[데이터넷] 사이버 범죄 시장은 지속적으로 커지고 있다. 딜로이트는 전 세계 사이버 범죄 복구 비용이 2021년 말 6조달러에서 2025년 10조5000억달러로 증가할 것이라고 내다봤다. 2023년에는 이 규모가 훨씬 더 커질 것으로 보인다. 장기화되는 러시아-우크라이나 전쟁, 불안정한 국내외 정치상황, 심각한 인플레이션 등이 경제위기를 고조시킬 것으로 보인다. 경기가 위축되면 기업의 투자가 줄어들며, 당연히 보안 투자도 줄어든다. 공격은 진화하는데 보안은 제자리에 있으면 사이버 위협은 높아질 수 밖에 없다. 2023년 한층 더 심화될 것으로 보이는 대표적인 위협 사례를 소개한다. <편집자>
강화되는 개인정보 보호 규제
개인정보는 데이터 경제의 핵심이다. 경제위기가 심화될수록 기업은 치열한 생존경쟁에서 살아남기 위해 시장을 더 정확하게 파악해야 하며, 이때 필수적인 것이 개인정보다. 그래서 기업은 개인정보를 수집해 활용하기 위해 적극적으로 노력하고 있지만, 개인정보 보호를 위한 노력은 규제준수만을 만족하면 된다고 생각한다.
세계 각국은 자국민 정보를 보호하기 위해 강력한 규제를 만들고 있다. EU GDPR이 대표적인 예이며, 우리나라 개인정보보호법도 상당히 강력한 규제 중 하나로 꼽힌다. 개인정보 보호 규제의 주된 방향은 기업의 개인정보 활용을 허용하지만, 보안 사고 시 기업의 책임을 강화하는 것이다. 기업의 개인정보 보호 노력과 유출 사고 대응 노력을 판단해 매출 총액 기준 과징금을 정하는 것이 GDPR과 우리나라 개인정보 보호법의 요지다.
개인정보 활용 문 활짝 열려
개인정보를 활용해 새로운 시장을 만들 수 있도록 돕기 위해 각국정부는 데이터 활용의 문을 열고 있다. 우리나라의 경우 마이데이터 사업을 전 산업으로 확장시키는 한편, 비식별 처리된 개인정보는 본인 동의 없이 활용 할 수 있도록 한다.
유럽연합은 GDPR과 비슷한 수준의 개인정보 보호 규제를 갖춘 국가에 대해 EU 시민의 개인정보를 쉽게 이전할 수 있도록 한다. 아시아태평양 지역 국가의 개인정보 이전과 활용을 지원하는 CBPR에 참여하는 국가도 늘어나면서 해외 여러 국민들의 개인정보 활용의 문을 열어주고 있다.
개인정보 활용이 늘어나면 당연히 보호가 어려워진다. 공격자는 스피어피싱, 크리덴셜 스터핑, 봇 등을 이용해 개인정보를 탈취하며, 이를 이용해 랜섬웨어·APT 공격을 진행한다. 다크웹에서 개인정보를 판매하거나 유출피해를 입은 기업을 협박하기도 한다.
개인정보 주체의 자기결정권 강화를 위해 분산ID와 같은 새로운 ID 관리 서비스도 나오고 있으며, 모바일 운전면허증 등 여러 활용사례도 등장하고 있다. 그런데 분산ID의 안전성은 아직 충분히 검증되지 않았다. 스마트 컨트랙트, NFT 등 블록체인 기반 서비스들이 잇달아 해킹당하면서 보안위협을 증대시키고 있다. 이 때문에 분산ID 플랫폼의 안전성을 자신할 수만은 없다.
개인정보는 앞으로도 계속 보호와 활용의 딜레마에 빠질 수 밖에 없다. 자유로운 활용과 강력한 보안을 동시에 만족시키지 않으면 데이터 경제 시대에 살아남을 수 없다. 그러나 소비자들은 개인정보 보호 책임이 기업에게 있으며, 개인정보 유출 사고를 일으킨 기업의 제품은 상당기간 구입하지 않으려고 한다.
제로 트러스트 원칙 개인정보 보호해야
개인정보 보호의 책임은 전적으로 개인정보를 이용해 수익을 얻는 기업에게 있다. 그렇다 해서 개인의 책임이 전혀 없는 것은 아니다. 각종 마케팅 이벤트에 참여하면서 개인정보 제공 동의를 쉽게 하는 것은 위험하다. 자신의 정보가 어떻게 사용되는지 자세히 살펴봐야 하며, 너무 많은 서비스와 공유하는 동의는 안하는 것이 좋다. 또 주민등록번호와 같은 민감한 정보 제공은 각별히 주의해야 한다.
비밀번호 관리를 철저히 해 크리덴셜 스터핑과 같은 공격에 개인정보 유출 사고를 당하지 않도록 하며, 가능하면 패스워드리스 인증을 사용해 취약한 비밀번호로 인한 피해를 입지 않도록 해야 한다.
기업은 당연히 소비자의 민감 정보를 암호화 해 보호하며, 강력한 접근통제로 권한없는 사용자의 접근을 막아야 한다. 권한있는 사용자에 의한 오남용과 유출을 방지하기 위해 접근이력을 관리해야 하고, 사용자 행위를 분석해 의심스러운 접근과 활용을 찾아내야 한다. 제로 트러스트 원칙의 개인정보 보호 전략이 반드시 필요하다.
