I. 서론
지난 2011년 9월부터 2015년 6월까지 개인정보가 유출된 인원이 총 1억3,000만명(건)으로 국내 금융회사는 외부 불법 침입, 내부시스템 접속관리 소홀 및 저장매체 관리 소홀 등 직원의 고의나 실수에 의한 개인정보 불법유출 사고로 인해 심각한 기업이미지 손실과 금전적인 배상의 손실을 경험하고 있다[1].
개인정보는 개인에 관한 정보 중에서 직·간접적으로 각 개인을 식별할 수 있는 정보를 가리키며 식별 가능성이 없는 정보는 개인 정보로 보지 않는다. 즉 “개인을 식별할 수 있는 기록된 정보 중 주로 체계적으로 관리되고 이용되는 정보”를 말한다.
따라서 법인이나 단체에 대한 정보는 개인정보가 될 수 없으며, 해당정보의 주체가 특정이 가능하여야 한다. 즉, 어떤 정보가 집단에 속한 사람들에 관한 정보이기는 하나 특정한 개인에 대한 정보라고 할 수 없는 경우에는 개인정보가 아니다. 다만 단체에 속한 정보라고 하더라도 소규모 집단이고 특정기간에 개인이 처한 특수한 상황이 적시됨으로써 해당 개인이 추정 가능한 경우에는 개인정보라고 할 수 있다[2].
금융회사는 다른 산업의 비해 상대적으로 많은 개인정보를 보유하고 있는 것은 물론, 개인 또는 법인의 금융거래정보를 다루기 때문에 다른데 보다 보안에 민감하고 그 정보의 가치가 중요하다. 정보화 사회의 발전에 따라 개인정보의 금전적 가치는 증대되고 개인정보의 음성적인 용도가 다양해져 지하경제에서 공공연히 개인정보가 거래·유통 되어 개인정보에 대한 유출의 시도가 증가하고 있으며, 2014년 발생한 카드 3사의 정보유출 사고로 인한 카드 해지와 재발급, 창구방문, 업무폭증 및 영업 손실 등의 총 예산손실을 최소 1천억원 이상으로 추정하고 있다[3].
현재 금융시스템의 운영리스크 관리체계 수립은 잘 구축되어 있는 상황이지만, 국내 금융회사의 전자금융 거래 규모가 점차 증가하고 있고 다양하고 급속하게 변화하는 비즈니스 환경의 업무요건을 반영하기 위해 복잡한 정보기술(IT)시스템 구조가 되어 있어 IT내부인력이 부족하고 금융회사 내 IT도급 정책에 따라 상당수의 외주인력으로 대처하여 IT시스템 운영업무를 수행하고 있다.
외주 인력의 모든 업무를 통제하기란 어려우며 관리적, 물리적, 기술적 통제절차의 범위를 벗어난 내부자 위협에 많은 노출과 개인정보유출 사고가 발생될 수 있는 개연성은 여전히 높은 게 현실이다.
그리하여 금융회사는 내부통제 및 위험관리 등 IT시스템 보안관리를 강화하기 위한 노력을 경주하고자 보조기억매체(USB, CD 등)의 반출·반입 통제 등의 관리적 통제절차 뿐만 아니라 메타데이터 활용한 내부통제 등의 기술적 통제절차를 보완 강화하여 IT 컴플라이언스(Compliance)와 내부통제 절차 점검 및 보완을 통한 개인정보유출 방지에 노력하고 있다.
정보보호 컴플라이언스(Compliance) 관련 4대 주요법령은 정보통신망법, 전자상거래법, 개인정보보호법, 신용정보법이 있으며 그 외 전자문서 및 전자거래 기본법, 전자금융거래법이 있다. 매년 정보보호 컴플라이언스 강화를 위해 관련 법령의 개정과 시행세칙을 개정하여 정보보호 규제의 강화가 이루어지고 있고 개별 금융회사가 자체적으로 안전대책기준을 마련하여 안전성 및 건전성을 확보하기 위하여 내부통제 절차 강화의 후속 조치를 IT 시스템에 반영하고 있다.
Table 1.에서와 같이 매년 정보보호를 위한 컴플라이언스 관련 법령 및 세칙 개정이 이루어지고 있고 이에 금융회사는 관리적·물리적·기술적 보안 조치를 하는데 있어 통제관련 프로세스나 데이터 반영의 업무규칙이 너무 방대하여 완벽한 컴플라이언스를 준수와 내부 통제 강화를 위해서는 시간과 비용이 과다하여 효율성이 떨어진다. 이런 부분을 개선하기 위해 개인정보의 이용 흐름을 알 수 있는 메타데이터를 활용하면 정보보호 통제가 가능하다.
Table 1. Reinforced Laws Regulating Related to Information Security Compliance
본 연구에서는 메타데이터에 기초하여 개인식별속성 데이터를 정의 및 관리하고, 테이블간 결합을 통해 포괄적인 개인정보 식별 및 접근을 통제하는 프로세스를 제안한다. 제안된 프로세스는 금융감독기관의 컴플라이언스 위반 가능성을 감소시키고 내부통제를 강화시키는 데 기여한다. 마지막으로 본 연구에서는 제안한 프로세스를 반영하여 의사결정 모델을 도출하고, 이에 대한 효과성 및 효율성 분석을 통해 실증하였다.
II. 메타데이터 관리시스템 정의 및 선행연구
2.1 메타데이터 관리시스템 정의
메타데이터1)(Meta Data) 관리시스템은 전행 데이터에 대한 상세정보인 메타데이터를 일관성 있게 관리하고, 사용자의 업무활동에 활용될 수 있게 공유하기 위한 기반 시스템이다. 다양한 시스템의 DB(Data Base)구조 및 관련 정보를 수집하여 일목요연하게 정리하고 활용할 뿐만 아니라, 전행데이터 아키텍처 차원에서의 통제 및 조정을 수행할 수 있는 관리 시스템 및 관리 절차를 수립 제공하고 있다.
Fig. 1. Metadata Management System configuration (A financial company)
금융회사는 데이터를 정확하고 안전하게 처리하기 위하여 메타시스템을 구축 활용하고 있으며, 표준, 변경영향도 관리를 통하여 개발생산성을 향상시키고 표준 적용 및 데이터모델을 관리함으로써 데이터의 중복 및 데이터의 오류 제거로 인해 데이터의 신뢰성을 확보할 수 있다. 메타데이터 시스템은 메타데이터를 사용자 측면과 시스템 측면 사이에서 요구사항을 반영하며 데이터의 흐름과 변화를 분석하고 각 시스템의 메타데이터를 추출 가공하여 메타데이터 데이터베이스에 저장하고 사용자들이 쉽게 조회할 수 있도록 한다. 데이터의 일관된 관리 및 지속적 품질관리를 목표로 하고 비즈니스 데이터에 대한 이해도를 향상시키며 데이터에 대한 중앙관리를 가능하게 하고 표준화된 용어로 사용자와 인터페이스를 설계함으로써 운용시스템의 활용도를 향상시키는 기능이 있다. 또한 다양한 메타 정보의 제공으로 사용자간 의사소통 및 정보공유가 용이해지고 메타데이터 관리시스템의 기능 추가 및 확대에 대한 유연성과 안정성이 확보되어진다[4].
2.2 메타데이터 관리 및 DB 변경관리 절차
메타데이터는 데이터에 관한 구조화된 데이터로, 다른 데이터를 설명해 주는 데이터 속성정보라고도 한다. 대량의 정보 가운데에서 찾고 있는 정보를 효율적으로 찾아내서 이용하기 위해 일정한 규칙에 따라 콘텐츠에 대하여 부여되는 데이터이다. 여기에는 콘텐츠의 위치와 내용, 작성자에 관한 정보, 권리 조건, 이용 조건, 이용 내력 등이 기록되어 있다. 보통 메타데이터를 표현하기 위한 목적과 데이터를 빨리 찾기 위한 목적으로 사용하고 있다[5].
메타데이터 관리는 사용자와 IT 운영자들이 업무 수행에 필요한 정보를 쉽게 접근하고 공유할 수 있도록 메타데이터 저장소를 구축하고 지속적으로 메타데이터를 원천 장소에서 추출, 변환, 적재 하고 메타데이터가 필요한 사용자에게 전달하는 일련의 과정을 말한다.
A금융사는 국내 상위수준의 고객 정보를 관리 운용 하는 대형 금융회사이며 매우 보수적인 메타데이터관리 정책을 가지고 메타데이터 관리시스템을 운영하고 있다. A금융사는 DB(테이블, 컬럼 등) 관련 신규 또는 변경 신청과 테이블 사용권한 신청(타팀 테이블결합 포함)을 업무담당자 의뢰와 DA담당자의 표준 적정성 검사 이후 DBA(Data Base Administrator) 담당자의 물리정보 적정성 검사 및 물리 테이블 반영 순서로 작업을 처리한다. 작업 단계별 내용은 Fig 2.에서와 같이 step01~step10 단계로 구분하고 각 수행 주체별 작업내용 및 접수 확인, 작업계획서 및 작업수행 결과서 작성, 각 단계별 결재승인 절차를 순차적으로 수행하며 이 과정에서 의뢰내용 및 권한신청 오류가 발견된 경우 이전단계로 반송 처리하는 절차를 포함한 내부통제 프로세스 절차를 운영한다.
Fig. 2. Work Flow of DB Change Management (A financial company)
2.3 메타데이터 모델링 선행연구
데이터 모델링은 기업의 정보 구조를 실체(Entity) 와 관계(Relation)를 중심으로 명확하게 체계적으로 표현하고 문서화하는 기법으로 개념 데이터 모델링, 논리 데이터 모델링, 물리 데이터 모델링 등 3단계로 나눌 수 있으며, 데이터를 담고 있는 엔티티나 테이블의 속성과 인포타입을 통하여 자동으로 데이터 매핑이 가능하고 메타데이터 매핑방법에 따라 의미적 데이터 검색이 가능하다. 좋은 데이터 모델은 완전성 (Completeness), 중복 배제(Non-Redundancy), 비즈니스 룰(Business Rules), 데이터 재사용 (Data Reusability), 안정성 및 확장성(Stability and Flexibility), 간결성(Elegance), 의사소통 (Communication), 통합성(Integration) 등의 요소를 가지고 있다[6].
메타데이터 시스템을 구축 운영하면 데이터 모델에 대한 변경과 신규 업무가 추가 되었을 경우 데이터 표준화부터 DBMS까지 일원화된 체계로 데이터변경 작업을 진행할 수 있고 이를 통해 일관성 있게 데이터를 유지 및 관리할 수 있다. 모델러는 모델링할 데이터의 표준체크를 메타시스템의 표준화 검증 기능을 통해 데이터 용어를 선택하고 공통된 모델링 Tool을 통해 모델링을 진행한다. 또한 모델 신규 및 변경사항이 메타데이터 DB에 반영되도록 한다. 모델 변경 정보를 가지고 있는 메타데이터 시스템은 DBMS에 반영될 모델 변경정보가 적합한지 메타데이터 DB를 통해 검증 후 DBMS에 모델 변경 정보를 제공하고 DBA는 변경 정보를 확인 후 반영하도록 되어 있다. 반영 처리된 모델 정보는 업무개발자나 사용자들에게 쉽게 조회 할 수 있도록 제공하며 데이터 표준을 준수하도록 하고 영향도 및 변경 이력을 관리하여 데이터 품질 및 일관성과 정합성을 높여 준다[4].
“의미적 메타데이터 매핑” 프로세스를 적용할 경우 항목간 매핑에 중점을 두었던 기존의 단순한 메타데이터 크로스워크에서는 제대로 드러나지 않았던 의미 호환의 성격을 보다 확실히 보여주는 것이며, 또한 크로스워크 방식에 의한 메타데이터의 상호운영 효율을 대폭 향상시킬 수 있는 기능성을 보여주는 것이라 할 수 있다[7].
Table 2. Identification of common data element concepts[7]
메타데이터 관리를 위한 요구사항을 식별하고, 이 요구사항을 반영한 자원 기술 프레임워크 메타데이터 에 초점을 맞춘 모델 제시[22]와 고수준 데이터를 발견하고 오브젝트를 식별하여 데이터 모델에서 이용한 사례[23], 금융회사 데이터센터에 기반한 메타데이터 관리 시스템 아키텍처를 제안하고, 실제 적용한 결과를 통해 데이터 분석 및 관리를 향상시킬 뿐만 아니라, 은행의 데이터센터의 융통성과 확장성을 증가시키는 방법 등의 선행연구 사례를 검토해 보았다[24].
2.4 금융 IT보안 컴플라이언스 선행연구
현재 금융회사에 해당하는 법률 및 표준은 “정보통신망이용촉진 및 정보보호 등에 관한 법률”, “신용정보의 이용 및 보호에 관한 법률”, “전자금융거래법”, “금융 실명거래 및 비밀보장에 관한 법률”, “정보통신기반보호법”, “KISA ISMS”, “PCI-DSS”[8], “Basel II”[9], “SAS70”[10] 등 총 9개의 금융 정보보안 관련 법률이 있으며 매년 법령의 개정 및 시행세칙 개정에 대한 위험관리를 위해서 법령준수 등을 통한 컴플라이언스 및 내부통제 절차를 정비하는데 이와 관련된 현황 파악이나 기술적 대책 등의 논문은 Table 3.와 같다.
Table 3. Prior studies what related financial information security and compliance
III. 메타데이터를 활용한 개인정보 처리 절차
Ⅰ의 문제점에 대해서 해결하기 위하여 정보보호 금융보안측면에서 금융감독기관의 컴플라이언스 및 내부 통제 위반 가능성을 없애는 프로세스를 도출하기 위해 Ⅱ에서 알아본 메타데이터 관리시스템 기반에서 개인정보 식별 및 접근을 통제하는 프로세스를 제안하여 완벽한 컴플라이언스 준수와 내부통제 강화, 그리고 제안 결과에 따라 비용을 줄이고 효율성과 효과성을 높이는 방법을 제시해본다.
3.1 메타데이터 관리시스템 DB 변경관리 문제점
A금융사는 메타데이터 관리시스템을 이용하여 테이블 신청(신규, 변경 등)과 테이블 권한신청을 Fig 3. 와 같은 절차에 의하여 처리한다. 이 과정 중 DBA 작업검토 및 승인 단계에서 기존데이터의 개인정보 식별과 테이블 신규, 변경 시 개인정보 식별 및 테이블간 결합에 의한 개인정보 식별, 테이블 권한 검증 등의 의사결정 규칙 검토 확인을 수작업 프로세스로 진행하고 변경관리자 단계와 DBA 작업수행 및 테이블 변경단계가 이어진다.
Fig. 3. Before-Improvement Meta System process (A financial company)
따라서 DB 변경신청 준비단계에서부터 DBA작업 검토 및 승인 단계까지의 메타 표준화 절차를 수작업 진행하여 금융감독기관의 컴플라이언스 적용지연 요소가 발생되고 정보보호 위협에 노출되어 정보보안사고 발생 개연성이 높다.
3.2 메타 개인식별속성정보 정의 및 활용
개인식별정보(Personally Identifiable Information)란 개인을 직접 식별하거나 유추하여 알 수 있는 모든 정보로 이름, 주소, 이메일주소, 신용카드번호, 주민등록번호 등 개인정보를 말한다[11].
금융회사는 특정 속성데이터만으로는 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에도 개인식별정보에 해당되어 보호대상 자산으로 식별하여 개인정보 데이터로 정의하고 개인정보 생명주기에 의해 수집, 보유, 이용, 제공, 파기의 내부통제 절차를 마련하여 보호하고 있다.
메타데이터의 개인식별속성정보(Personally Identifiable Attribute Information)란 보호대상 자산인 개인정보 데이터를 효율적으로 식별관리하고 활용하기 위하여 메타데이터 관리시스템 내 표준정보로 등록하고 테이블정보의 신규, 변경, 삭제와 테이블 사용권한, 컴플라이언스 및 내부통제를 위한 점검 프로세스에 적용하는 메타 속성데이터를 말한다.
Table 4.는 각 금융회사에서 개인정보데이터를 식별하기 위하여 메타시스템 내의 개인식별정보와 개인식 별속성정보(A금융사만 사용)를 관리하는 데이터유형을 나타낸 것이다. 각 금융회사에서 개인식별속성정보를 만들어 메타시스템 내 활용하는 것이 의무사항이 아니고 표준화된 개인식별정보 및 개인식별속성정보 데이터 정의와 데이터 관리 프로세스가 없어 정보보호체계를 점검하고 새로운 보안위협에 체계적이고 효과적으로 대응하는데 어려움이 있다.
Table 4. Specific Personal Identifiable Information Defined by 5 Financial Companies
따라서 메타데이터의 개인식별속성정보를 정의하고 관리절차를 만들어 정보보호체계를 점검하고 보안위협에 대응하기 위하여 활용한다.
3.3 메타 개인정보 처리 의사결정 모델 제시
본 연구에서는 개선전 DB변경관리 프로세스 절차를 수행한 데이터를 가지고 상관분석과 회귀분석을 했다. 그 결과 개인정보 식별 하는 것이 있으면 리드타임이 늘어나는 게 통계적으로 확연히 나타났다. 그래서 프로세스 개선을 하였고, 그 결과는 Fig 7.의 내용과 같다. Fig 3.의 메타시스템 프로세스를 개선하여 적용한 결과를 토대로 개선전과 개선 후의 리드타임을 조사 했고 확연히 리드타임이 줄어들었다. 더 나아가, 효과성도 분석해 본 결과 효과가 확연했다.
Fig. 7. The distribution chart of Time Series lead time after improvement
본 연구에서 상관분석과 회귀분석 시 사용한 메타데이터 관리시스템 거래로그 데이터는 업무논리모델과 업무물리모델의 관리정보항목(업무주제영역, 업무엔티티, 테이블, 컬럼 등)의 개인식별속성정보 매핑관리 모델 변경 작업을 하는 과정의 거래이력데이터 정보로써 DB 신규 또는 변경신청정보, 테이블 사용권한 신청 정보, 내부직원 또는 외부직원의 신청의뢰자 정보가 있으며 Fig 2.의 변경관리 절차의 각 STEP별 이력정보를 포함하고 있다. 개인식별속성정보의 메타데이터 매핑 관리 속성 대상은 Table 5.와 같다.
Table 5. Personally Identifiable Attribute Information data format in Financial company A
메타데이터 관리시스템 거래로그 자료는 A금융사의2013년 01월 01일부터 2015년 10월 16일까지 약 2 년 10개월의 기간이며, 2014년 06월 01일 기준으로 메타시스템 프로세스 개선 전과 개선 후로 구분된다. 거래로그는 총 18,041건으로 프로세스 개선전(2013년 01월 01일부터 2014년 05월 31일까지) 10,460건과 프로세스 개선 후(2014년 06월 01일부터 2015년 10월 16일까지) 7,581건을 대상으로 했다.
3.3.1 가설설정과 변수설정
메타데이터 관리시스템의 거래로그 데이터를 이용한 상관도 분석은 SPSS23 (Statistical Packages for Social System)을 사용하였으며, 상관분석 시 적용된 상관계수는 Pearson 상관계수이다.
• 가설1 : 테이블 신규, 변경의 의뢰건수가 많은 경우 분석 작업량이 많아 리드타임이 오래 걸린다.
• 가설2 : 팀내의 테이블 튜닝을 위하여 인덱스 권한을 신청하는 경우 리드타임이 오래 걸린다.
• 가설3 : 타팀의 테이블을 결합하는 작업을 위하여 타팀권한을 신청하는 경우 리드타임이 오래 걸린다.
• 가설4 : 개인정보 속성데이터가 있는 경우 업무규칙 적정성 판단과 데이터분석을 위하여 리드타임이 오래 걸린다.
프로세스 개선전은 개인정보 속성데이터를 식별하기 위해 기존데이터 점검과 테이블 신규, 변경 및 테이블간 결합에 의한 개인정보 사용 판단, 개인정보 있는 테이블 사용권한 확인 등의 개인정보 확인을 위한 수작업 검증으로 리드타임이 늘어났다. 그래서 개인정보 식별의 시간(비용) 효율을 높이는 프로세스를 추가해서 이를 개선했다.
Table 6.는 테이블변경, 팀내권한부여, 타팀권한부여, 개인정보식별의 변수들이 리드타임의 선형적인 상관관계를 분석하기 위하여 2013년 01월 01일부터 2014년 05월 31일까지 A금융사의 메타데이터 관리시스템에서 작업한 거래로그 10,460건을 수집하여 프로세스 개선 전 데이터를 분석한 결과이다.
Table 6. The result of correlation analysis between Lead time and Personally Identifiable Information
리드타임과의 상관분석 결과는 Table 6.와 같다.
가설1의 경우 리드타임과 테이블변경의 상관계수는 0.21로 유의확률이 0.089로 유의수준 0.01에서 귀무가설은 지지된다. 즉, 리드타임은 테이블변경과 상관관계가 없다고 할 수 있다.
가설2의 경우 리드타임과 팀내권한부여의 상관계수는 0.03로 유의확률이 0.832로 유의수준 0.01에서 귀무가설은 지지된다. 즉, 리드타임은 팀내권한부여와 상관관계가 없다고 할 수 있다.
가설3의 경우 리드타임과 타팀권한부여의 상관계수는 -.022로 유의확률이 0.082로 유의수준 0.01에서 귀무가설은 지지된다. 즉, 리드타임은 타팀권한부여와 상관관계가 없다고 할 수 있다.
가설4의 경우 리드타임과 개인정보식별의 상관계수는 -0.740로 유의수준 0.01에서 귀무가설은 기각되며 연구가설은 지지된다. 즉, 리드타임은 개인정보식별과 상관관계(-)가 있다고 할 수 있다.
분석 결과를 살펴보면 개인정보식별을 제외한 각 변수는 상관관계가 없음을 알 수 있다.
3.3.2 회귀분석
본 연구에서는 통계적으로 유효하지 않은 변수는 기각하고 통계적으로 유효한 변수만 사용하여 회귀 분석 (Regression Analysis)을 하였다.
회귀분석 결과는 Table 7.와 같다. ‘개인정보식별’을 독립변수로 하고 ‘리드타임’을 종속변수로 하는 단순 선형 회귀분석 결과 기울기(B)는 –424657.898이고 이에 대한 유의확률은 .000으로 나타났다. 이는 개인정보식별이 1점 증가할 경우 리드타임은 –424657. 898점 증가한다는 것을 의미한다. 표준화 계수인 베타 (β)값은 -.740로 나타났다. 이는 개인정보식별이 1 표준편차 증가할 경우 리드타임은 -.740 표준편차 증가한다는 것을 의미한다.
Table 7. The result of regression analysis between Lead time and Personally Identifiable Information
개인정보식별로 리드타임을 설명하는 단순선형 회귀 모형의 설명력(R²)은 .547로 나타났다. 이는 전체 리드타임의 변동 중 개인정보식별 변수로 54.7%를 설명하고 있다는 것을 의미한다. 일반적으로 좋은 회귀모형으로 간주되기 위해서는 40% 이상의 설명력이 요구되며, 60% 이상의 설명력을 나타낼 경우 매우 훌륭한 연구결과로 간주된다.
3.3.3 프로세스 개선 그래프분석
개인식별속성데이터를 이용한 자동화 처리로 개선효과가 있음을 나타내기 위해 메타시스템 프로세스 개선 전과 개선 후에 대한 상관관계를 확인한 결과 Fig 4.의 내용과 같이 개인정보 유, 무와 내부직원, 외주직원에 관계없이 개선된 프로세스를 수행하였을 때 리드타임이 줄어드는 것을 볼 수 있다. 그 원인은 DB 변경관리 과정에서 개인정보 식별 및 분석 작업(기존데이터 처리, 테이블 신규 또는 변경, 테이블간 결합, 테이블 사용권한 검증 등) 시간이 많이 소요되는 수작업 검증 결과 때문이다. 개인정보가 있는 경우 외주직원의 개선 후 리드타임이 늘어난 이유는 카드3사 정보유출사고 이후 강화된 내부통제 절차적용으로 인한 결과이다.
Fig. 4. Comparison of the lead time between former meta process and latter meta process
따라서 리드타임의 영향을 주는 것은 절대적인 분석 시간이며, 이는 개인정보유출 사고이후 컴플라이언스와 내부통제 절차의 강화에 따른 조치 결과이다. Fig 4.에서 보듯 메타시스템 프로세스 개선 전과 개선 후를 비교해 보면 리드타임 개선에 대한 상관도가 매우 높아졌다.
Fig 5.과 Fig 6.에서는 DB변경관리 의뢰 작업기간을 기준으로 리드타임을 계산하고 그 결과를 분포도 그래프로 표시한 자료이다. 메타 프로세스 개선에 따른 개선 전과 개선 후의 시계열 소요시간 분포도에서 보듯 개선 전 분산되어 있는 작업이 예측 가능한 작업범위로 모여 있어 효과성과 작업소요 시간이 개선되고 있다.
Fig. 5. The distribution chart of Time Series lead time before improvement
Fig. 6. The distribution chart of Time Series lead time after improvement
3.3.4 메타시스템 프로세스 개선 의사결정 모델 제시
본 연구에서 제안하는 A금융사의 메타데이터를 활용한 DB 변경관리 프로세스 개선에 따른 변경관리 절차는 Fig 7.와 같다. 기존의 Fig 3.의 메타시스템 프로세스를 개선하여 수작업에 의한 개인정보 식별 및 요건분석, 영향범위 판단 등의 검증을 개인식별속성정보를 이용한 개인정보 대상을 체크하고 적정성 점검 이후 표준정보 메타등록 시 자동화작업 처리하여 개인정보 대상인 경우 의사결정 규칙을 시스템적으로 연결하여 프로세스 개선 전에 수행하지 않았던 DB암호화 대상 및 사용자접근 권한 판단 등의 정보보호체계 강화를 위한 판단 프로세스를 추가하는 등의 개선작업으로 금융감독기관의 컴플라이언스 준수와 내부통제 절차 수준을 높이고 있다. 이 과정의 모든 이벤트 실행은 메타데이터 관리시스템 거래로그에 저장되고 있으며, 이를 다양한 용도로 활용되고 있다.
본 연구에서 제안하는 메타시스템을 이용한 개인정보 처리에 대한 의사결정 모델은 각 금융회사에서 표준화 되지 않은 메타시스템 DB 변경관리 프로세스 단계중 DB 검증단계에서 개선된 프로세스를 적용하면 A 금융사와 동일한 비용절감 효과와 효율적인 정보보호 정책을 수행할 수 있다. 또한, 메타시스템이 구축되어 있는 일반기업에도 본 연구의 의사결정 모델을 적용할 수 있다.
IV. 개선된 프로세스의 효과성 분석
Ⅲ에서 제시된 개인정보 처리 의사결정 모델의 효과성을 제시해본다.
4.1 메타 개인식별속성정보 활용 사례 분석
금융감독기관의 컴플라이언스를 제시된 모델을 통해 개인식별속성정보를 이용하여 개인정보의 유출 가능성을 기술적 접근통제 절차 등을 강화하여 낮춘다.
Table 8. A금융사의 사례에서 보이듯 개인식별속성정보를 활용하여 개인정보 유출 위협요소를 탐색하고 보호자원에 대한 접근 및 유출 통제로 이어져 보안 취약점을 사전에 제거하는 등 선재적 대응능력을 확보하여 안전한 금융서비스 환경 제공 및 고객 신뢰도 향상을 목표로 하고 있다.
Table 8. Examples for handling personal information using meta data in Financial company A
• 유출 통제: USB 저장매체, 모바일기기 등 개인정보유출 대상을 관리하여 반입/반출 책임자승인절차를 지켜야 하므로 내부통제강화 효과
• 접근 통제 : 개인식별속성정보가 있는 테이블데이터의 온라인/오프라인 접근통제를 실시하여 비인가자의 물리적 접근 및 탈취 예방 효과
• 보호대상과 대상 아닌 자원을 구분하여 이원화 정책수립 가능
- 보호대상인 경우 이중 승인절차 등의 강화된 개인정보보호 정책 수립
- 보호대상 아닌 경우 과도한 통제로 인한 업무처리 불편 해소
예를 들어 관리적·물리적·기술적 보안 조치를 개선된 프로세스로 컴플라이언스 노출 시간을 줄였다고 할 때 [기존시간 – 개선시간 = 컴플라이언스 노출 개선 시간]이다. 즉, 카드3사의 개인정보유출 사고와 같이 관리적 보안의 미비에 따른 개인정보의 유출 가능성이 카드사의 개인정보 보다 더 규모가 큰 개인정보를 가지고 있는 A금융사로서는 영업정지로 인한 영업 손실과 후속 처리비용 등을 가만 한다면 컴플라이언스 노출 시간을 줄여서 위험으로부터 조금 이라도 자산을 지켜야 한다.
4.2 메타 프로세스 개선 비용편익 분석
4.2.1 개발비용 산출
본 연구에서는 메타데이터 관리시스템 내 개인식별속성정보 데이터를 정의 및 관리하고 DB 변경관리 프로세스를 제시하여 컴플라이언스 및 내부통제 위반 가능성을 높이는 취약성을 없앰으로써, 효율적인 개인정보 처리에 대한 프로세스를 제시하고 있다.
이러한 메타시스템 프로세스 개선을 위해서 비용 항목을 하드웨어 구입비용, 소프트웨어 사용비용, 응용프로그램 개발비용, DB 구축비용의 4가지 항목으로 구분하여 소요비용을 계산할 수 있으나, 기 구축된 메타데이터 관리시스템을 활용함으로써 응용시스템 개발비용을 제외한 비용들은 소요비용이 없거나 미미하여 비용 산정을 하지 않았다.
메타시스템 프로세스 개선을 위한 응용프로그램 개발비용 산출방식을 다음과 같이 제시한다.
응용프로그램 개발비용 = 월 용역비(직접인건비+ 제경비(직접인건비 × 1.0) + 기술료(직접인건비+제경비 × 0.2)) × 월 투입인력
Table 9.에서 정리한 메타시스템 프로세스 개선을 위한 응용프로그램 개발비용을 산출하면 다음과 같다.
Table 9. Metadata management system improving human resource calculation process in Financial company A
• 응용프로그램 개발비용 = 12,272,808원(부가세포함) × 3.5 M/M = 42,954,828원
위 산출내용 중 용역비산출은 한국소프트웨어산업협회 고시(2014년) 중급기술자 등급기준을 적용하여 산출한 것이다. 따라서 메타시스템 프로세스 개선을 위한 응용프로그램 개발비용을 산출하면 42,954,828원이다.
4.2.2 비용편익 산출
데이터 보안통제 프로세스의 효과성을 분석하기 위한 비용편익(Cost Benefit Analysis: CBA)6)을 다음과 같이 산출한다.
3.3장 3.3.1절에서 상관관계분석의 가설1에서 개선된 리드타임을 산출하고 절약된 시간만큼 업무에 쓰인다는 전제하에 리드타임을 비용으로 환산하여 비용편익을 산출하면 다음과 같다.
메타시스템 프로세스 개선의 비용편익 = (개선된 리드타임에 대한 비용절감액 /응용프로그램 개발비용) × 100
• 메타시스템 프로세스 개선의 비용편익 = (7,473시간 × 76,705원) / 42,954,828원× 100 = 1,334.46%
위 산출내용 중 A금융사의 개선된 리드타임은 메타시스템 프로세스 개선전은 평균 5,787분, 표준편차 24,380.7분이고, 개선 후는 평균 5,197분, 표준편차 11,506.8분이다. 따라서 어플리케이션당 개선 전 평균에서 개선 후 평균을 차감하면 2시간53분(590분) 작업 소요시간을 절약하였다.
A금융사의 152개 어플리케이션과 시스템장비 노후화를 고려한 향후 5년간 시스템 운영 기준으로 총 개선 소요시간을 산출하면 7,473시간이다. 이를 한국소프트웨어산업협회 고시(2014년) 중급기술자 등급기준은 1시간당 용역비 76,705원(월20일, 1일 8시간 근무)으로 곱하면 573,216,465원이 산출된다.
따라서 A금융사의 메타 프로세스 개선의 응용프로그램 개발비용을 산출하면 42,954,828원이며, 비용편익은 약 1,334.46%가 산출된다. 비용편익 내용으로 보아 메타시스템 프로세스 개선은 상당히 큰 효과가 있다는 의미이다.
V. 결론
본 연구에서는 메타데이터 관리시스템에서 개인식별속성정보를 이용 개인정보 대상 정보를 식별하고 의사결정 규칙을 시스템적으로 연결하는 등 프로세스를 개선하였다. DB암호화 대상 및 사용자접근 권한 허용 등의 정보보호 체계 점검 및 활용범위가 많았고 기존데이터의 개인정보 사용 점검을 자동화작업 처리하여 효율적으로 정보보호 정책을 수행할 수 있어 금융감독기관의 컴플라이언스 위반 가능성을 없애고 내부통제 절차 수준을 높이는 정보보호정책을 수행할 수 있었다.
또한, 메타시스템 프로세스 개선에 따른 실증데이터를 이용 비용절감효과를 증명하였고, 그 효과성을 확인해 보았다.
향후 추가 연구방향은 정보보호 체제정비와 새로운 보안위협요소를 찾아 체계적으로 대응계획을 세우고 추진하기 위해 본 연구에서 제안한 메타데이터의 개인식별속성정보 활용을 빅데이터와 연계하여 보다 고도화된 개선 연구를 통하여 예상치 못한 정보유출사고의 위험을 감소시키는데 큰 도움이 되었으면 한다.
References
- News1, "4 years 100 003 000 million personal data breaches," http://news1.kr/articles/?2419338, Sep.12. 2015.
- Wikipedia, "Personal definition," https://ko.wikipedia.org/wiki/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4
- The total estimated damage due to leakage of the credit card company is 100 billion won, http://view.asiae.co.kr/news/view.htm?idxno=201401271103 4390924
- Sang-Hyuk Cho, "Design and Implementation of a Metadata System for Financial Information Data Modeling," The Korea Society of Computer and Information, 17(1), pp. 81-85, Jan. 2012.
- Doosan Encyclopedia, "metadata," http://terms.naver.com/entry.nhn?docId=1224192&cid=40942&categoryId =32840
- Understanding of data modeling, http://www.dbguide.net/db.db?cmd=view&boardUid=12733&boardConfigUid =9&boardIdx=31&boardStep=1
- Young Man Ko, Tae-Sul Seo, "A Study on Metadata Mapping for Semantic Interoperability," Journal of the Korean Society for Information Management, 24(4), pp. 223-238, 2007. https://doi.org/10.3743/KOSIM.2007.24.4.223
- Mapping ISO 27001 Controls to PCI-DSS V1.2 Requirements, ISO 27001 Implementer's Forum, 2009
- Basel II : Revised international capital framework http://www.bis.org/ publ/bcbsca.htm
- The First and Oldest Internet Resource Fully Dedicated to The SAS70 Auditing Standard, http://sas70.com
- Knowledge Encyclopedia Glossary, "personally identifiable information," http://terms. naver.com/entry.nhn?docId=1914415&cid=50300&categoryId=50300
- So-yi Kim, "Electronic Financial Accidents types and Responsibility Activity," KFTC, payment and information technology, pp.34-62. 2009.
- Su-Mi Lee, Jaemo Seung, "Electronic Financial Accidents types and Security Threat Classification," Journal of The Korea Institute of Information Security & Cryptology, 21(7), pp. 53-61, Nov. 2011.
- Sangjin Lee, "A Study on financial transactions, security enhanced means using the Internet," Journal of The Korea Institute of Information Security & Cryptology, 15(4), pp. 38-42, Aug. 2005.
- Seong-In Jo, Tae-hyeong Park, Jong-in Im, "Research about the Financial Institution's Preparations for Electronic Financial Accidents under New e-Financial Transaction Act," Korea Information Assurance Society, 8(4), pp. 9-19, Dec. 2008.
- Wan-jib Kim, "Integrated management and compliance across heterogeneous IT Compliance Logs," Journal of The Korea Institute of Information Security & Cryptology, 20(5), pp. 65-73, Oct. 2010.
- Tae-Hee Kim, Young-Tae kim, jae-Mo Sung, "A Study on Financial IT Security Compliance Framework," Korea Information Processing Society, 18(1), pp. 893-896, May. 2011.
- Byeong-soo Lee, Ji-sang Hwang, Dong-uk Hwang, Bong-cheol Choe, Yong-jin Hong, "IT compliance in accordance with the financial plan complies with privacy and personal information protection law enforcement Utilization Research," Journal of The Korea Institute of Information Security & Cryptology, 23(1), pp.35-43, 2013.
- Il-han Yoon, "A Study on the Effect of Information Security Compliance and Crisis Management on Information Security Trust," Information Systems Review, 17(1), pp.141-169, Apr. 2015.
- Yeong-jin Choi, Jeong-hwan Kim, "A Study on Data Security Control Model of the Test System in Financial Institutions," Journal of The Korea Institute of Information Security & Cryptology, 24(6), pp. 1293-1308 , Dec. 2014. https://doi.org/10.13089/JKIISC.2014.24.6.1293
- Seong-Cheol Cho, Cho-Yee Nam, "A Study on Application Structure for IT Operational Risk in Financial Institute," Journal of The Korea Institute of Information Security & Cryptology, 23(6), pp. 705-719, Dec. 2013.
- Missier, Paolo, Pinar Alper, Oscar Corcho, Ian Dunlop, and Carole Goble, "Requirements and Services for Metadata Management," IEEE Internet Computing Vol. 11, no. 5, pp. 17-25, 2007 https://doi.org/10.1109/MIC.2007.113
- O'Neill, Kevin, Ray Cramer, Marta Gutierrez, K. Kleese van Dam, Siva Kondapalli, Susan Latham, Bryan Lawrence, Roy Lowry, and Andrew Woolf, "The Metadata Model of the NERC Data Grid," In Proceedings of the UK e-Science All Hands Meeting, Cox, SJ (Ed.) ISBN, pp. 1-904425, 2003.
- Fu-cheng Xie, Bei-zhan Wang, Li-yan Chen, Liang Shi, Qing-shan Jiang, "Research & Application of Metadata Management System Based on Data Warehouse for Banks," Proceedings of 2008 3rd International Conference on Intelligent System and Knowledge Engineering, Vol. 1, no. 45, pp. 384-388, 2008.