‘개인정보보호’가 보안분야에서 올해 가장 주목해야 할 시장으로 부상하고 있다. IoT·핀테크가 본격화되면서 기업들은 더 많은 개인정보를 사업에 이용하고자 하며, 개인정보의 오남용으로 인한 피해, 불법적인 유출로 인한 피해가 심각하게 전개될 것으로 예상된다. 올해 개인정보 보호 시장을 전망해본다.<편집자>
<월간 네트워크타임즈>가 지난달 진행한 정보보안 담당자 대상 연례 설문조사에서 2016년 가장 민감하게 여기는 정보보안 규제로 ‘개인정보보호법’을 꼽은 사람이 56%로 압도적으로 많았다. 이달부터 시행된 개정 개인정보보호법과 금융기관에 적용되는 신용정보법에서 개인정보 보호 규정을 크게 강화했기 때문이다.
개인정보보호법에서는 기업/기관이 보관중인 주민등록번호는 모두 암호화하도록 하고 있으며, 개인정보 유출사고가 발생했을 때 개인이 피해액을 입증할 책임이 없으며 실제 손해액의 최대 3배까지 유출기업이 보상하도록 돼 있다.
행정자치부는 주민번호 수집을 허용하는 42개 대통령령의 주민번호 수집근거를 폐지해 단순 본인확인 등 주민번호가 필요하지 않은 업무에서 주민번호 수집을 금지하고 관련 서식에서도 주민번호 기재란을 삭제하거나 생년월일로 대체하도록 했다.
금융기관은 개인정보를 비식별화 한 상태로 마케팅 용도로 사용할 수 있는 등 개인정보 이용에 자율성을 얻었지만, 대신 신용정보법에서는 개인정보 유출시 최대 50억원까지 과태료를 물게 된다.
대규모 개인정보 유출사고, 전 세계적으로 빈번하게 발생
우리나라에서는 대규모 개인정보 유출사고가 빈번하게 일어나면서 개인정보 보호에 대한 관심이 높아졌다. 특히 2014년 초 KB카드, 롯데카드, NH카드 등 신용카드 3사에서 1억건이 넘는 개인정보가 유출됐다는 사실이 드러나면서 개인정보 보호 문제가 뜨거운 이슈로 떠올랐다.
개인정보 유출은 전 세계적으로도 성행하고 있는 심각한 사이버 공격이다. 2015년 11월 홍콩 전자 완구업체 브이텍(VTech)에서 600만 건의 개인정보가 유출돼 전 세계가 비상에 걸렸다. 브이텍에서 유출된 정보에는 아이와 부모의 사진 및 채팅 로그데이터 등이 포함돼 있었으며, 이 데이터를 마이닝해 정확한 개인식별이 가능해 추가 범죄에 악용할 가능성이 높다고 지적된다.
2015년 가장 큰 규모의 개인정보 유출사고는 미국 건강보험업체들이 고객DB 해킹으로 1억570만개의 개인정보가 유출된 사고이다. 앤섬(Anthem) 한곳에서만 9760만개의 개인정보가 탈취당하는 등 심각한 피해를 입었으며, 고객 뿐 아니라 앤섬과 동일한 보험 네트워크를 공유한 다른 회사 고객도 포함된 것으로 알려졌다.
불륜조장 사이트 애슐리 매디슨(Ashley Madison) 회원정보 3200만개, 미국 인사관리처 2570만개, T모바일(T-Mobile)·익스피리언(Experian) 1500만개, 온라인 부동산 중개업체 스콧트레이드(Scottrade) 460만개가 유출됐다.
심지어 비밀번호 관리 사이트 ‘라스트패스(LastPass)’도 해킹을 당해 비밀번호 DB가 유출됐으며, 사용자 계정정보를 탈취당했다. 라스트패스는 서비스 사용자 개인의 비밀번호와 웹사이트 사용자가 계정에 저장한 비밀번호는 탈취당하지 않았으며, 암호화된 사용자 저장소는 안전하다고 설명했지만, 같은 비밀번호를 여러 사이트에서 사용하는 사람들은 충분히 경각심을 가질만하다.
‘돈’ 되는 금융정보…사이버 범죄의 주요 타깃
개인정보 유출사고가 잇따르고 있는 것은 개인정보가 곧 ‘돈’이기 때문이다. 신용카드 3사에서 유출된 개인정보는 보험판매인, 대부업체 등에 판매돼 마케팅 용도로 사용됐다. 의료정보는 보험사의 마케팅 자료로 활용될 수 있으며, 보험사가 자사의 수익을 극대화할 수 있는 상품을 개발하는데 유용하게 사용된다.
젬알토의 ‘2015년 상반기 데이터 유출/침해 인덱스(BLI: Breach Level Index)’에 따르면 이 기간 발생한 정보유출 사고의 53%가 개인정보로, 범죄자들은 수익을 극대화하기 위해 더욱 값나가는 개인정보에 더 많은 공격을 벌이고 있는 것으로 분석된다.
젬알토의 또 다른 보고서 ‘무너진 신뢰: 경계의 계절이 돌아오다: (Broken Trust: ‘Tis the Season to Be Wary)’에 따르면 64%의 소비자들이 금융 데이터 유출사고를 일으킨 기업과 거래하지 않겠다는 뜻을 밝혔다.
데이터 유출사고를 겪은 사람은 31%에 달했으며, 피싱·파밍 피해가 각각 40%, 37%로 가장 많았다. 데이터 유출사고 피해를 입은 사람의 23%는 해당업체를 상대로 법적조치에 착수했거나 검토중이라고 답했으며, 절반에 가까운 49%의 응답자는 유출에 관련된 모든 대상에 대해 법적 조치를 검토하거나 착수할 것이라고 답했다.
개인정보 유출시 기업 책임 강화하며 보안시장 성장 기대
우리나라에서는 개인정보 유출 사고가 일어나도 선진국에 비해 처벌이 약한 편이며, 소송이 벌여졌을 때에도 대체로 사고를 일으킨 기업에게 이로운 판결이 내려지는 상황이어서 기업의 개인정보 보호 노력이 미흡한 상황이었다. 재판부는 기업들이 평소 개인정보 보호를 위해 시스템을 갖춰왔다는 점을 들어 기업의 편을 들어준 것이다.
그러나 2014년 카드3사 개인정보 유출사고 후 정부의 기조가 크게 바뀌었다. 이 해부터 유출된 개인정보를 이용한 전자금융사기가 급증하면서 심각한 피해가 보고된 것이다. 유출된 개인정보가 단순히 마케팅 용도로만 사용되는 것이 아니라 막대한 규모의 금전적인 피해가 발생하게 돼 대책 마련이 시급해 진 것이다.
또한 정부의 핀테크 활성화 정책에 발맞춰 정부와 금융감독당국이 금융서비스에 대한 규제를 대폭 완화하는 대신 금융기관의 자율보안체제 수립을 주문해 개인정보 보호 요구가 높아졌다. 금융기관은 새로운 금융 서비스를 자유롭게 시작할 수 있지만, 보안사고가 발생했을 때 전적으로 책임을 져야 하게 됐다. 개인정보 유출사고가 발생하고 피해가 생겼을 때 기존에는 피해자가 피해를 입증해야 했지만, 이제는 피해규모와 책임소재를 금융기관이 입증하도록 했으며, 금융기관의 책임을 강화하는 방향으로 규제개선이 이뤄진 것이다.
