 개인정보취급자 및 관리자에 의해 다운로드 사유를 입력 점검할 수 있는 지능형 이상행위 탐지시스템이다.
개인정보 다운로드 사유 확인과 관련한 법령은 △개인정보 보호법 제29조 안전조치의무 △개인정보의 안전성확보조치 기준(개인정보보호위원회고시 제2020-02호) △개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회고시 제2020-5호) 해설서 등에서 언급되고 있다.
개인정보보호위원회가 발행한 ‘개인정보의 안전성 확보조치 기준 해설서’에 따르면, 다운로드 사유 확인이 필요한 기준 책정을 △(다운로드 정보주체의 수)(...) 100명 이상의 정보주체에 대한 개인정보를 다운로드한 경우 △(일정기간 내 다운로드 횟수) (...) 1시간 내 다운로드한 횟수가 20건 이상일 경우(...) △(업무시간 외 다운로드 수행) 새벽시간 및 휴무일 등의 업무시간 외 개인정보를 다운로드한 경우 등으로 예시를 제시하기도 했다.
하지만 일선 현장에서 개인정보 관리수준을 컨설팅하는 컨설턴트는 이와 같은 다운로드 사유확인 점검항목이 ‘개인정보취급자가 주말 개인정보 다운로드 100회 이상’, ‘평일 0시~5시 심야시간대 개인정보취급자가 개인정보 500회 이상’ 등으로 기준이 너무 높아 통제에서 벗어난 것으로 인식하고 있다.
보통 다운로드 방식은 URL 방식과 그리드 방식으로 엑셀을 다운로드하는 방식이 사용된다. 파르고스는 사전 혹은 사후 파일연계 방식으로 다운로드 사유를 확인할 수 있다. 이 시스템 내 개인정보처리 시스템에서는 다운로드 사유를 파일로 남겨놓고, 사후 파일을 연계하는 방식 이외의 경우까지도 개인정보취급자가 다운로드 사유를 확인할 수 있는 기능도 제공하고 있다.
최근 파르고스 제품은 서울신용보증재단, 서울관광재단, 기술보증기금, 한국벤처투자, BNK시스템, JB(도시가스), 교육부 산하 국립국제교육원, 한국문화관광연구원 등의 공공기관 및 정보통신서비스 사업자로 확대되고 있다.
삼오씨엔에스 김현철 대표는 “지난해 발표된 공공부문의 개인정보 유출방지대책에 따른 후속조치로 기술적 안전조치가 강화됐다”며 “파르고스 제품도 접근권한의 관리, 접속기록 점검시스템 의무 도입, 승인·소명·통지 절차 마련과 함께 다운로드 사유 기능, 월 점검보고서 기능을 강화했다”고 밝혔다.