페이스북은 지난달 해킹을 당해 5000만명의 개인정보가 유출됐다고 발표했다. 자신의 계정이 다른 사람에게 어떻게 보이는지 미리 확인하는 ‘뷰 애즈’ 기능에 취약점이 있었으며, 이를 이용한 대규모 공격이 있었다고 밝혔다.
사고 후 미국에서 페이스북을 상대로 한 소송이 제기돼 있으며, 페이스북 유럽 지사가 있는 아일랜드 데이터보호위원회(DPC)는 이번 사고가 EU 이용자에게 미칠 영향 등에 대해 추가 정보를 요구했다. 만일 GDPR을 심각하게 위반했다는 결론이 나면 페이스북은 전 세계 매출의 4%인 16억3000만달러를 벌금으로 낼 수 있다. 우리나라 방송통신위원회 역시 페이스북에 한국인 개인정보 유출 여부 확인을 요청했다.
해킹으로 인한 개인정보 유출 사고 급증
최근 개인정보 유출 사고는 전문 해커 집단에 의해 일어나는 경향이 두드러지게 나타난다. 몇 년 전 까지만 해도 개인정보에 접근할 수 있는 내부자 혹은 외주직원에 의해 발생한 사고가 절반 이상을 차지했지만, 최근에는 해킹에 의한 사고가 대부분을 차지한다.
개인정보를 유출하는 방법은 매우 다양하다. 시스템이나 애플리케이션 취약점을 이용해 해킹하거나 DNS 쿼리에 개인정보를 넣어 유출시키는 방법, 미리 입수한 개인정보를 웹서비스에 일일이 입력해 서비스에 접속해서 추가 정보를 입수하는 방법도 사용한다. 개인정보 관리 계정을 입수해 정상 접속으로 위장하면서 개인정보를 빼가는 수법도 자주 등장한다.
수단과 방법을 가리지 않는 개인정보 유출 시도를 막기 위해서는 개인정보를 암호화하고, 개인정보 접근 권한을 강화하며, 상시 모니터링과 관제를 통해 이상행위를 차단하는 방법이 마련돼야 한다. 이 과정이 체계적으로 이뤄질 수 있도록 정책을 마련하고 운영하는 것도 반드시 필요한 일이다.
잇단 개인정보 유출 사고에 강력한 규제 등장
개인정보를 보유하고 있는 기업/기관이 이와 같은 정책을 마련하도록 강제하기 위한 규제도 강화되고 있다. 우리나라 개인정보보호법이 대표적이며 EU GDPR, 중국 네트워크안전법에서도 강력한 개인정보 보호 정책 마련을 촉구하고 있다.
우리나라에서는 개인정보보호법 외에, 기업이 정보보호 관리 체계를 갖췄는지 검증하는 개인정보보호 관리체계(PIMS) 인증 제도를 운영하고 있다. PIMS는 정보보호관리체계(ISMS)와 통합돼 ‘ISMS-P’로 운영되며, ISMS 의무대상자는 ISMS와 ISMS-P 중 선택해서 받으면 된다. 다만 개인정보를 보유하고 있는 조직이라면 ISMS-P 인증을 획득하는 것이 좋다.
ISMS-P는 ISMS의 104개 항목, PIMS의 86개 항목 중 유사‧중복 항목을 통합‧재배치해 102개로 줄였으며, 클라우드 서비스, 핀테크, 외부자 관리 등 새로운 기술과 이슈를 반영했다. 수요 기관의 편의를 위해 인증 의무 기간을 매년 1월부터 12월까지에서 차년도 8월 31일까지로 개정했다. 예를 들어 2019년 의무 대상자라면, 2020년 8월 31일까지 인증을 획득하도록 유예기간을 둔 것이다.
김선미 KISA 보안수준인증팀장은 “기업/기관의 부담을 줄이고 인증 업무의 불합리성을 해소하는 방향으로 ISMS-P를 개선했으며, 인증심사원 자격 획득이나 유지 요건, 등급 재산정 등을 점검해 심사원과 관련한 문제도 해결하고자 했다”고 말했다.
“데이터 수집만이 능사 아니다”
ISMS-P를 획득한다고 해서 개인정보를 보호할 수 있는 것은 물론 아니다. 개인정보 보호를 위해 필수적인 점검 내용이 규제에 포함된 것이며, 개인정보를 보유하고 있는 기업/기관은 개인정보를 완벽하게 가시화하고 통제하는 방법을 반드시 마련해야 한다.
이와 함께 개인정보의 적법한 활용에 대해서도 고민해야 한다. 데이터는 ‘4차산업혁명 시대의 원유’라고 불리고 있다. 기업들은 많은 데이터를 수집하고 분석해 비즈니스 인사이트를 얻고자 한다. 그러나 대다수의 기업들이 데이터를 수집하는 데에만 관심이 있을 뿐, 이를 제대로 활용하지는 못하는 것으로 나타난다.
젬알토의 ‘데이터 보안 신뢰지수 2018’에 따르면 조직의 65%는 저장하는 모든 고객 데이터를 분석하거나 분류하지 못하고 있으며, 68%의 IT 임원은 조직이 데이터 보호법을 준수하기 위한 절차를 따르지 않는다고 믿고 있다. 기업의 54%만이 중요한 데이터가 어디에 저장돼있는지 알고 있는 것으로 나타났다.
많은 조직이 데이터 관리에 실패해 유출사고가 발생했는데도 알 지 못하다가 해커가 협박을 하거나 외부 기관이 침해사실을 알려줘서 유출 사실을 인지하게 된다. 페이스북이나 우리은행의 경우처럼 고객이 이상 징후를 먼저 알고 통보하는 경우도 있다. 이 경우 데이터 유출로 인한 직접적인 피해는 물론이고 기업의 신뢰 하락, 주가 폭락, 이미지 실추, 경쟁력 상실 등의 막대한 추가 피해를 입을 수 있다.
블록체인 활용해 개인정보 이용 내역 투명하게 공개
4차혁명 시대에는 정보를 수집하고 활용하되, ‘안전하게’ 하는 방법을 찾아야 한다. 특히 최근 빅데이터 산업 활성화를 위해 개인정보 비식별화 논의가 활발하게 이뤄지고 있으며, 안전하게 개인정보를 보호하고 활용하는 방법이 검토되고 있다.
정부는 개인정보 비식별화 사업 활성화를 위해 한국인터넷진흥원(KISA)에 비식별지원센터를 운영하며, 다양한 비식별 기술을 활용할 수 있는 모델을 연구하고, 해외 비식별 교육과 인증제를 벤치마킹해 전문인력을 양성하고 있다.
더불어 개인정보 감독 정부부처를 지원해 제 3의 신뢰기관(TTP) 등 안전한 데이터 활용 체계를 정립하고, 가명/익명 처리 절차와 결합 절차 등 가이드를 제시할 예정이다.
또한 블록체인 기반 개인정보저장소(PDS) 시범사업을 통해 정보 주체가 정보 활용 내용에 대해 투명하게 알 수 있도록 한다. PDS는 정보주체가 자신의 정보를 스스로 관리‧활용하는 모델로, 블록체인 기술을 적용해 정보 흐름의 안전성과 투명성을 담보할 수 있다. 의료 등의 분야에서 성공적인 시범 사업이 완성될 수 있을 것으로 기대한다.
정현철 KISA 개인정보보호본부장은 “현재 주로 사용하는 KLT 비식별 모델 외에도 다양한 비식별 모델이 있으며, 비정형 데이터를 위한 비식별 알고리즘을 활용하는 사례도 다수 연구되고 있다”고 설명했다.
정현철 본부장은 “개인정보 비식별화 요구가 늘어나고 있으며, 현재 논의되고 있는 개인정보보호법 개정안에도 이와 관련된 내용이 포함돼 있다. 비식별화에 대한 사회적 합의가 이뤄지고 있는 만큼, 안전한 비식별 조치 기술 연구와 전문인력 양성 등을 위한 노력을 꾸준히 진행해 나갈 것”이라고 덧붙였다.
비식별화 기술 공개적으로 검증
더불어 KISA는 개인정보 비식별 기술 경진대회를 열고 비식별화된 데이터의 안전성을 검증하는 기회도 마련한다. 지난달 18일 참가단체 모집이 마감됐으며, 18개 팀 50여명이 참가를 신청했다. 11월 1일 예선과 29일~30일 본선을 열게 된다. 이 대회는 일본 ‘PWS컵’을 벤치마킹한 것으로, 비식별된 개인정보가 재식별되지 않도록 안전성을 검증해 심사하게 된다.
오용석 KISA 개인정보비식별지원센터장은 “개인정보 비식별화에 대한 시민사회의 우려가 높아지고 있어 비식별화된 개인정보의 안전성을 공개적으로 검증하는 기회를 마련해야 할 필요성이 있었다. 미국과 일본에서 이와 관련한 경진대회를 매년 개최하고 있어 이를 벤치마킹 해 이번에 처음 시행하게 됐다”며 “공개된 테스트를 통해 비식별화된 개인정보를 재식별할 수 있다는 우려를 해소하고 개인정보 비시별화 사업을 통한 빅데이터 산업 활성화를 촉진할 수 있도록 할 것”이라고 설명했다.
