강화되는 규제에도 개인정보 유출 사고 잇달아
[데이터넷] 개인정보보호법 전면 개정안이 2023년 9월 시행됐다. 개정 개인정보 보호법에서는 중대한 사고 시 전체 매출의 3%를 과징금으로 부과하는 강력한 처벌 조항을 담고 있다.
최근 개인정보위의 개인정보 위반 사업장에 대한 벌금, 과징금 수위도 높은 편이어서 기업·기관의 개인정보 보호 인식을 높이는 역할을 하고 있다. 약 30만건의 개인정보 유출 사고를 일으킨 LG유플러스는 68억여원 과징금을 부과받았으며, 페이팔 과징금 9억원, 챗GPT 과태료 360만원이 부과돼 국내 사용자 정보를 이용하는 해외 사업자에 대한 처분도 이뤄지고 있다.
강화되는 규제에도 이어지는 개인정보 유출사고
개인정보보호법이 강화되는 이유는 개인정보 유출로 인한 피해가 극심하기 때문이다. 공격자는 입수한 개인정보를 이용해 피싱, 보이스피싱, 스미싱 등 지능적인 공격으로 사용자에게 심각한 피해를 입힌다. 최근 보이스피싱범은 피해자의 개인정보를 가지고 그럴듯한 거짓말을 지어내기 땜문에 쉽게 속게 된다. SIM 스와핑이나 MFA 피로공격 등도 미리 입수한 개인정보를 이용해 보안 탐지를 우회하고 공격을 진행한다.
국가배후 공격자나 주요 인프라를 타깃으로 하는 APT 공격자들도 개인정보를 이용한다. 타깃 시스템 접근 권한을 가진 사용자 혹은 해당 시스템으로 이동하는데 유리한 경로에 있는 사용자를 통해 침투하기 위해 맞춤형 피싱 공격을 사용한다.
일례로, 정치적 목적의 활동을 벌이는 시즈드섹(SiegedSec)이 미국 연방정부가 운영하는 원자력연구소 아이다호 국립연구소(INL)를 해킹해 4만5000여명의 전현직 직원, 배우자, 가족의 민감한 정보를 탈취했다고 공개했다. 시즈드섹이 이 정보를 이용해 어떤 침해활동을 벌였는지는 알려지지 않았지만, 탈취한 정보를 이용해 INL의 민감정보를 탈취했다면, 원자력 연구와 관련된 정보를 이용해 심각한 피해를 입힐 공격을 전개할 가능성이 있다.
개인정보 탈취 방법은 다양한다. 피싱, 스미싱을 통해 직접 수집할 수 있고, 무차별 대입, 크리덴셜 스터핑을 통해 수집할 수도 있다. 한국인터넷진흥원에 접수된 개인정보 침해사고의 13%가 크리덴셜 스터핑이었으며, 관리자 계정을 획득해 관리자 페이지에 접속해 직접 정보를 탈취하는 공격은 15%에 달한다.
AI를 이용해 개인정보를 수집하는 시도가 더 정교해지고 있다. 생성형 AI를 이용해 타깃 사용자의 심리, 습관을 악용한 피싱·스미싱 수법을 개발하고, 자동으로 공격해 더 많은 피해자의 개인정보를 탈취할 수 있다. 최근 생성형 AI는 개인정보·민감정보를 노출시키지 않도록 하고 있지만, 질문에 따라 이러한 정보가 공개될 가능성도 완전히 배제할 수는 없다.
기술 발달로 위협받는 프라이버시
기술이 발달하면서 개인정보와 사생활 정보가 예상치 않았던 곳에서 유출될 수 있다. 월패드 해킹이 대표적인 사례이며, 가정용 CCTV 해킹으로 인한 사생활 침해 사고도 빈번하게 발생하고 있다.
미국에서는 자동차 제조업체가 차량 온보드 인포테인먼트 시스템을 사용해 고객의 문자 메시지와 휴대폰 통화 기록을 기록하고 가로챘다는 혐의의 재판에서 패소했다. 이 사건의 원고 중 한 사람은 2021년 혼다를 상대로 소송을 제기했는데, 혼다 차량의 인포테인먼트 시스템이 스마트폰의 문자메시지 사본을 다운로드하고 저장했다고 주장했다. 이는 자동차 제조업체가 자동차 소유자 데이터를 광고주에게 판매하고 있으며, 소유자에게 동의를 받지 않고 개인정보를 수집한 정황이 일부 인정된 것이라고 할 수 있다.
AR·VR 기기를 통한 사생활 유출 우려도 지속적으로 나오고 있다. 이 기기는 사용자가 선호하는 콘텐츠를 파악할 수 있을 뿐만 아니라 사용자의 감정이나 습관, 건강상태까지 모두 수집할 수 있으며, 얼굴, 홍채 등 생체정보까지 파악할 수 있다. 따라서 AR·VR을 통한 민감한 개인정보 수집이 가능해 악용될 소지가 다분하다.
개인정보 보호, 비즈니스 성공 전제조건
전 산업 마이데이터 시대가 열리면 개인정보와 사생활 정보 보호 문제가 더 민감하게 다가온다. 마이데이터는 개인의 동의받은 정보만 이용한다고 하지만, 사람들은 자신의 정보가 어떻게 사용되는지 파악하지 못하고 개인정보 수집에 동의한다. 동의한 개인정보라도 언제든지 동의 철회할 수 있게 하지만, 어떤 서비스에 동의를 했는지 기억하고 관리할 수 있는 사람은 많지 않다.
개인정보보호법 시행 초기, 동의받은 개인정보만 이용할 수 있게 하자 서비스 사업자들이 ‘상품권 지급’ 등의 이벤트를 벌이면서 대량의 개인정보를 수집했으며, 이로 인해 소비자들은 보험가입 권유, 통신사 이동 권유 등의 전화를 수시로 받아야 해 많은 불편을 겪었다. 또 이 정보가 해커에게 흘러가 보이스피싱, 피싱, 스미싱, 메신저 피싱 등 다양한 범죄에 악용되기도 했다.
노드VPN 조사에 따르면 지하시장 토론 게시판의 55%가 소셜미디어 인증정보, 운전면허증, 주소, 이메일, 기타 개인정보 등 유출된 고객 데이터에 관한 내용으로, 공격자는 개인 데이터를 입수해 개인에게 금전적 피해를 입히거나 기업·기관에 침투할 수 있는 초기 액세스 정보로 사용된다.
AI를 이용해 더 세밀한 개인 맞춤형 상품과 서비스를 제공하는 것이 현대 비즈니스의 경쟁력을 얻는 것이라고 생각하지만, 더 중요하는 것은 보안이다. 개인정보 보호를 전제하지 않은 서비스는비즈니스에 가장 큰 위협이 될 것이다. 개인정보 보호는 비즈니스 성공의 전제조건이다.
