개인정보 안전한 보호와 적법한 활용 방안 마련해야
[데이터넷] 본보는 2020년 보안 시장을 예측하고 새로운 보안 모델 수립에 참고할 수 있도록 주목해야 할 보안 키워드 10가지를 정리했다. ▲정부 보안 산업 육성 정책 ▲클라우드 보안 가속화 ▲OT·IoT 보안 위협 현실화 ▲양날의 검, AI ▲진화하는 공급망 공격 ▲랜섬웨어와 암호화폐 해킹·채굴 ▲지능형 공격의 진화 ▲개인정보 보호와 활용 ▲제로 트러스트 보안 모델 ▲통합과 자동화 등을 정리해본다.<편집자>
2019년에도 변함없이 대규모 개인정보 유출사고가 발생했다. 캐피탈원, 페이스북, 에콰도르에서 역대급 개인정보 유출 사고가 발생했다. 페이스북의 인스턴트 메신저 왓츠앱 해킹으로 감시 소프트에어가 설치된 사실이 발견됐으며, 유명 게임 포트나이트의 치트팩으로 위장한 랜섬웨어가 등장하기도 했다. 디즈니는 스트리밍 서비스 개시 직후 사용자 계정이 해킹되는 사고를 당했다.
개인정보 유출 사고는 기존에 탈취된 정보를 이용하는 사례도 등장한다. SK인포섹이 소개한 사례를 보면, 악성 앱 설치를 유도해 개인정보를 빼낸 후 이를 보이스 피싱 공격에 사용한다. 탈취한 개인정보를 이용해 크리덴셜 스터핑 공격을 벌여 추가 공격을 진행한 사고도 다수 발생했다.
버라이즌의 ‘2019 데이터 유출 조사 보고서(DBI)’에서는 데이터 침해 사고의 69%가 외부 공격자였으며, 34%는 내부자를 포함하고 있었다고 설명했다. 71%의 데이터 유출 사고는 금전적 동기가 있었으며, 32%는 훔친 인증 정보를 이용한 것이었다.
규제준수 준비 기업, 리스크 완화 효과 있어
개인정보 유출 피해가 빈발하면서 EU GDPR과 같은 강력한 개인정보 보호 규제가 시행돼 개인정보 보호 인식을 환기시키고 있다. 영국항공은 50만여 고객 정보를 유출해 2억2300만달러의 벌금을 부과받았는데, 1차 감염이 항공사 웹사이트 써드파티 자바 스크립트 서비스 직원으로부터 시작됐다는 사실이 알려지면서 써드파티에 대한 개인정보 보호 방안까지 마련해야 한다는 것을 보여줬다.
시스코 ‘개인정보보호 벤치마크 연구’에서 GDPR 준비를 완료한 기업과 그렇지 않은 기업을 비교한 결과 ▲고객의 개인정보 유출 우려로 인한 영업 주기 지연 3.4주 vs 5.4주 ▲데이터 유출 사고 발생률 74% vs. 89% ▲피해를 입은 데이터 양 7만9000개 vs 21만2000개 ▲시스템 운영중단 시간 6.4시간 vs 9.4시간 ▲50만 달러 이상 피해 입은 기업 37% vs 64%로 GDPR 대응 기업의 보안 리스크가 상대적으로 낮은 것으로 분석됐다.
개인정보 보호의 사각지대는 클라우드다. 클라우드 이전이 가속화되면서 개인 민감정보도 클라우드에 올라가고 있지만, 적절한 암호화와 키관리로 보호받고 있지 못하다. 엔사이퍼가 후원하고 포네몬인스티튜트가 진행한 ‘2019 한국 암호화 동향 보고서’에 따르면 응답자의 67%가 민감·기밀 데이터를 클라우드로 이전하고 있다고 답했다. 그런데 응답자의 무려 50%가 클라우드 데이터 보호 책임은 서비스 공급자에게 있다고 밝혀 클라우드 데이터 보호에 대한 인식이 잘못돼 있다는 것을 보여줬다. 키관리가 어려운 이유에 대해 ▲시스템 격리·세분화의 어려움 ▲명확한 소유권 부재(53%) ▲숙련된 직원 부족(47%)을 들었다.
탈레스가 진행한 ‘2019 클라우드 보안 연구’에서도 클라우드 상 데이터 보호 부족 문제는 그대로 드러난다. 조사에 응한 기업들은 보안을 우려하고 있으면서도 클라우드 업체를 선정할 때 보안을 중요하게 고려하지 않았다. 클라우드에 가장 많이 저장하는 데이터는 고객정보 60%, 고객 이메일 48%, 고객 데이터 46%였다.
개인정보 활용 방안 마련해야
개인정보 보호는 안전하게 관리하는 것 뿐 아니라 적법하게 활용하는 것도 포함된다. 개인에 대한 맞춤형 정보 제공으로 개인이 누려야 할 복지 혜택을 받을 수 있고, 개인화된 마케팅을 통해 여러 이익을 받을 수도 있다. 다양한 공유 서비스와 개인화 서비스를 이용해 삶의 질을 개선할 수 있다. 기업은 개인 맞춤형 서비스를 통해 경쟁력을 높이고 새로운 시장을 개척할 기회를 얻을 수 있다.
이를 위해 정부는 특정 개인을 알아보지 못하는 수준의 가명처리를 한 개인정보라면 본인 동의 없이 사용할 수 있도록 관련 법 개정을 추진하고 있다. 데이터 3법이라고 불리는 개인정보 보호법, 정보통신망법, 신용정보법이 개정 대상이다.
이 안에는 개인정보 관리·감독 총괄 기구를 개인정보보호위원회로 통합하며, 개인정보와 관련된 법은 개인정보보호법으로 이관해 일괄적이고 체계적인 개인정보 보호 규제가 될 수 있도록 했다. 이는 EU GDPR 적정성 평가를 위해서도 필요한 내용으로, 적정성 평가 대상국이 되면, 우리나라 개인정보 보호 관련 규제를 준수하면 GDPR도 준수하는 것으로 간주되어 EU를 대상으로 한 국내 기업과 기관의 컴플라이언스 복잡성을 해소할 수 있을 것으로 기대된다.
