[데이터넷] 디지털 혁신이 가속화될수록 개인정보 활용 가치가 높아지기 때문에 개인정보 보호는 보안의 최 우선 과제가 되고 있다. 더불어 개인정보 보호를 위한 각국 정부의 규제도 강화되고 있는데, 규제 효과가 발현되고 있는지 의문을 제기하는 주장도 있다.

예를 들어 올해 가장 큰 규모의 개인정보 유출 사고를 일으킨 엘지유플러스는 68억원이라는 비교적 큰 금액의 과태료를 부과받았는데, 지난해 14조원 가까운 매출을 기록한 대형 통신사가 기본적인 보안조치도 취하지 않아 30만명의 개인정보를 유출시켰다는 사실을 감안하면, 과태료가 그리 높지 않다고 생각할 수 있다.

메타의 경우 노르웨이에서 매일 100만크라운(1억3000만원)의 과징금을 물게 됐으며, 아일랜드에서는 12억유로(약 1조7000억원)의 과징금 폭탄을 맞았다.

문제는 과징금·과태료와 시정 조치가 내려지고 있음에도 개인정보 보호 개선을 위한 노력이 크게 보이지 않는다는 것이다. 예를 들어 메타는 지난해 개인정보보호위원회로부터 308억원, 지난 2월 660만원의 과징금을 부과받았는데도 개인 동의 없이 사용자 행위정보를 무작위로 수집하고 있다.

의료분야 데이터 유출, 1093만달러 피해

AI를 이용하는 서비스가 늘어나면 개인정보 오남용이나 불법 유출 문제는 더 심각해질 것으로 보인다. 생성형AI가 개인정보를 학습해 유출할 수 있는데, 불특정 다수가 사용하는 개방형 AI 서비스에 누가 어떤 경로로 AI에게 개인정보를 학습시켰는지 파악하지 못한다. AI는 대답을 도출하는 과정을 투명하게 공개하지 않기 때문에 학습 데이터에 개인정보가 있었는지, 재현데이터 등을 학습해 우연히 개인정보가 공개됐는지 알 수 없다.

이러한 상황에서는 개인정보 주체의 데이터 주권을 지키는 것이 매우 어려운 일이다. 기업·기관은 개인정보를 이용해 수익을 얻거나 공공 서비스 개선의 이익을 얻는데 개인정보를 제공하는 주체는 정보 제공에 대한 혜택을 누리지 못하며, 오히려 개인정보 유출로 인한 피해를 입게 된다.

마이데이터 활성화 방안 중 개인정보 제공에 대한 보상이 논의되고 있는데, 누가 보상을 할지, 보상 수준은 어느 정도일지 정하기 어려우며, 개인정보에 금전적 가치를 매기는 것에 대한 부정적 의견도 있다.

그런데 개인정보의 불법적인 획득으로 공격자가 얻는 수익은 점점 더 높아지고 있어 개인정보를 바라보는 관점의 전환이 필요하다는 주장도 나온다. IBM에 따르면 지난해 데이터 유출로 인해 발생한 비용이 평균 445만달러이며, 의료 분야는 2배 이상 높은 1093만달러에 이른다. 개인정보를 불법적으로 탈취한 공격자는 다른 조직에 비싸게 판매하거나, 다른 공격에 이용할 수 있는 공격 수단으로 삼아 대규모 피해를 일으킨다. 이러한 위협이 있음에도 불구하고 개인정보의 가치를 얼마로 할 것인지 논쟁하는데 시간을 허비하는 것은 현명하지 못한 일이라고 생각된다.

데이터 주권, 개인정보 보호 전략에 영향 미쳐

개인정보 보호의 가장 근본적인 문제는 개인정보 주체가 주권을 갖지 못한다는 것이다. 개인은 자신의 데이터가 어떻게 사용되는지 알지 못한다. 그래서 개인정보 주체의 권리를 보장하는 내용을 포함한 ‘디지털 주권(Digital Sovereignty)’에 관심이 집중되고 있다.

구글, 아마존, 페이스북 등 글로벌 IT 기업들이 사용자 동의 없이 개인정보를 수집·활용하면서 많은 문제를 일으키자 EU를 중심으로 무차별적인 개인정보 활용을 막는 규제를 만들면서 디지털 주권 논의가 가속도가 붙고 있다.

클라우드 확산으로 디지털 주권 요구는 더 강력해졌다. 탈레스 조사에 따르면 아시아태평양(APAC) 지역 응답자의 82%가 데이터 주권과 클라우드 배포 계획에 영향을 미치는 개인정보보호에 대해 매우 우려하고 있는 것으로 나타났다. 58%는 개인정보 보호·데이터 보호 규정을 클라우드 환경에서 관리하는 것이 온프레미스보다 더 복잡하다고 답했다.

탈레스는 데이터 주권을 보장하기 위한 암호화 키관리 전략을 공개한다. 탈레스의 ‘사이퍼트러스트 데이터 시큐리티 플랫폼(CDSP)’은 데이터 식별, 보호, 통제 기능을 단일 플랫폼에서 제공해 저장중, 사용중, 전송중 데이터를 보호한다. 키관리 솔루션 ‘사이퍼트러스트 매니저’는 역할기반 액세스 정책을 통해 키를 중앙에서 관리하며, 암호호 커넥터 관리를 지원하고, 다양한 로그 형식과 사용자 정의 가능한 경고로 향상된 감사와 보고를 제공한다. 암호화 솔루션 사이퍼트러스트 트랜스페어런트 인크립션(CTE)에 포함된 랜섬웨어 방어(CTE-RWP)는 시스템 IO 행위를 모니터링해 랜섬웨어 정황을 식별하고 차단한다.

권한있는 사용자에 의한 유출 방지 기술 필수

개인정보 접근통제 강화를 통한 보호 전략도 필수다. 특히 개정 개인정보보호법에서 개인정보 접속기록 관리 강화를 주문하고 있어 이 분야 시장의 성장이 예상된다. 피앤피시큐어의 개인정보 접속기록 관리 솔루션 ’인포세이퍼(INFOSAFER)’는 웹·WAS 서버를 통한 접속, CS를 통한 접속(3-Tier 접속), DB 직접 접속(2-Tier 접속) 등 모든 접근 경로에 대한 정보 수집 기능을 제공하며, 수집된 정보를 분석·모니터링 할 수 있다.

위험규칙을 설정해 이상행위를 탐지할 수 있으며, 위험규칙에 의해 발견된 이상행위에 대해서는 적극적인 소명 관리 절차를 진행함으로써 개인정보 취급자에게 위법행위에 대해서 지속적으로 모니터링이 진행되고 있다는 사실을 인지시켜 개인정보 오남용에 따른 위법 행위 시도를 사전에 차단합니다. 추가로 증적 관리를 통해 개인정보 컴플라이언스에 완벽하게 대응할 수 있다. 이 솔루션은 자체 소명 시스템을 제공해 위험 검출과 함께 개인정보를 조회한 개인정보 취급자에게 소명을 받을 수 있도록 해 빠르게 사고를 조사할 수 있게 한다.

인포세이퍼를 도입한 A사의 경우, 온프레미스와 클라우드에 분산된 개인정보 처리 시스템에 대한 접속기록 관리가 필요했는데, 하이브리드 클라우드를 지원하면서 모든 접근경로에 대한 접근통제를 지원하는 역량에서 인포세이퍼가 가장 뛰어나다고 판단했다. A사는 개인정보 접속기록 시스템으로 인한 불편 없이 개인정보 보호 체계를 한층 강화할 수 있게 됐다.

한편 피앤피시큐어는 DB, 서버, 시스템, OS 등 모든 접근제어 기술을 통합한 유니파이드 IAM(Unified-IAM) 전략을 드라이브하면서 제로 트러스트 원칙의 데이터 보호를 지원한다. 피앤피시큐어의 통합 접근제어 솔루션 ‘디비세이퍼’는 국내에서 사용하는 모든 클라우드 환경까지 지원해 하이브리드 환경에 최적의 데이터 보호를 지원한다.

DLP로 내부자 위협 방어

개인정보 유출 사고는 내부 직원의 고의 혹은 실수에 의해서도 자주 발생한다. 특히 권한 있는 내부자에 의한 사고는 오랫동안 탐지되지 않기 때문에 매우 위험하다. 가트너에 따르면 데이터 침해의 82%가 직원의 실수 혹은 의도적인 보안 위반에 의해 발생한 것이었으며, 직원의 69%는 12개월간 보안 지침을 의도적으로 우회했고, 보안위반을 저지른 직원의 93%는 이러한 행위가 기업에 대한 위험을 증가시키고 있다는 사실을 알고 있었다.

내부직원에 의한 데이터 유출을 막기 위해 직원 교육을 강화하고 있는데, 교육만으로 내부자 유출 위협을 막을 수 없다. 공격자들은 매우 교묘한 시나리오로 내부자를 속인다.

가트너 조사를 예를 들어 보면, 직원 행동 변화를 위한 프로그램의 93%가 피싱 시뮬레이션이었는데, 65%의 직원은 여전히 알 수 없는 출처에서 보낸 이메일, 링크, 약속을 업무용 기기에서 열어본다. 직원의 63%가 개인적인 업무를 위해 업무용 기기와 계정을 사용하며, 63%는 회사의 암호 관리자가 아니라 인터넷 브라우저에 자신의 업무 암호를 직접 저장해 사용한다.

내부자에 의한 정보유출을 막는데 데이터 유출 방지(DLP) 솔루션이 유용하다. 최근 DLP는 SWG·CASB 등 다른 솔루션의 옵션 기능으로 사용되거나 SSE 솔루션의 일부로 포함되고 있으며, DLP 단독 솔루션으로 도입되는 사례는 많지 않다. 그렇다해도 DLP는 데이터 보호를 위해 반드시 필요한 솔루션으로, 모든 종류의 민감한 데이터가 웹, 이메일, 브라우저, PC·서버 등을 통해 유출되는 것을 막아야 한다.

DLP 솔루션으로는 에스에스앤씨가 공급하는 포스포인트, 스카이하이시큐리티 SSE에 포함된 DLP, 시만텍 등이 있다.