강력한 보안·다양하고 유연한 활용 가능해야 마이데이터 성공
[데이터넷] 임인년(壬寅年)은 물을 머금고 피어나는 새싹처럼 무언가를 시작하기 좋은 기운을 가진 해라고 한다. 그런데 사이버 세상은 긍정적인 신호만을 보여주지 않는다. 지난해 사이버 범죄 비용이 6조달러(약 7경)을 초과할 것으로 예상되며, 올해는 이보다 훨씬 더 성장할 것으로 보인다. 예측하면 대응할 수 있다. 올해 주목해야 할 보안 키워드를 정리해 본다.<편집자>
마이데이터는 정보주체인 개인의 권한을 강화하면서 데이터 활용 기관에서 다양한 서비스에 이용할 수 있도록 개선한 혁신적인 서비스이다. 금융기관을 중심으로 마이데이터 사업이 진행되고 있으며, 정부는 전 산업에 마이데이터를 시행하기 위해 노력하고 있다.
그러나 마이데이터 사업이 초반부터 삐그덕거리면서 사업이 순항할지 우려의 목소리가 높다. 특히 가장 민감한 개인정보 보호 문제에 대해 관심이 높다. 마이데이터 사업자는 개인정보 보호를 위한 조치를 해야 하며, API를 이용해 데이터를 연계할 때 API 보안 문제를 해결하도록 했지만, 운영 중 나타나는 다양한 보안 취약점을 지속적으로 관리하지 않으면 안된다.
마이데이터가 전 산업군으로 확대되면 의료정보, 위치 정보, SNS 등을 통해 파악할 수 있는 개인 취미나 성향, 직업, 가족 구성원 등의 정보를 결합해 더 정확한 맞춤형 정보를 제공할 수 있지만, 이를 공격자들이 이용하면 더 지능적인 타깃 맞춤형 공격이 가능하다.
불감증 심한 개인정보 유출 사고
개인정보는 ‘공공재’라는 비판이 있을 정도로 개인정보 유출 사고는 너무나 빈번하게 발생했다. 공격자는 직접 개인정보 서버를 해킹해 유출하거나 개인을 대상으로 스미싱·피싱 공격으로 직접 개인정보를 수집한다. 미리 입수한 개인정보를 대입해서 추가 정보를 확보하는 크리덴셜 스터핑과 무작위 개인정보 대입으로 수집하는 브루트포스 공격도 꽤 높은 성공률을 보인다.
개인정보 유출 사고가 발생했다 해도 그다지 경각심을 갖지 못한다는 것도 문제다. 너무 잦은 대규모 개인정보 유출 사고가 발생하기 때문에 보안 불감증이 생긴 것이다. 개인정보 유출사고를 낸 기업의 주가가 하락하거나 매출이 줄어드는 것이 당연하지만, 실제로 그런 일을 거의 벌어지지 않는다.
개인정보 보호를 위해서는 개인 스스로 정보제공에 신중해야 하며, 사용하는 기기의 비밀번호를 잘 관리해야 한다. 기업은 관리하는 개인정보를 암호화하고 접근통제 정책을 적용해 권한 없는 사용자의 접근을 막는다. 권한 사용자의 오남용으로 인한 문제를 방지하기 위해 접속기록 관리 시스템도 필요하다.
개인정보 유출을 철저하게 통제하면 일정 수준 이상 보호할 수 있지만, 활용이 어렵다는 문제가 있다. 활용하지 못하는 정보는 가치가 없다. 구슬이 서말이어도 꿰어야 보배가 되듯, 개인정보는 여러 정보와 결합해 활용했을 때 가치가 있다.
마이데이터가 그 대표적인 사례이며, 안전한 결합과 사용을 위한 다양한 정책이 마련되어 있다. 그럼에도 불구하고 지능적이고 집요한 사이버 공격자들이 어떤 새로운 방법으로 마이데이터의 개인정보를 훔쳐갈지 예측하지 못하기 때문에 개인정보 보호에 만전을 기해야 할 것이다.
