[직무후기] SDC 정보보호팀 업무 리뷰 - 데이터 비식별화
카테고리: SDC
태그: Career Data Analysis SDC Review
안녕하세요, 방문자 여러분! 허니테크입니다 😊
이번 게시물부터는 본격적으로 담당했던 업무에 관해 이야기해볼 생각입니다.
그 첫번째는 정보보호팀 업무로 SDC 반출 절차와 비식별화 과정 그리고 업무를 하며 배운점과 느낀점 등을 작성해보려구요.
아무래도 공공기관 특성상 가장 중요한건 보안사항이라 엄청 디테일하게 작성하진 않겠지만 후에 제가 어떤 업무를 어떤 마음가짐으로 수행했구나를 좀 기록하고 싶어서 작성하는 글입니다!
SDC 정보보호팀은?!
SDC의 정보보호팀의 역할은 데이터에 내장된 개인정보와 민감정보를 보호하는 것입니다.
풀어서 얘기 해보겠습니다. 현재 데이터센터에선 약 50종의 DB를 제공하고 있습니다. 각 DB에는 그동안 민간인에겐 제공하지 않았던 행정DB와 민간기업에게 구매한 민간DB들의 Raw Data가 들어가 있습니다. 4차 산업 시대에 맞게 데이터 산업을 발전시키고 민간인들에게 더 많은 데이터 서비스를 제공하기 위해 위와 같은 raw data 접근권한을 주긴했지만, 사실 불특정 다수 (민간인)에게 제공하기엔 데이터에 내재된 정보가 정말 많고 또 개인정보가 많이 들어가 있는 것도 사실입니다. 따라서 본 센터에서는 분석부터 반출(분석결과를 외부로 옮기는 것) 과정에서 보안과 비식별화 작업을 철저히 하고 있습니다.
정보보호팀은 위와 같은 사명을 갖고 통계법과 반출위원회 반출기준에 의거하여 raw data 유출을 막고 이용자의 분석결과 내 민감정보를 삭제 혹은 마스킹하는 방식으로 정보를 보호하고 있습니다.
정보보호 방법
데이터 보호를 위한 비식별화 작업은 이용자에게 데이터를 제공하는 순간부터 반출 그리고 그 이후까지 수행된다.
DB 구축 중 정보보호
행정자료의 경우 각 DB 담당과에서 raw data의 민감정보가 무엇인지, 다른 DB와의 연관성을 파악한다. 후에 개인식별번호를 삭제하거나 암호화, 일련번호로 대체 그리고 가명처리를 하고 그 밖의 민감정보에 대해선 구간화 혹은 총계처리한 뒤 센터로 이관한다.
이용 중 정보보호
이용자 혹은 이용기관에서 센터 이용 등록을 할때 이용자에 대한 신상정보를 등록한다. (이때 내가 알기론 ,, 엄밀하게 이용자 심사는 거치지 않는걸로 알고 있다.)
이용등록이 완료된 이용자들에 한해 분석 이용 서비스를 제공하는데 이때 어떤 외부 자료 및 외부 장치를 반입할 수 없다. 또한, 이용시 분석실 내 통화나 촬영 불가하고 메모 또한 불가하다. (출입시에도 등록카드를 통해 들어갈 수 있음)
⭐️ 반출 신청 및 비식별화 ⭐️
데이터 분석 기관의 경우 대부분 각 기관마다 반출기준이 있다. 서울시 빅데이터 센터의 경우 각 DB에 관한 반출기준이 있고 우리 기관의 경우에도 반출기준이 따로 존재한다. 특히 “통계 데이터 센터”의 경우 원자료를 취급하기 때문에 그 반출기준이 더 엄격할 수 밖에 없다.
우선 반출이 완료되면 모니터링을 주기적으로 진행하지 않는한 정보보호를 수행하기 어렵다. 사실 현실적으로 반출이된 자료를 추적하기 어렵기 때문에 팀에서도 아주 면밀하게 비식별화를 수행하고 있다.
반출 파일에 관한 비식별화는 자료 형태와 규모 그리고 DB에 따라 다르게 수행된다.
하지만 공통적으로 수행되는 부분은 원자료에 대한 완전 삭제, K익명성 기준에 따라 마스킹이다. 해당 내용은 워낙 복잡하기도하고 어쩌면 업무 수행 대외비일 수 있어 자세하겐 작성하지 않고 이용자 제공용 pdf 자료실을 링크 달아둔다.
반출 이후 정보보호
사실상 반출 이후 따로 모니터링을 진행하진 못하지만 통계법 상 사전에 우리에게 고지한 이용목적에 따라 분석결과를 활용하는게 아니라면 법적 책임을 물 수 있다.
또한, 특정 이용 항목에 따라서는 결과물에 대한 파기서약서를 받아 특정 기간 이후엔 파기해야한다.
마지막으로 가장 중요한건 반출 허가된 결과물의 2차 가공 금지이다. 분석결과를 다른 데이터와 결합하던, 시각화 하거나 일부 추출하는 것도 엄격히 금지하고 있다.
비식별화 절차
아주 개괄적인 반출 절차 사진이다.
분석이 완료된 이용자는 아래 사진과 같이 반출 신청을 한 뒤에 심사를 받게 된다.
반출 신청에서 심사까지는 보통 1~2주 정도 소요가 되고 간단한 사항의 경우엔 더 빨리 진행되기도 한다.
이 반출자료 검토 기간동안 혹여라도 분석결과에 문제가 있다면 센터 직원이 연락하여 이부분에 대해 협조를 구하기도 한다.
정보보호 업무를 맡으며 느낀점.
정보보호팀은 SDC에서 첫 배정된 팀으로 대략 7~8개월 정도 해당 업무를 수행하게 됐다.
나는 데이터 분석 및 DB 운영을 하려고 SDC에 지원했고 근무를 위해 이사까지했는데 내가 담당할 일이 “정보보호”라니 조금은 황당했다. 나는 정보보안 쪽 공부를 하나도 하지 않았는데 ,, ‘과연 내가 ,, 업무 수행이 가능할까?’, ‘내가 가고자하는 직무 및 포트폴리오에 도움이 될까?’하는 걱정이 매우 들었다.
약 한달동안 업무에 관해 배우고 센터에 적응하며 다행히 잘 녹아들며 업무 수행을 할 수 있었다. 함께 일하는 분들이 정보보호 업무에 열정이 많았고 또 많은걸 알려줬다. 다만, 결국 하는 업무의 성격이 모니터링 및 검열이다 보니 어느정도 정신적으로 피곤하고 많은 사람들과 업무 협력을 하는 일이 잦아 힘든 부분이 있었다.
또한, 보안과 서비스 편의라는 다소 이율배반적 가치를 모두 실현해야하기 때문에 그 사이에서 고민도 많이하고 반출 기준에 대한 실무적인 연구도 많이 진행했었다.
때문에 반출 업무를 잠시 놓은 지금 돌이켜 생각해보면 어떤 부분도 명쾌하게 해결하기 힘든 업무를 수행하기 위해 힘든 부분도 많았고 팀원분들과 회의도 정말 많이 진행했던 시기였다. 덕분에 배운점도 많고 느낀점도 많았다.
느낀점.
개인적으론 ,, 업무에 있어 주어진 역할에 책임을 다하자라는 신조가 있다. (어느 사람이 그러지 않겠냐마는). 하지만 이 단어를 다른 관점으로 바라보면 내가 책임질 수 있는 부분까지만 수행하자라고 해석할 수 있다.
데이터 분석과 같이 투입과 산출이 정확하고 객관적인 결과가 직관적으로 보이는 업무가 아니라 분석 결과에 대해 끊임없이 해석하고 기준을 대입하고 벌어질 수 있는 문제에 대해 미리 판단해야한다. 즉, 업무에 관해 기계처럼 탁탁 처리할 수 없다는 얘기이다.
때문에, 늘 조금 더 실무에 맞고 일관적인 기준을 원했다. 그런 부분에 있어 팀원들과의 고민도 정말 많았다. 결국 그 과정에 대한 우리들의 의견은 있지만 결정은 권위와 책임을 갖는 분들이 해야한다 생각했다. 하지만 현실적으로 실무진과 관리자는 같은 시각으로 문제나 일을 처리할 수 없고 어떤 업무든 일종의 시간이 소요된다는걸 알고 있다. 알고 있으면서도 실제로 겪는 과정에선 아쉬움이 남는다.
마음 편하게 될대로 되라고 생각하지 않았기에 진심을 다했고 여운도 많이 남는것 같다. 그리고 ,, 내가 과연 ,, 잘했을까란 고민도 남는다. 업무를 맡게 된 이상 팀이 수행해야할 역할의 기본적인 부분은 잘 수행했다고 생각한다. 하지만 그 이상의 좋은 시스템을 정착하지 못했던 것 그리고 팀에 산적한 문제를 끝내 해결하지 못했던 부분은 아쉬움으로 남는다.
배운점.
업무를 진행하며 내가 더 상향된 부분이 몇 가지가 있다.
- 우선 내가 생각했던 것들을 남에게 잘 전달하는 법.
업무중에 반출 기준에 적합하지 않는 부분을 피드백 드리고 새로 온 팀원에게 해당 내용들을 알려드리는 활동들을 하면서 조금 요령을 갖은 것 같다.
- 분석 결과들을 해석하는 능력
정말 많은 분석결과들을 보고 해석하며 비식별화를 처리하며 어떤 분석 기법을 사용했고 어떤 항목들을 사용해서 집계표를 만들었는지에 대해 잘 이해하게 됐다. 또한, 이용자의 코드를 보며 어떤 방식으로 분석을 진행했는지를 유추할 수 있게 됐다.
- 비식별화 기법에 대한 이해와 코드를 활용한 비식별화 방법.
팀 내에 코드로 비식별화를 진행하시는 사수분이 계셨다. 사수분께 비식별화하는 방법을 배우며 대규모 분석결과를 코드를 통해 비식별화 하는 방법을 배웠다.
자료가 더 많았다면 사진 자료도 더 많이 쓰고 싶었는데 ,, 자료가 좀 부족했습니다. 그리고 느낀점을 와다다다 작성해서 좀 ,, 글도 날것 그대로의 느낌도 있구요! ㅋㅋ 가능하다면! 한번 더 글을 수정하던가 해야겠습니다.
혹시 ,, 이 글이 내부 규정 상 ,, 기밀유지에 위촉되진 않겠죠?
댓글 남기기