2024년 03월 28일 목요일

  • 서울 9℃

  • 인천 10℃

  • 백령 7℃

  • 춘천 9℃

  • 강릉 9℃

  • 청주 9℃

  • 수원 10℃

  • 안동 8℃

  • 울릉도 10℃

  • 독도 10℃

  • 대전 9℃

  • 전주 10℃

  • 광주 11℃

  • 목포 10℃

  • 여수 12℃

  • 대구 9℃

  • 울산 11℃

  • 창원 10℃

  • 부산 14℃

  • 제주 12℃

IT 연초부터 뻥 뚫린 개인정보 ···주민번호는 기본, 상품권도 날아갔다

IT IT일반 NW리포트

연초부터 뻥 뚫린 개인정보 ···주민번호는 기본, 상품권도 날아갔다

등록 2023.01.31 08:47

수정 2023.02.02 15:46

임재덕

  기자

새해 벽두 유출 사고 속출···해킹·담당자 실수 빈발노출된 정보 다른 사이트 접속, 금전 피해도 발생대책 마련 반복해서 얘기하지만 '정답 없다' 입 모아"제도·기술만능이 부른 참사, 보안 인식 전환부터"

#. 사이버 공간에서의 충돌은 눈에 보이지 않는다. 금전이 탈취돼도 은행계좌의 숫자가 지워질뿐 내 주머니에 있던 물리적인 화폐가 사라진 것은 아니라 개인이 느끼는 피해는 크게 와닿지 않는다. 중요한 군사기밀이 적의 손에 넘어가거나 내 개인정보가 다른 나라에서 단돈 5원에 경매된다해도 내 피부에 와닿는 느낌은 별로 없다. 그것이 오히려 사이버 공간에서의 대응과 침해예방 활동을 더디게 하는 원인이 되고 있다. -『사이버 공격 막느냐! 뚫리느냐!』 발췌.

새해 벽두부터 해킹과 담당자 실수로 인한 개인정보 유출 사고가 속출했다. 위 서적에 나온 구절처럼 사고 때마다 '경각심을 갖자'고 외치지만, 매번 유사한 실수는 반복됐다. 더욱이 이렇게 유출된 정보가 금전적인 피해로 이어진 사례도 적지 않아 보이는 만큼, 대책 마련이 시급하다는 지적이 나온다.

보안업계 전문가들은 이 문제의 '정답은 없다'고 입을 모은다. 다만 소수의 보안 담당자에게만 모든 책임을 지게 하는 '제도만능주의'와 기술이면 모든 게 해결된다는 '기술만능주의'에서 벗어나려는 인식의 전환을 이룰 때, 문제가 개선될 수 있다고 조언한다.

◇공공재 된 내 개인정보, 해커 기승=낯선 곳에서 스팸 문자를 받는 건 일상이 됐다. '내 개인정보가 어디에서 샜지'라는 의심도 무뎌진다. 그렇다 보니 우리 국민들의 개인정보가 '공공재'라는 우스갯소리까지 나온다. 계묘년(癸卯年) 새해에 접어든 지 한 달도 채 지나지 않았음에도, 해킹이나 담당자 실수로 야기된 정보유출 사고는 때와 장소를 가리지 않고 나타났다.

연초부터 뻥 뚫린 개인정보 ···주민번호는 기본, 상품권도 날아갔다 기사의 사진

대표적인 사례는 한 통신사에서 발생한 해킹 사건이다. 이 공격으로 LG유플러스는 고객 개인정보 18만건을 유출했다. 유출된 데이터를 사고파는 '해킹포럼'에 최근 3000만건의 LG 데이터를 갖고 있다는 게시글이 올라온 만큼, 유출 규모는 더 커질 가능성도 있다.

유출된 정보는 개인마다 차이가 있으나 ▲신상정보(이름·생년월일·전화번호·주소 등) ▲단말기정보(단말모델명·유심번호·IMEI 등) ▲이용상품명 등 광범위하게 분포됐다. 이 회사는 지난 1일 한국인터넷진흥원(KISA)으로부터 개인정보 유출이 의심된다는 조언을 듣고 이 사실을 인지했다. 다음날 바로 관계기관에 신고했고, 현재 원인과 피해 범위 조사가 진행 중이다.

해킹으로 추정되는 개인정보 유출 사고는 또 있었다. 혐한 성향으로 알려진 중국 해킹조직 '샤오치잉'은 이달 초 소프트웨어(SW) 공유 사이트 깃허브에 국내 기업·기관 등에 근무하는 인원 161명의 개인정보를 노출했다. 여기에는 ▲소속·이름 ▲아이디(ID)·비밀번호 ▲연락처 ▲직장·자택 주소 등 구체적인 신상 정보가 담겼다.

국립과학수사연구원, 국방과학연구소 등 정부 기관뿐 아니라 포스코, 삼성전기, LG전자, 현대제철, 금호타이어 등 기업 소속으로 보이는 이메일 주소도 대거 포함됐다. 검찰·경찰 소속 직원 정보와 함께 현직 장관 배우자 개인 정보도 있는 것으로 알려졌다. 업계에서는 이들이 최근 대한건설정책연구원을 포함한 12개 기관 홈페이지를 해킹한 만큼, 이 과정에서 얻은 정보가 아닌지 의심하고 있다.

◇직원 실수로 샌 내 정보, 소규모 유출도 빈번=담당자 실수로 고객 개인정보가 유출되는 일도 많았다. 드라마앤컴퍼니는 지난 13일 고소득 이용자 대상 채용 서비스 '리멤버 블랙' 가입 방법을 문의한 365명에게 단체 이메일을 발송하는 과정에서 이들의 이메일 주소를 노출했다. 회사는 개인정보보호위원회에 해당 사실을 신고한 뒤, 당사자에게는 안내문 등을 보내 사과했다.

SK텔레콤에서도 유사한 사고가 있었다. 메타버스 서비스 '이프랜드'(ifland) 이벤트 당첨자 안내 과정에서, 당사자뿐 아니라 다른 이들의 정보까지 함께 노출했다. 이 사실은 지난 10일 회사 홈페이지 공지로 알려졌는데, 이렇게 노출된 고객 수만 1000여명에 달했다.

국가 연구개발(R&D) 사업을 관리·지원하는 한국연구재단에서도 연구자들의 개인 정보가 대규모로 유출됐다. 지난 19일 연구재단 사업담당 직원이 평가위원들에게 안내 메일을 발송하는 과정에서 연구자 정보가 포함된 파일을 실수로 첨부했다. 여기에는 의약학단 소속 연구자 1596명의 이름과 소속기관, 연락처, 전공, 학위 등 다소 민감한 정보까지 포함돼 있었다.

이렇게 유출된 정보가 고객의 '금전적 피해'로 이어진 사고(추정)도 잇따랐다. 앞서 지마켓(G마켓)·인터파크 등에서 이달 중순 발생한 계정정보 도용 사건이 대표적이다.

특히 지마켓에서는 기존에 보유하던 미사용 상품권이 '사용 완료'됐다거나, 간편결제 서비스인 스마일페이를 통한 '결제 시도'가 있었다는 피해가 속출했다. 회사는 해커가 사전에 탈취한 계정정보로 다른 웹사이트에 무작위로 로그인하는 '크리덴셜 스터핑'(Credential Stuffing) 공격을 의심하고 있다.

연초부터 뻥 뚫린 개인정보 ···주민번호는 기본, 상품권도 날아갔다 기사의 사진

◇계속된 사고에도 "해답은 없다"=해커들의 사이버 공격과 담당자의 실수로 인한 개인정보 유출이 이어짐에도, 이를 막을 뾰족한 수는 없는 실정이다. 완벽한 보안 시스템을 갖추더라도 해커는 더 진보한 사이버 기술로 이를 공략해서다. 또 담당자들로 인한 유출은 의도하지 않은, 말 그대로 실수인 탓이다.

전문가들은 개인정보 보호에 관한 경각심을 고취하는 한편, 종합적인 관리체계를 도입해 피해를 줄여야 한다고 입을 모았다. 최경진 가천대학교 교수(개인정보보호법학회장)는 "기술적으로 보안시스템을 잘 갖추더라도 개인이 비밀번호를 쉽게 설정하면 말짱 도루묵"이라면서 "개인정보를 보호하기 위한 종합적인 관리체계를 만드는 게 중요하다"고 말했다.

한 정부기관에서 정보보호 업무를 담당하는 한 인사도 "공공기관에서는 고의로 정보를 유출했을 때 내리는 징계 수위를 강화하고 있다"면서 "의무적인 보안 교육 외에 심도 있는 콘텐츠의 교육물을 개발해 경각심을 제고하는 노력이 필요하다"고 조언했다.

법의식 확산의 필요성도 제기됐다. 최 교수는 "관리자 실수로 인한 개인정보 유출은 절차나 법규를 잘 모르거나 기존 관행이 개인정보보호법에 맞지 않는데도, 기존 관행을 유지해서 일 수 있다"면서 "다양한 홍보나 교육, 다양한 인증시스템 도입으로, 법의식을 확산하는 게 필요하다"고 힘줘 말했다.

인식의 전환부터 이뤄져야 한다는 목소리도 있다. 개인정보 보호법 전문가인 권헌영 고려대학교 정보보호대학원 교수(디지털플랫폼정부위원회 정보보호분과장)는 계속되는 정보유출 사고를 막기 위한 방안으로 '탈(脫) 제도·기술만능주의'를 제시했다.

탈 제도만능주의는 보안이 전문가만 할 수 있는 '전문분야'라는 인식을 버리는 것이다. 권 교수는 "지금까지 보안이슈가 발생하면 책임자만 호되게 야단치는 제도의 시대에 살아왔다"면서 "우리는 디지털 시대에 살고 있는데 보안이슈는 여전히 전문가의 영역에 두고 있다. 우리 모두가 보안을 지키기 위한 문화가 자리잡아야 한다. 각자가 책임을 지고 전문가들이 더 역량을 발휘할수록 도와야 한다"고 역설했다.

이와 함께 최신 기술에만 의존하는 생각도 버려야 한다고 조언했다. 권 교수는 "기술로 모든 게 해결된다고 생각하면 안 된다"면서 "기술적으로 보안이슈에 대응하는 시대는 지났다. 하나의 솔루션으로 모든 걸 커버할 수 있다고 하는 기술만능주의에서 벗어나야 한다"고 주장했다. 그러면서 "내가 지켜야 할 정보를 정확히 파악하고 거기에 적합한 기술을 산 뒤 그 기술이 적합하게 돌아가는지 주기적으로 점검하면 된다. 이게 기술만능주의에서 벗어나는 길"이라고 강조했다.
ad

댓글