내부자 개인정보 유출 막고 AI로 이상행위 탐지

[산업일보]
개인정보처리자의 안전조치의무를 규정하는 ‘개인정보 보호법’ 제29조는 개인정보가 분실·도난·유출·위조·변조·훼손되지 않도록, 안전성 확보에 필요한 기술·관리·물리적 조치를 해야한다고 명시하고 있다. 그러나, 공공기관이나 기업 내에서 자체적으로 개인정보 안전 조치를 완벽히 수행하기엔 현실적 어려움이 많다.

개인정보 보호 솔루션 전문 기업인 (주)삼오씨엔에스는 ‘제14회 개인정보보호페어&CPO워크숍(PIS FAIR 2025)’에 참가해 이러한 어려움 해소에 도움을 줄 수 있는 개인정보 통합관제시스템인 ‘파르고스’를 소개했다.

파르고스는 크게 ‘개인정보 접속기록관리’와 ‘AI(인공지능) 이상행위 탐지’ 두가지 시스템으로 구성됐다.

개인정보 접속기록관리 시스템은 공공기관이나 기업의 개인정보처리 업무 시스템을 모니터링하다가, 비인가 사용자(승인없는 권한 상승, 알 수 없는 사용자, 장기 미사용자 등)의 접속 기록을 감지하면 개인정보 보안(책임) 담당자에 알린다. 이를 통해 담당자가 즉시 비인가 접속자를 추적하고 대처할 수 있게 돕는다.

삼오씨엔에스 관계자는 “이 시스템의 필요성은 2019년경 발생한 ‘n번방 사건’ 당시 크게 대두됐다”라고 말했다.

그는 “당시 동사무소 사회복무요원이 주민등록 데이터베이스에 허가 없이 접속해 개인정보를 탈취 후 범죄 수단으로 사용했다”라며 “이 같은 사건을 방지할 수 있는 시스템”이라고 설명했다.

AI 이상행위 탐지 시스템은 근무자의 평소 업무 습관과 다른 이상 접속기록을 감지할 수 있다. 예를 들어 오전 9시부터 오후 6시 사이에 접속하던 근무자가 새벽 시간에 접속하거나, 평소 데이터를 1건씩 조회하던 근무자가 천 건 이상 조회하는 등의 이상행위틀 탐지하는 것이다.

삼오씨엔에스의 김현철 대표는 “파르고스는 주로 공공기관에서 수요가 많다”라며 “월 1회 이상 비정상 행위를 정기적으로 점검하라는 법령상 규정을 준수할 수 있기 때문”이라고 밝혔다.

한편, PIS FAIR 2025는 삼성동 코엑스(COEX) 그랜드볼룸에서 27일부터 28일까지 열렸다.