하긴 해야 하는데.... 참 골치하는 마스킹 적용...
오늘은 이 개인정보 마스킹 처리 기준에 대해서 알아보겠습니다.
웹.앱.업무 시스템에서 개인정보를 조회하다 보면 화면에 이름, 전화번호, 주소, 생년월일이 그대로 노출되는 순간이 있습니다.
마스킹(표시제한)은 그 순간의 위험을 낮추는 현실적인 보호장치 입니다.
다만 실무에서는 늘 이런 질문이 따라옵니다.
- 우린 내부망인데... 화면 마스킹이 그렇게 중요한가요? 내부망 접근통제가 다 되어있고, 외부에서 들어올 수 없는데... 꼭 해야 하나요?
- 법에 몇 자리 가리라고 딱 정해둔게 있나요? 법에 없으면 안해도 되는거 아닌가요?
- 다 마스킹 처리 하면 현업이 일을 못하는데.. ISMS-P 에서는 또 일치검색 하라고 하고... 어디에 맞춰야 하나요?..
오늘 글은 그 갭을 매우기 위한 가이드입니다.
법, 정보보호 관련 인증 기준 등이 말하는 '원칙', 현장에서 실제로 발생하는 업무 가용성 문제,
그리고 감사.심사 대응까지 어떻게 하면 좋을지 같이 한번 정리해보겠습니다.
첫번째,
마스킹은 왜 하는걸까요? (내부망 에서도 해야하나요?)
마스킹의 목적은 한 문정으로 정리할 수 있습니다.
개인정보 유출의 "가능성"과 "피해 규모"를 동시에 낮추기 위해서
“인터넷망 차단 + 접근통제 + 로그”가 있어도… 화면 노출은 여전히 공격 표면(Attack Surface)이 됩니다.
실무에서 자주 보는 위협 시나리오를 몇 가지로 정리해볼게요.
(1) 어깨너머 훔쳐보기(Shoulder Surfing)
콜센터/영업점/상담창구 등에서 옆자리, 뒤자리, 방문 고객에게 화면이 보이는 순간이 생깁니다.
특히 VIP 상담, 지점 업무처럼 **‘사람이 사람을 상대하는 환경’**에서는 이 리스크가 큽니다.
(2) 사진 촬영/화면 캡처
(3) 대량 노출(한 화면에 1000건, 화면 출력하기)
(4) 내부자 오남용(권한이 있는 사람의 문제)
(5) 자동화/파싱(OCR/스크래핑)
정리하면,
마스킹은 '외부침입' 방어가 아니라 '노출 최소화'에 가깝고,
실무에선 사람(현업), 화면(목록), 출력(내보내기)에서 위협이 발생 가능성이 높아집니다.
두번째,
그럼 이 마스킹에 대한 정확한 기준은 뭐가 있나요?
국내도, 해외도 마스킹에 대한 명확한 기준은 없습니다.
대신 '표시제한을 할 수 있다.' or '해야 한다' 는 원칙과 방향을 주고,
각 기관과 기업은 업무 목적(가용성)과 보안성(기밀성)을 고려해여 직접 적용하여야 합니다.
개인정보보호법 행정규칙인 개인정보의 안전성 확보조치 기준과 ISMS-P 인증 기준엔 다음과 같이 개인정보 최소 노출에 대한 기준이 명시되어 있습니다.
개인정보의 안전성 확보조치 기준
제12조(출력ㆍ복사시 안전조치)① 개인정보처리자는 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화하여야 한다.
ISMS-P 인증 기준
2.6.3. 응용프로그램 접근
사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
2. 개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
- 응용프로그램(개인정보처리시스템 등)에서 개인정보 등 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화
- 개인정보 검색 시에는 과도한 정보가 조회되지 않도록 일치검색(equal검색)이나 두 가지 조건 이상 의 검색조건 사용 등(이하 개정 23.11.23.)
- 업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보처리시스템에 대한 접근권한 범위 내에서 최소한의 개인정보 출력
- 업무상 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치
- 오피스 파일(엑셀 등)에서 개인정보가 숨겨진 필드 형태로 저장되지 않도록 조치
- 웹페이지 소스 보기 등을 통하여 불필요한 개인정보가 출력되지 않도록 조치 등
그외 국제 인증 기준인 GDPR, CCPA, HIPAA 등은 마스킹에 대한 명확한 기준 보다
재식별 위험이 낮은 수준으로 마스킹을 적용하고,
목적에 필요한 최소한의 이용,
기술적, 조직적 보호조치의 준수
등을 요구하는 구조입니다.
(※ GDPR: EU의 강력한 개인정보 기준, CCPA: 미국 내 가장 영향력 있는 데이터보호법, HIPAA: 의료 데이터 보호의 대표 법)
세번째,
무작정 개인정보를 최소 노출(마스킹) 하기전에, 실무에서의 중요한 관점을 생각해야 합니다.
마스킹만 강하게 하면 끝일까요? 보통은 반대입니다.
마스킹을 너무 강하게 하면 업무가 멈추고,
결국 "잠깜만요" 하고 마스킹을 풀어버리거나
엑셀 다운로드 또는 별도 메모로 기록하는 2차 위험요소를 만들게 됩니다.
그래서 마스킹은 접근통제 + 출력통제 + 로그 + 권한관리와 함께 설계 되어야 합니다.
- 기밀성(Confidentiality): 과노출을 줄이고, 유출 피해를 줄인다.
- 가용성(Availability): 현업이 제때 업무를 처리할 수 있어야 한다.
이 두 개의 균형을 맞추는 게 핵심입니다.
네번째,
그럼, 항목별 마스킹에 대한 기본값을 알아보겠습니다.(실무에서 많이 쓰는 패턴)
아래 표는 "법적 강제"가 아니라, "공공/기업 프로젝트에서 가장 자주 사용되는 기본값(출발점)" 이라고 봐주시기 바랍니다.
해당 표를 참고하시어 기업에 적합한 기준을 수립하고, 해당 기준을 기업의 '개인정보 마스킹 기준'으로 수립하여
개인정보 처리시스템 전반에 일관되도록 적용하는게 필요합니다.
만약, 아래 표에 없는 추가 마스킹 기준이 필요한 경우는 아래 표를 참고하시어 기업에 맞는 적절한 기준을 수립하면 됩니다.
| 구분 | 적용 예시 | 출처 또는 근거 |
| 이름 | 홍*동 / 홍* | - |
| 주민등록번호 | 900101 - ******* /
900101 - 1******(성별 필요시) | - |
| 휴대전화번호 | 010 - **** - 5678 / 010 - 1234 - **** | - |
| 유선/팩스번호 | 02 - **** - 5678 / 02 - 1234 - **** | - |
| 주소(도로명/지번) | 서울특별시 구로구 구로동 811, ***** /
서울시 구로구 디지털로 34길 55,***** | - |
| 생년월일 | 2012**** / 201210** | - |
| 이메일 | ab***@gmail.com /
abcd****@gmail.com | - |
| 카드번호 | 1234 - 56** - **** - 5678 /
1234 - **** - **** - 5678 | 여신금융협회 '신용카드 단말기 정보보호 기술기준'
: 7 ~ 12번째 마스킹 처리하여 저장 요구
PCI-DSS 기준 : 최대 6자리, 뒤 최대 4자리 표기 가능 |
| 계좌번호 | 1234 - 56** - **** - 5678 /
**** - **** - **** - 5678 /
**** - **** - **34 - 5678 | PCI-DSS 기준 : 처음 6 자리, 뒤 최대 4자리 표기 가능 |
| 여권/운전면허 | M1234****
12 - 34 - 5678** - ** | - |
| IP주소 | 192 . 168 . *** . ***
192 .168 . 100 . ***
| - |
| CI(연계정보) | aBC45b7************... |
|
다섯번째,
"그렇게 하나하나 가리면 일이 안됩니다!"
현업에서 터지는 불만들.... ㅠㅠ
마스킹 원칙대로 하면 업무 가용성에 많은 문제들이 발생합니다.
예시를 한번 볼까요?
(1) 결제 오류 처리 중 주문번호·카드번호가 마스킹되어 확인이 불가능
- 상황: 쇼핑몰 운영자가 고객의 “결제 실패” 문의를 처리해야 하는데, 주문번호가 T2024****22, 카드번호도 앞뒤 조금만 보임.
- 문제: 마스킹된 정보로는 결제 로그와 대조가 불가능 → PG사에 다시 확인 요청해야 해서 처리 시간이 몇 배로 늘어남.
(2) 내부 보안팀 로그 분석 중 ‘누가 무슨 행동을 했는지’ 구분 불가
- 상황: 보안팀이 이상 행동을 찾으려 하는데, 직원 ID가 us23**, us24**처럼만 보임.
- 문제: 누가 문제 행위를 했는지 특정할 수 없어 분석 자체가 불가능 → 보안 이벤트 대응이 지연됨(심각한 가용성 문제).
(3) 정산·영수증 확인 화면에서 담당자 이름이 전부 김OO / 이OO
- 상황: 회계팀이 거래처 영수증을 확인해야 하는데 담당자 이름이 전부 김OO / 이OO.
- 문제: 어떤 건인지 구분이 안 돼서 매입·매출 대조가 불가 → 결국 관리자 권한 가진 사람에게 다시 요청해야 함 → 매월 업무 지연.
(4) 인사팀이 직원 정보 관리 중 이름이 김*수, 김*수로 동일하게 보임
- 상황: 부서 이동·좌석 변경 등을 처리하는데 이름이 모두 비슷하게 마스킹됨.
- 문제: 잘못된 직원 정보를 수정할 위험이 생기고, 정확히 확인하려면 또 다른 시스템에서 원본 정보를 찾아야 해 업무가 느려짐.
(5) 고객센터 상담 중 본인 확인이 어려움
- 상황: 고객센터 직원이 고객을 도와주려는데 화면에는 홍*동, 전화번호 010-12-45** 형태만 보임.
- 문제: 동일인 확인이 안 돼 상담이 지연되고, 결국 조회 권한 있는 직원을 다시 부르거나 전화를 다시 돌려야 함.
(6) A/S 접수 현장에서 고객 요청 내역을 찾지 못함
- 상황: 제품 A/S 맡긴 고객이 “지난번에 맡겼던 접수 번호로 확인해달라”고 요청하는데, 접수 번호가 R24****17까지만 보여 전체 기록과 매칭이 안 됨.
- 문제: 고객 불만 증가 + 현장 직원은 백오피스에 계속 확인 요청해야 함.
(7) 교육/세미나 참석자 명단 확인 불가
- 상황: 오프라인 교육 참석 명단이 최영, 최영, 최*영처럼 여러 명.
- 문제: 출석 체크/수료증 발급 오류 → 행사 운영 혼란.
이렇듯 마스킹 원칙만 고수하다간 업무 마비가 올지 모릅니다.
또한 ISMS-P 내부통제에 요구사항은 다음과 같습니다.
- 일치검색(Exact Match)
- 2가지 이상 조건 검색(예: 이름+휴대폰 뒤4자리)
ISMS-P 기준까지 준수 하다보면, 콜센터, CS, 현장영업에서는 다음과 같은 문제점이 또 발생할 수 있습니다.
- 통화 음질/발음 문제로 “abcd”가 “abc”로 들림
- 긴급 상황(사고/분쟁) 대응은 속도가 중요한데 지연 문제 발생
즉, ‘원칙’은 맞지만 ‘항상 가능한 것’은 아닙니다.
여섯째,
그래서 답은 뭔가요? 어떻게 해야하는 걸까요?
그래서 업무 흐름 기반으로 단계형 마스킹 설계가 필요합니다.
마스킹을 ON/OFF 로만 보면 현업과 어떤 협의점도 찾을 수 없습니다.
업무의 가용성과 보안의 기밀성을 효과적으로 챙길 수 있는 방법은 단계형(레이어드)설계 입니다.
그리고 불가피한 환경에 대한 객관적 또는 타당한 사유에 대한 기록 입니다.
1단계, 업무상 필요한 최소 정보를 제외한 기본 마스킹 적용
업무의 기밀성을 유지하기 위한 기본 원칙은 목록, 검색, 조회 기본화면에서는 항상 마스킹된 값만 노출 입니다.
O 적용 방식
ex) 홍*동 / 010 - **** - 5678 / ab***@gmail.com / 880101 - *******
O 적용 범위
개인정보가 포함된 목록 화면, 검색 결과, 로그/감사 화면의 기본 출력
2단계, 필요 시 선택적으로 상세 화면에서만 추가 정보 조회
기본 마스킹이 적용된 상태에서, 업무 효율을 위해 특정 사용자만 상세정보(부분 또는 전체)를 볼 수 있도록 단계적으로 열어줍니다.
O 동작 방식
- 목록은 마스킹 된 값
- 상세를 클릭했을 때 추가 정보 노출
- 단, '고유식별정보' 등 중요정보는 마스킹 유지 가능
O 적용 방식
ex) 목록 : 홍*동 / 010 - **** -5678
ex) 상세 : 홍길동 / 010 - 1234 - 5678 / abcde@gmail.com
3단계, 기본 마스킹 적용이 불가한 객관적인 명확한 사유 또는 근거 기록
기본 마스킹 적용을 예외를 허용하려면 "필요할 것 같아서"가 아니라 외부 감사원, 심사원 등 외부자가 납득할 수 있는 명확한 사유 또는 근거가 필요합니다.
O 업무 필수성에 따른 사규 또는 근거 기록
- 본인 확인, 사고/분쟁 처리, 세금계산서 발행, 금융사기/위변조 탐지, 서비스 장애 대응
- 마스킹 처리 시 업무가 상당히 지연되거나 중단
- 법적 리스크가 발생
4단계, 중요정보 출력 화면에 대한 추가 보호조치
법적 요구사항 또는 개인정보 및 정보보호 관리체계 에서 요구하는 보호조치는 당연히 기본적으로 적용하여야 합니다.
추가로 개인정보 또는 중요정보가 출력되는 화면에서의 추가적인 보호조치가 필요한데요.
첼라에서는 다음과 같은 기준을 권장하고 있습니다.
O 화면/목록 보호조치
- 화면당 최대 50건 이하로 리스트 출력
- 검색 기간 최대 1년 이하로 설정
위 4단계 정도만 적용하면 마스킹에 대한 원칙적 보호조치는 충분합니다.
마지막으로,
보안팀은 기밀성을, 현업은 가용성을 중요하게 생각하는건 매우 당연한 일입니다.
중요한 건 서로를 이기는 것이 아니라
사고를 예방하고,
서비스를 중단없이 운영하며,
더 안전하고 효율적인 업무 환경을 만들어 가는 데 있지 않을까요?
첼라는 실제 현업이 사용하는 화면과 감사자가 확인하는 기준을 동시에 고려하여
각 조직의 업무 현실에 맞는 마스킹(표시제한) 정책을 함께 설계하고 있습니다.
이 글이 기업이 자체적인 마스킹 표준을 수립하고
업무 효율성과 정보보호 수준을 함께 높이는 데 작은 도움이 되었으면 합니다.
 김민수 책임 | kms@cela.kr |
하긴 해야 하는데.... 참 골치하는 마스킹 적용...
오늘은 이 개인정보 마스킹 처리 기준에 대해서 알아보겠습니다.
웹.앱.업무 시스템에서 개인정보를 조회하다 보면 화면에 이름, 전화번호, 주소, 생년월일이 그대로 노출되는 순간이 있습니다.
마스킹(표시제한)은 그 순간의 위험을 낮추는 현실적인 보호장치 입니다.
다만 실무에서는 늘 이런 질문이 따라옵니다.
- 우린 내부망인데... 화면 마스킹이 그렇게 중요한가요? 내부망 접근통제가 다 되어있고, 외부에서 들어올 수 없는데... 꼭 해야 하나요?
- 법에 몇 자리 가리라고 딱 정해둔게 있나요? 법에 없으면 안해도 되는거 아닌가요?
- 다 마스킹 처리 하면 현업이 일을 못하는데.. ISMS-P 에서는 또 일치검색 하라고 하고... 어디에 맞춰야 하나요?..
오늘 글은 그 갭을 매우기 위한 가이드입니다.
법, 정보보호 관련 인증 기준 등이 말하는 '원칙', 현장에서 실제로 발생하는 업무 가용성 문제,
그리고 감사.심사 대응까지 어떻게 하면 좋을지 같이 한번 정리해보겠습니다.
첫번째,
마스킹은 왜 하는걸까요? (내부망 에서도 해야하나요?)
마스킹의 목적은 한 문정으로 정리할 수 있습니다.
개인정보 유출의 "가능성"과 "피해 규모"를 동시에 낮추기 위해서
“인터넷망 차단 + 접근통제 + 로그”가 있어도… 화면 노출은 여전히 공격 표면(Attack Surface)이 됩니다.
실무에서 자주 보는 위협 시나리오를 몇 가지로 정리해볼게요.
(1) 어깨너머 훔쳐보기(Shoulder Surfing)
콜센터/영업점/상담창구 등에서 옆자리, 뒤자리, 방문 고객에게 화면이 보이는 순간이 생깁니다.
특히 VIP 상담, 지점 업무처럼 **‘사람이 사람을 상대하는 환경’**에서는 이 리스크가 큽니다.
(2) 사진 촬영/화면 캡처
내부망이라도 스마트폰 카메라로 1초면 끝입니다.
Teams/Zoom 화면공유 중 실수로 개인정보가 노출되는 것도 흔히 발생할 수 있습니다.
(3) 대량 노출(한 화면에 1000건, 화면 출력하기)
마스킹이 없을수록 ‘한 번 실수’가 ‘대량 유출’로 이어집니다.
화면은 조회 전용이라도, 출력/복사가 이 열려 있으면 유출 난이도가 확 떨어집니다.
(4) 내부자 오남용(권한이 있는 사람의 문제)
‘외부 해커’보다 ‘내부에서 합법적으로 조회 가능한 사람’이 더 현실적일 때가 많습니다.
마스킹은 내부자의 업무를 막는 게 아니라, 업무상 불필요한 과노출을 줄이는 장치입니다.
(5) 자동화/파싱(OCR/스크래핑)
화면에 노출된 개인정보는 OCR/스크린 리더/자동 캡처로 쉽게 구조화됩니다.
특히 반복 조회가 가능한 화면(고객 목록/조회 결과)은 “데이터 덤프”가 되기 쉽습니다.
정리하면,
마스킹은 '외부침입' 방어가 아니라 '노출 최소화'에 가깝고,
실무에선 사람(현업), 화면(목록), 출력(내보내기)에서 위협이 발생 가능성이 높아집니다.
두번째,
그럼 이 마스킹에 대한 정확한 기준은 뭐가 있나요?
국내도, 해외도 마스킹에 대한 명확한 기준은 없습니다.
대신 '표시제한을 할 수 있다.' or '해야 한다' 는 원칙과 방향을 주고,
각 기관과 기업은 업무 목적(가용성)과 보안성(기밀성)을 고려해여 직접 적용하여야 합니다.
개인정보보호법 행정규칙인 개인정보의 안전성 확보조치 기준과 ISMS-P 인증 기준엔 다음과 같이 개인정보 최소 노출에 대한 기준이 명시되어 있습니다.
개인정보의 안전성 확보조치 기준
제12조(출력ㆍ복사시 안전조치)① 개인정보처리자는 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화하여야 한다.
ISMS-P 인증 기준
2.6.3. 응용프로그램 접근
사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
2. 개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
- 응용프로그램(개인정보처리시스템 등)에서 개인정보 등 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화
- 개인정보 검색 시에는 과도한 정보가 조회되지 않도록 일치검색(equal검색)이나 두 가지 조건 이상 의 검색조건 사용 등(이하 개정 23.11.23.)
- 업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보처리시스템에 대한 접근권한 범위 내에서 최소한의 개인정보 출력
- 업무상 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치
- 오피스 파일(엑셀 등)에서 개인정보가 숨겨진 필드 형태로 저장되지 않도록 조치
- 웹페이지 소스 보기 등을 통하여 불필요한 개인정보가 출력되지 않도록 조치 등
그외 국제 인증 기준인 GDPR, CCPA, HIPAA 등은 마스킹에 대한 명확한 기준 보다
재식별 위험이 낮은 수준으로 마스킹을 적용하고,
목적에 필요한 최소한의 이용,
기술적, 조직적 보호조치의 준수
등을 요구하는 구조입니다.
(※ GDPR: EU의 강력한 개인정보 기준, CCPA: 미국 내 가장 영향력 있는 데이터보호법, HIPAA: 의료 데이터 보호의 대표 법)
세번째,
무작정 개인정보를 최소 노출(마스킹) 하기전에, 실무에서의 중요한 관점을 생각해야 합니다.
마스킹만 강하게 하면 끝일까요? 보통은 반대입니다.
마스킹을 너무 강하게 하면 업무가 멈추고,
결국 "잠깜만요" 하고 마스킹을 풀어버리거나
엑셀 다운로드 또는 별도 메모로 기록하는 2차 위험요소를 만들게 됩니다.
그래서 마스킹은 접근통제 + 출력통제 + 로그 + 권한관리와 함께 설계 되어야 합니다.
- 기밀성(Confidentiality): 과노출을 줄이고, 유출 피해를 줄인다.
- 가용성(Availability): 현업이 제때 업무를 처리할 수 있어야 한다.
이 두 개의 균형을 맞추는 게 핵심입니다.
네번째,
그럼, 항목별 마스킹에 대한 기본값을 알아보겠습니다.(실무에서 많이 쓰는 패턴)
아래 표는 "법적 강제"가 아니라, "공공/기업 프로젝트에서 가장 자주 사용되는 기본값(출발점)" 이라고 봐주시기 바랍니다.
해당 표를 참고하시어 기업에 적합한 기준을 수립하고, 해당 기준을 기업의 '개인정보 마스킹 기준'으로 수립하여
개인정보 처리시스템 전반에 일관되도록 적용하는게 필요합니다.
만약, 아래 표에 없는 추가 마스킹 기준이 필요한 경우는 아래 표를 참고하시어 기업에 맞는 적절한 기준을 수립하면 됩니다.
900101 - 1******(성별 필요시)
서울시 구로구 디지털로 34길 55,*****
abcd****@gmail.com
1234 - **** - **** - 5678
: 7 ~ 12번째 마스킹 처리하여 저장 요구
PCI-DSS 기준 : 최대 6자리, 뒤 최대 4자리 표기 가능
**** - **** - **** - 5678 /
**** - **** - **34 - 5678
12 - 34 - 5678** - **
192 .168 . 100 . ***
다섯번째,
"그렇게 하나하나 가리면 일이 안됩니다!"
현업에서 터지는 불만들.... ㅠㅠ
마스킹 원칙대로 하면 업무 가용성에 많은 문제들이 발생합니다.
예시를 한번 볼까요?
(1) 결제 오류 처리 중 주문번호·카드번호가 마스킹되어 확인이 불가능
(2) 내부 보안팀 로그 분석 중 ‘누가 무슨 행동을 했는지’ 구분 불가
(3) 정산·영수증 확인 화면에서 담당자 이름이 전부 김OO / 이OO
(4) 인사팀이 직원 정보 관리 중 이름이 김*수, 김*수로 동일하게 보임
(5) 고객센터 상담 중 본인 확인이 어려움
(6) A/S 접수 현장에서 고객 요청 내역을 찾지 못함
(7) 교육/세미나 참석자 명단 확인 불가
이렇듯 마스킹 원칙만 고수하다간 업무 마비가 올지 모릅니다.
또한 ISMS-P 내부통제에 요구사항은 다음과 같습니다.
ISMS-P 기준까지 준수 하다보면, 콜센터, CS, 현장영업에서는 다음과 같은 문제점이 또 발생할 수 있습니다.
즉, ‘원칙’은 맞지만 ‘항상 가능한 것’은 아닙니다.
여섯째,
그래서 답은 뭔가요? 어떻게 해야하는 걸까요?
그래서 업무 흐름 기반으로 단계형 마스킹 설계가 필요합니다.
마스킹을 ON/OFF 로만 보면 현업과 어떤 협의점도 찾을 수 없습니다.
업무의 가용성과 보안의 기밀성을 효과적으로 챙길 수 있는 방법은 단계형(레이어드)설계 입니다.
그리고 불가피한 환경에 대한 객관적 또는 타당한 사유에 대한 기록 입니다.
1단계, 업무상 필요한 최소 정보를 제외한 기본 마스킹 적용
업무의 기밀성을 유지하기 위한 기본 원칙은 목록, 검색, 조회 기본화면에서는 항상 마스킹된 값만 노출 입니다.
O 적용 방식
ex) 홍*동 / 010 - **** - 5678 / ab***@gmail.com / 880101 - *******
O 적용 범위
개인정보가 포함된 목록 화면, 검색 결과, 로그/감사 화면의 기본 출력
2단계, 필요 시 선택적으로 상세 화면에서만 추가 정보 조회
기본 마스킹이 적용된 상태에서, 업무 효율을 위해 특정 사용자만 상세정보(부분 또는 전체)를 볼 수 있도록 단계적으로 열어줍니다.
O 동작 방식
- 목록은 마스킹 된 값
- 상세를 클릭했을 때 추가 정보 노출
- 단, '고유식별정보' 등 중요정보는 마스킹 유지 가능
O 적용 방식
ex) 목록 : 홍*동 / 010 - **** -5678
ex) 상세 : 홍길동 / 010 - 1234 - 5678 / abcde@gmail.com
3단계, 기본 마스킹 적용이 불가한 객관적인 명확한 사유 또는 근거 기록
기본 마스킹 적용을 예외를 허용하려면 "필요할 것 같아서"가 아니라 외부 감사원, 심사원 등 외부자가 납득할 수 있는 명확한 사유 또는 근거가 필요합니다.
O 업무 필수성에 따른 사규 또는 근거 기록
- 본인 확인, 사고/분쟁 처리, 세금계산서 발행, 금융사기/위변조 탐지, 서비스 장애 대응
- 마스킹 처리 시 업무가 상당히 지연되거나 중단
- 법적 리스크가 발생
4단계, 중요정보 출력 화면에 대한 추가 보호조치
법적 요구사항 또는 개인정보 및 정보보호 관리체계 에서 요구하는 보호조치는 당연히 기본적으로 적용하여야 합니다.
추가로 개인정보 또는 중요정보가 출력되는 화면에서의 추가적인 보호조치가 필요한데요.
첼라에서는 다음과 같은 기준을 권장하고 있습니다.
O 화면/목록 보호조치
- 화면당 최대 50건 이하로 리스트 출력
- 검색 기간 최대 1년 이하로 설정
위 4단계 정도만 적용하면 마스킹에 대한 원칙적 보호조치는 충분합니다.
마지막으로,
보안팀은 기밀성을, 현업은 가용성을 중요하게 생각하는건 매우 당연한 일입니다.
중요한 건 서로를 이기는 것이 아니라
사고를 예방하고,
서비스를 중단없이 운영하며,
더 안전하고 효율적인 업무 환경을 만들어 가는 데 있지 않을까요?
첼라는 실제 현업이 사용하는 화면과 감사자가 확인하는 기준을 동시에 고려하여
각 조직의 업무 현실에 맞는 마스킹(표시제한) 정책을 함께 설계하고 있습니다.
이 글이 기업이 자체적인 마스킹 표준을 수립하고
업무 효율성과 정보보호 수준을 함께 높이는 데 작은 도움이 되었으면 합니다.
김민수 책임 | kms@cela.kr