‘개인정보보호’가 보안분야에서 올해 가장 주목해야 할 시장으로 부상하고 있다. IoT·핀테크가 본격화되면서 기업들은 더 많은 개인정보를 사업에 이용하고자 하며, 개인정보의 오남용으로 인한 피해, 불법적인 유출로 인한 피해가 심각하게 전개될 것으로 예상된다. 올해 개인정보 보호 시장을 전망해본다.<편집자>
IoT·핀테크 확산되며 개인정보 보호 ‘민감’
개인정보 보호 문제는 클라우드, IoT, BYOD 등 IT 환경 변화로 더욱 민감해지고 있다. 새로운 IT 환경으로 인해 민감 데이터에 더욱 쉽게 접속할 수 있게 됐으며, 관리 취약점이 많아져 공격을 당하기 쉽기 때문이다.
일례로 웨어러블 디바이스는 별도의 보안 장치 없이 NFC나 블루투스를 이용해 스마트폰과 연결된다. 웨어러블 디바이스의 보안 취약점을 악용해 스마트폰에 침투해 스마트폰에 저장된 데이터를 탈취할 수 있다.
웨어러블 디바이스에서 생성되는 데이터는 암호화 되지 않은 평문 상태로 서버로 전송되는 경우가 많고, 전송되는 데이터의 종류도 지나치게 많아 개인정보와 건강정보, 사생활 정보가 그대로 탈취될 수 있다.
핀테크와 함께 간편결제 서비스가 활성화되고 있으며, 스마트폰에 지문을 인식시킨 후 POS에 태그하면 간편하게 결제가 이뤄진다. 스마트카드와 스마트폰을 태깅해 결제가 이뤄지는 간편결제 서비스도 봇물을 이룬다. 그러나 이 과정에서 개인정보나 결제정보 탈취 가능성에 대해서도 주의 깊게 살펴봐야 하는 상황이다.
폐기되는 디지털 기기에 저장된 개인정보 보호 문제도 심각하다. 기업/기관에서 사용하는 PC는 정보보안 정책에 따라 디가우징을 거친 후 폐기하도록 돼 있지만, 중소기업에서는 별다른 절차 없이 폐기하는 일이 다반사다. 개인이 사용하는 디지털 기기에도 저장된 개인정보를 살제하지 않고 버리거나 사용하지 않는 디지털 기기를 방치했다가 분실하면서 개인정보가 유실되는 사고도 배제할 수 없다.
개인정보 보호법 강화되며 기업 반발 심해
개인정보 유출 사고로 인한 피해가 급증하면서 개인정보보호법이 개정되고 있으며, 사용자의 동의 없이 민감한 개인정보를 수집하거나 저장할 수 없게 만들고 있다. 2011년 개인정보보호법이 제정되면서 개인정보 수집에 제한을 두도록 했지만, 서비스 기업들은 개인정보 수집과 위탁처리에 동의하지 않으면 서비스를 이용하지 못하도록 해 개인정보보호법 제정 취지를 무색하게 만들었다.
개인정보보호법이 개정되면서 법적 근거 없는 주민등록번호 수집을 제한하면서 제3기관에 위탁해 마케팅에 활용하는 조항은 선택사항으로 풀어줘 이러한 문제는 다소 개선된 상황이다. 또한 행정자치부는 주민번호 수집에 대한 법적 근거도 차례로 개정해 주민등록번호 사용을 최소화 하도록 규제개선을 진행하고 있다.
자유롭게 개인정보를 수집하던 금융기관들은 개인정보 수집에 제한을 받으면서 핀테크 산업에서 경쟁력을 가질만한 새로운 금융서비스 개발에 심각한 지장을 받게 됐다고 거세게 반발했다. 새로운 트렌드에 맞는 고객 맞춤형 서비스 개발에 반드시 필요한 개인정보를 사용할 수 없어 핀트크 산업에서 뒤쳐지게 됐다는 설명이다.
“비식별화 정보도 대량으로 쌓이면 개인 식별 가능”
이러한 비판을 받아들여 정부에서는 개인에 대한 정보를 비식별화하면 사용자 동의 없이 사용할 수 있도록 규제를 완화했다. 그러나 이 법에도 한계가 존재한다. 비식별화된 개인정보라도 방대한 양이 쌓이면 데이터 마이닝 기술을 이용해 분석, 고급 개인정보를 완성할 수 있기 때문이다.
간단한 예로, 전자금융사기를 벌이는 사이버 범죄자들은 A사이트에서 이름, 전화번호, 주소, B 사이트에서 전화번호, 이메일 주소, 거래내역, C 사이트에서 이메일주소, ID/비밀번호를 입수했다면, A사이트와 B사이트에서 공통된 전화번호를 기준으로 데이터를 통합하고, B사이트와 C사이트에서 공통된 이메일 주소를 기준으로 데이터를 통합한다. 그러면 이름, 전화번호, 주소, 이메일주소, ID/비밀번호를 알 수 있게 된다.
대부분의 사용자들이 ID/비밀번호를 같거나 유사한 것으로 사용하기 때문에 여러 사이트에서 개인정보를 추가로 획득할 수 있으며, 거래내역, 카드번호, 통장계좌번호 등을 더 알아낼 수 있다.
“의료정보, 다른 개인정보보다 10배 이상 가치 높아”
개인정보는 DBMS에 저장된 정형데이터 뿐만 아니라 문서, 이미지, 동영상, 위치정보, SNS 데이터, 로그 등 다양한 비정형 데이터로도 존재한다. PC, 스마트폰·태블릿PC, 외장형 저장장치, 클라우드 스토리지 등 임직원이 사용하는 다양한 단말과 스토리지에 저장될 수 있으며, 블로그, SNS 등 웹 서비스에도 노출될 수 있다.
기업에서 사용하는 업무용 시스템과 DB서버, 웹사이트와 웹서버, 각종 업무 시스템, 기업의 퍼블릭/프라이빗 클라우드 등 기업 내외부 시스템에도 개인정보가 산재돼 있으며, 외부 협력기관, 파트너사, 계열사, 외주업체 등과도 개인정보를 공유하면서 일하게 된다.
특히 개인의 의료와 건강관련 정보는 다른 개인정보보다 암시장에서 10배 이상 높은 가치를 인정받고 있다. 이 정보는 대용량의 이미지 데이터를 비롯한 정형·비정형 데이로 이뤄지기 때문에 종합적인 데이터 보호 정책이 마련돼야 한다.
레이시온-웹센스가 2015년 발표한 보고서에서는 헬스케어 산업은 산업 평균보다 보안 사고와 공격이 340% 많으며, 의료 데이터는 10배 이상의 가치가 있고 데이터 탈취 가능성이 200% 더 많이 있는 것으로 나타났다. 또한 헬스케어 분야는 피싱 사기에 영향을 받을 가능성이 74% 더 높다. 효과적인 보안 인식 교육과 직원의 보안 인식 프로그램의 부족은 증가하는 피싱 시도의 위험을 가중시킨다.
비즈니스-보안 마찰…개인정보 보호 전략 시행 어려워
개인정보 보호를 더욱 어렵게 만드는 것은 비즈니스 부서와의 마찰이다. 비즈니스 부서는 더 많은 개인정보를 이용해 더 많은 비즈니스 기회를 얻고자 한다. 여러 사업에서 쉽게 이용할 수 있고, 더 많은 사람들이 이용하게 만들어 경쟁력을 높이고 새로운 시장을 개척하고자 한다. 개인정보 보호 수준을 지나치게 높이면 비즈니스 유연성이 떨어져 경쟁력을 갖지 못하며, 너무 낮으면 심각한 보안사고가 발생해 사업 자체를 중단해야 할 수도 있다.
개인정보 보호를 위해서는 개인정보가 생성, 유통, 폐기되는 전 단계에 대한 적절한 보호 조치가 이뤄져야 한다. 임직원의 단말기에 불필요한 개인정보가 저장되지 않도록 하고, 저장된 개인정보는 암호화한다.
서버에는 암호화해 저장하고 키관리와 접근제어를 철저히 해 권한 있는 사람들이 권한 내에서 접속하도록 하며, 개인정보를 오남용하지 않도록 모니터링 해야 한다. 웹서버, 웹사이트, 전자결재 시스템 등의 개인정보도 관리해야 하며, 메일 및 클라우드 서비스 등 기업 외부로 전송되는 데이터에 대해서도 철저하게 통제해야 한다.
