IoT로 수집·클라우드서 공유 및 분석하는 개인정보, 보호 어려워
[데이터넷] 클라우드·IoT 환경에서는 개인정보 보호 문제가 훨씬 더 복잡하고 어려워진다. 체크포인트는 e헬스케어, 커넥티드카 등 스마트시티 애플리케이션이 일상 생활에 대한 정보를 수집할 것이며, 이 과정에서 데이터 유출과 탈취가 증가할 것이라고 내다봤다.
핀테크·테크핀 등으로 불리는 새로운 서비스는 다양한 개인정보를 기반으로 서비스된다. 차량 내비게이션과 보험사 결합상품의 경우, 차량 내비게이션을 통해 수집하는 자신의 운전습관, 위치정보, 운행기록 등이 보험사에 제공돼 자신의 보험료가 계산된다. 수많은 민감정보가 여러 기업에 공유된다는 뜻이다.
개인의 여러 정보를 결합한 개인화 서비스는 앞으로 더 다양하게 전개될 것이다. 현재도 인터넷 전문은행은 여러 금융사로부터 개인의 정보를 수집해 대출상품, 보험상품을 제안하고 상담도 해 준다. 오픈뱅킹이 시작되면서 여러 은행의 업무를 한 은행에서 처리할 수 있으며, 그만큼 개인정보가 공유되는 폭이 넓어지고 있다.
개인화 서비스 일상화되면 개인정보 보호 ‘둔감’
데이터 거래소가 생기고 고급 분석기술을 이용하는 개인화 서비스가 경쟁을 벌이면서 개인정보 보호에 소홀해 질 수 있다. 개인화 서비스를 많이 사용하면서 개인의 자기정보 보호에 대한 인식도 둔감해질 것이며, 개인정보 유출 사고에도 민감하게 반응하지 않을 수 있다.
비트글라스가 테스트한 결과 유출된 개인정보는 다크웹을 통해 단 며칠만에 5개대륙으로 퍼저나갔다. NSHC는 다크웹에서 우리나라 사람들의 여권정보 21만건이 공개돼 있는 것을 밝혀내기도 했다.
AI를 이용한 가짜 영상인 ‘딥페이크’의 위험도 높아지고 있다. 딥페이크는 개인의 사진이나 영상을 합성해 거짓 정보를 만드는 것으로, 다크웹 등에서 포르노 영상을 제작해 유포하는데 가낭 많이 사용된다. 가짜 뉴스를 제작해 인터넷에 유포하거나 음성을 조작해 보이스피싱에 활용하는 경우도 있다.
3월 5일 국회에서 ‘성폭력범죄의 처벌 등에 관한 특례법 일부 개정안’이 가결되면서 딥페이크 가해자를 처벌할 수 있는 근거가 마련됐지만, 다크웹의 특성상 제작자와 유통하는 사람을 검거하기 쉽지 않으며, 한 번 제작돼 인터넷에 공개된 콘텐츠는 완벽하게 삭제되지 않는다는 점을 생각하면 법적 근거 마련으로 해결될 일은 아니다.
무분별한 수집·공유·분석 환경 ‘위험’
핀테크와 같은 혁신 서비스를 제공하는 기업들은 다양한 스마트 기기와 데이터 거래소를 통해 고객의 정보를 수집해 클라우드에서 분석한 후 개인화 서비스를 개발해 제공한다. 수집된 개인정보가 암호화 돼 유통되고, 안전하게 비식별 처리되며, 공격자나 불법 사용자가 탈취하지 않을 것이라고 안심할 수 있는 고객은 그리 많지 않다. 수많은 개인정보가 무분별하게 수집되고, 암호화 혹은 그에 준하는 보호조치 없이 공유되며, 방치될 것이라는 우려의 목소리가 높다.
실제로 탈레스의 ‘2019 클라우드 보안 연구’에 따르면 설문에 응답한 기업의 46%가 클라우드에 고객 데이터를 저장하고 있다고 밝혔는데, 클라우드에 저장된 민감 정보를 암호화한다는 응답은 49%에 그쳤다. 절반 이상의 민감 데이터가 암호화 조치도 되지 않은 상태로 클라우드에 저장된다는 뜻이다.
또 한 번 데이터 유출 사고를 입은 기업은 반복적으로 공격자의 타깃이 된다. 탈레스는 ‘데이터 유출 면역력을 가진 기업은 없다’고 설명하는데, 미국 유통기업의 37%가 전년 데이터 유출 사고를 겼었으며, 과거에 사고를 경험한 기업은 62%에 달했다.
※ 아태지역의 클라우드 사용 기업의 70%는 클라우드 사업자의 보안이 잘 준비돼 있다고 생각하는 것으로 나타났다.
(자료: 팔로알토네트웍스-오범 ‘아시아태평양 클라우드 보안 연구 2019’)
클라우드 데이터 보안 인식 위험
클라우드는 복잡성이 높기 때문에 데이터를 보호하는 것이 까다롭다. 클라우드에 데이터를 저장하면 클라우드는 백업을 위해 여러 데이터센터에 데이터를 분산 저장한다. 방대한 규모의 데이터가 어느 데이터센터에 백업돼 있는지 알 수 없다. 데이터 가시성이 떨어진 만큼 보호도 어렵다.
개인정보 주체가 자신의 데이터를 삭제해달라고 했을 때, 원본 데이터만 삭제했을 때 완벽한 삭제가 이뤄지지 않아 문제가 발생할 수 있다. 분산 백업돼 있는 데이터가 유출되고 공격자에 의해 악용됐을 때 데이터 관리 주체인 기업이 큰 피해를 입을 수 있다.
클라우드가 가진 보안 취약점 문제도 있지만, 설정오류, 실수에 의한 사고도 문제다. 가트너는 클라우드에서 발생하는 사고의 대부분이 사용자 부주의로 인해 발생한다고 밝혔다. 잘못된 구성과 설정 실수로 클라우드 개인정보에 누구나 접근할 수 있도록 하거나 암호화하지 않은 원본데이터를 업로드 할 수 있다.
클라우드 데이터 보안에 대한 잘못된 인식도 심각한다. 팔로알토네트웍스가 오범과 함께 실시한 클라우드 보안 조사에 따르면 기업의 80%는 보안과 개인정보보호를 클라우드 채택의 주요 과제로 두고 있지만, 아태지역 기업의 70% 이상이 클라우드 공급업체에 의한 보안만으로도 충분하다고 생각하는 등 클라우드 보안에 대한 잘못된 신뢰감을 갖고 있었다. 또한 세분화된 보안 태세를 형성하며 다양한 보안 툴을 사용함에 따라 클라우드 내 보안 관리가 더욱 복잡해지고, 특히 멀티 클라우드 환경인 경우 더욱 심각하다고 분석했다.
