2013년 말부터 2014년 초까지 우리 사회는 ‘사상 최악의 개인정보 유출’ 사고를 연일 접했다. 대부분의 사고는 대부업체와 불법 인터넷 도박사이트에서 활용하고 있는 개인정보가 어디에서 유출됐는지 수사하던 중 밝혀진 것이다.
수사결과 금융기관의 내부직원이 직접 프린트해서 빼돌리거나 내부직원 혹은 외주업체 직원이 개인정보가 저장된 서버에서 USB로 저장해 유출한 것이 드러났다. KT는 보안이 취약한 웹 페이지가 해킹을 당해 고객정보를 탈취당했으며, 12월 한국수력원자력 해킹으로 비밀문서가 유출되면서 한수원 직원 개인정보도 유출되는 사고가 일어나기도 했다.
무분별한 개인정보 수집 관행 ‘여전’
개인정보 유출로 인한 피해는 동의하지 않은 마케팅 전화나 대부업체의 신용대출 전화를 받는 경우, 혹은 계정도용으로 사이버머니, 게임 아이템을 탈취당하는 수준이었다.
그러나 개인정보 유출 횟수가 많아지면서 공격자들은 고품질의 개인정보를 가질 수 있게 됐고, 피해 양상은 매우 달라졌다. 여러 사이트에서 다양한 종류의 개인정보를 입수해 데이터 마이닝 기술로 분석하면 한 개인에 대한 매우 정교한 개인정보가 완성된다.
사용자 PC나 스마트폰에 저장돼 있는 공인인증서와 보안카드, 각종 비밀번호 등과 연계시키면 직접 금전을 탈취할 수 있으며, 신용카드로 온라인 금융결제도 가능하다. 개인정보 유출사고가 잇따르자 정부는 본인 동의 없는 개인정보 수집을 전면 금지했으며, 특히 주민등록번호 수집을 최소화하고 이미 저장된 주민등록번호는 2016년까지 완전삭제하도록 했다.
그러나 이 조항 때문에 또 다른 부작용이 생기기 시작했다. 타깃 마케팅이 필요한 기업들은 상품권·쿠폰 증정 이벤트를 진행하면서 합법적으로 동의를 받고 개인정보를 수집하게 됐으며, 경품을 원하는 소비자들은 심각성에 대한 인식 없이 개인정보 수집에 동의를 하게 된다.
이는 소비자들이 경품에 자신의 개인정보를 판매하는 결과로, 사용자 동의 하에 마케팅 전략을 펼치는 기업들은 관계사와 정보를 공유하면서 남용한다 해도 법적인 책임을 면할 수 있게 된 것이다.
보안 시스템 도입하고도 사용하지 않아
빅데이터 기술이 주목을 받는 이유는 방대한 데이터를 분석해 비즈니스 인사이트를 얻을 수 있기 때문이며, 특히 마케팅 분야에서 각광을 받는다.
마케팅 업계에서는 개인에 대한 모든 신상정보를 모두 수집해 타깃 마케팅을 통한 수익창출 기회를 갖기를 원하고 있다. 이 과정에서 필요한 대부분의 개인정보는 법적으로 수집을 금지하고 있어 관련 업계에서 규제완화를 요구하는 목소리가 높다.
문제는 무분별하게 수집한 개인정보를 제대로 보호하지 못해 지하세계로 빠져나가고 이것이 개인과 기업에게 막대한 피해를 입히고 있다는 것이다.
개인정보보호법 준수를 위해 암호화 솔루션을 도입해 개인정보를 안전하게 보호하고 있다고 하지만 실제 개인정보 보호 실태를 보면 암호화 솔루션을 구입만 하고 사용은 하지 않는 경우가 허다하다.
암호화 시 DB 성능이 떨어지고 장애가 잦으며, 현업의 불편이 높기 때문이다. DB 서버에서는 암호화가 되지만, 애플리케이션에서 호출하면서 복호화된 후 외부로 유출되는 사고도 발생할 수 있다.
성능과 관리 용이성을 위해 암호화 키를 암호화 데이터와 함께 보관하는 경우가 많아 암호화를 구축한 의미가 없게 만드는 요인이 된다. 외부 기관과 협업시 개인정보를 공유하면서 복호화 한 상태로 공유하거나 암호화 키와 함께 공유하면서 유출되는 경우도 있으며, 보안이 약한 협력업체 시스템이나 직원 PC에서 유출되는 경우도 있다.
권한관리도 제대로 안돼 심각한 보안홀 여전
권한관리가 제대로 되지 않는 시스템 관리 환경에서는 최고권한관리자 계정을 탈취해 개인정보를 훔쳐갈 수 있는데, 대부분의 최고권한관리자 계정이 admin/1234 등 쉬운 조합으로 이뤄지고 있으며 변경하지 않기 때문에 누구나 쉽게 관리자 계정을 통해 유출할 수도 있다.
개인정보 보호를 위해서는 불필요한 개인정보를 수집하거나 보관하지 않는 것이 최상의 방법이지만, 비즈니스를 위해 개인정보를 관리해야 한다면 철저한 관리 체계를 통해 개인정보 라이프사이클에 맞춰 보호할 수 있는 시스템을 마련해야 한다.
개인정보를 암호화하고, 키는 별도의 공간에 강력한 보안성을 보장할수 있는 시스템에 안전하게 보호하며, 접근제어와 권한관리를 통해 적법한 사람이 권한 내에서만 개인정보를 이용할 수 있도록 해야 한다. 프로젝트가 완료되면 저장돼 있는 개인정보를 완전 삭제해야 하며, 외부 협력업체와 공유한 데이터도 철저하게 관리할 수 있는 시스템을 마련해야 한다.
