[데이터넷] 개인정보 활용 범위가 넓어지면서 개인정보 보호를 위한 규제는 더 강력해지고 있다. 우리나라는 모든 주민등록번호를 암호화하는 강력한 개인정보 보호 규제를 시행하고 있으며, 2019년 ‘개인정보 안전성 확보조치 기준 개정안’을 발표하고 개인정보 접속기록 항목을 구체적으로 명시했으며, 개인정보 유출 시 피해자에게 손해배상 책임이행을 보장하기 위한 ‘개인정보 손해배상 책임보상제도’를 도입했다. 또한 가명데이터 활용 서비스의 개인데이터가 식별됐을 때 매출의 3%를 과징금으로 부과한다.

이 처럼 강화되는 규제로 인해 기업의 비즈니스 리스크가 완화된다는 연구결과도 있다. 시스코의 ‘개인정보보호 벤치마크 연구’ 결과, 개인정보 보호 체계 강화로 GDPR 준비를 완료한 기업이 비즈니스 측면의 가시적인 효과가 있다고 밝혔다.

조사에 응한 기업의 대부분이 개인정보 유출 사고를 겪었지만, GDPR 준비한 기업은 74%가 사고를 겪었고, 1년 내에 준비가 완료될 것이라고 답한 기업은 80%, 1년 이상 걸릴 것이라고 답한 기업은 89%에 달했다.

GDPR 대비 완료된 기업과 그렇지 않은 기업을 비교했을 때 개인정보 유출 우려로 인한 영업주기 지연이 3.4주와 5.4주로 2주 짧았다. 전년 데이터 유출 사고를 겪은 비율도 74%와 89%로 15%p 낮았다. 피해를 입은 데이터 수는 7만9000개, 21만2000개로 37%p 적었고, 시스템 운영중단 시간은 6.4시간과 9.4시간으로 3시간 짧았다.

GDPR 준비된 기업 중 2018년 50만 달러 이상의 피해를 입은 기업은 37%에 불과한 반면, GDPR에 대한 준비가 가장 미흡한 기업의 경우 64%가 50만 달러 이상의 피해를 입은 것으로 조사됐다.

잇따르는 개인정보 유출 사고

규제 강화로 인해 개인정보 보호 수준을 높일 수 있는 것은 사실이지만, 근본적인 대책은 되지 않는다. 개인정보를 국경 밖에 저장토록 한 대책이 있다 해서 개인정보가 안전하게 보호되는 것도 아니다. 공격자는 국경에 상관없이 공격한다. 클라우드를 사용하면 데이터가 지역을 구분하지 않고 이동하는 것을 피하기 어렵다.

버라이즌의 ‘2019 데이터 유출 조사 보고서(DBI)’에 따르면 데이터 침해 사고의 52%는 해킹 도구에 의해, 33%는 사회공학 기법에 의해, 32%는 훔친 인증 정보를 이용해, 28%는 멀웨어에 의해 탈취됐다. 공격자의 69%는 외부 해커이며, 34%는 내부자가 포함돼 있었다. 71%는 금전적 동기에 의한 것이었으며, 56%는 발견될 때 까지 수 개월의 시간이 걸렸다. 포네몬연구소의 보고서에서는 중소기업의 사이버 공격 피해는 100만달러를 상회할 수 있다고 분석했다.

이렇게 유출된 개인정보는 스피어피싱·APT, 전자금융사기 등에 사용되거나 고급 개인정보를 탈취하는데 사용된다. 크리덴셜 스터핑은 이전에 유출된 개인정보를 이용해 웹 서비스에 적용시키면서 추가 정보를 탈취하는 기법이다. 이를 통해 개인 신용정보, 금융정보, 의료 정보 등을 다양하게 확보해 고급 개인정보 DB를 확보할 수 있으며 이를 다크웹이나 관련 기업 등에 판매하거나 다른 공격에 이용할 수 있다.

아카마이 ‘2019 인터넷 현황 보고서: 금융 서비스 대상 공격’에 따르면 2017년 12월부터 2019년 11월까지 계정 정보 탈취시도가 854억여건 탐지됐으며, 지난해 8월에는 한 금융기관에서 무려 5500만회 이상 악성 로그인 시도가 발견됐다.

공격자들은 이렇게 확보한 개인정보를 이용해 타깃 맞춤형 공격을 진행한다. 공격자는 탈취한 메일 계정으로 로그인 해 이메일 수·발신 내역을 모니터링한다. 거래 관련 메일이 있으면 해당 메일을 중간에서 먼저 확인하고 위조된 계좌 정보로 송금을 부탁하는 메일을 보내는 비즈니스 이메일 침해(BEC) 공격을 단행한다.

또 다른 사례는 미리 입수한 전화번호를 이용해 피해자에게 ‘고금리 제공’ 등의 내용을 담은 문자 메시지를 보낸다. 문자 메시지에 악성앱 설치 URL을 포함시키는데, 이를 클릭해서 앱을 다운 받은 후 저금리 대출 등의 상담을 유도한다. 사용자가 전화 연결을 시도하면 발신 전화를 가로채 정상 고객센터가 아니라 보이스피싱 범죄자와 통화하도록 한다.

개인정보 유출사고가 지속되면서 개인정 보호에 대한 우려도 높은 편이다. KISA가 일반인을 상대로 설문조사 한 결과 2019년 가장 위협적인 사고로 46.5%가 랜섬웨어, 42.9%가 개인정보 유출을 꼽았으며, 2020년 더 주의해야 할 위협으로는 49%가 개인정보 유출, 4%가 랜섬웨어를 지목했다.

개인정보 포괄적 보호 방안 마련해야

개인정보 유출 사고는 개인에게 피해를 입힐 뿐 아니라 기업 비즈니스에도 큰 피해를 입힌다. BEC, APT 등 기업 비즈니스를 위협하는 직접적인 공격을 벌일 수 있으며, 개인정보 유출 사실이 알려져 막대한 벌금과 집단소송을 당해 금전적인 피해를 입고 기업 이미지와 신뢰 하락을 겪을 수 있다. 공격자가 개인정보를 훔친 후 이를 공개하겠다고 협박하면서 돈을 요구해 금전 피해를 겪는 일도 있다.

가트너는 개인정보 보호 문제로 인해 CISO와 경영진의 압박도 가중되고 있다고 설명했다. 개인정보 유출 사고가 일어나면 1차적으로 경영진의 책임을 묻게 되며, 개인 구속이나 벌금 등의 결정이 내려지기도 한다. 가트너는 클라우드를 포괄적으로 지원하는 데이터 보안 과제를 해결할 수 있는 거버넌스 프레임워크 개발에 집중해야 한다고 강조했다.

개인정보를 노리는 공격자는 특정 국가 시민의 데이터만 훔치는 것이 아니다. 따라서 국가간 협조와 정보 공유도 중요하다. 포티넷은 세계 각국의 법 집행 기관들과 민간기업들이 협력하면서 범죄를 분석하고 범죄자를 추적하고 있으며, 이러한 노력을 통해 중요 인프라를 보호할 수 있다고 소개했다.

한편 높아지는 사이버 위협 속에서 개인정보를 지키기 위해 개인의 노력도 물론 중요하지만, 기업의 철저한 대응이 무엇보다 중요하다. 보유하고 있는 개인정보를 파악하고, 보호 체계를 마련하고, 개인정보 보호를 위한 전문 솔루션과 사용자 행위 분석, 내부 모니터링을 통해 지능적인 공격으로부터 개인정보를 보호해야 한다. 클라우드·IoT 환경에서도 빈틈없이 지속되는 보안정책을 통해 불법 유출을 차단해나가야 한다.

김선애 기자 다른기사 보기