[보안컬럼]개인정보 유출, 왜 줄어들지 않는가?

[보안컬럼]개인정보 유출, 왜 줄어들지 않는가?

요즘 주변에서 독감이 기승을 부리고 있다. 동아시아뿐만 아니라 미국, 유럽, 아프리카에서도 독감 환자가 속출하고 있다. 질병관리본부는 예방 주사 접종과 함께 손 씻기 생활화, 기침 예절 실천 등 예방 수칙 지키기를 당부하고 나섰다. 이렇듯 보건 당국이 매년 경고하고 많은 사람이 예방 주사를 맞는데도 독감 환자는 왜 지속해서 발생하는 것일까. 세계보건기구(WHO)는 올해 유행할 인플루엔자 바이러스 예측 실패가 원인이라고 밝혔다.

예측의 어려움과 함께 개인 정보 유출 사고 또한 마찬가지다. 언제 어떻게 발생할지 예측하기가 어렵다. 오랫동안 기억에 남아 있는 온라인 쇼핑몰과 카드사·통신사 등에서 일어난 사고 외에 지난 2017년 한 해만 해도 숙박 애플리케이션(앱), 가상통화 거래 사이트, 여행사 등 유명 기업에서 개인 정보 유출 사고가 발생했다. 개인정보보호법이 시행된 2011년부터 312개 기업에서 총 1억8700만건의 개인 정보가 유출된 것으로 집계된다. 개인 정보 유출 사고는 왜 지속 발생하는 것일까.

GettyImages
GettyImages

이름, 주민번호, 개인 영상 정보, 아이디, 휴대폰 번호, 종교 등 개인 정보는 그 자체뿐만 아니라 개인의 많은 특성을 나타내기도 한다. 최근 사회의 모든 시스템이 디지털화되고 인터넷으로 연결되면서 개인 정보는 기업 마케팅, 서비스 효용성 제고를 위해 수집·이용된다. DNA(데이터, 네트워크, 인공지능)로 대변되는 4차 산업혁명 시대에는 이들 정보를 활용한 부가 가치 산업이 더욱 발전하게 된다.

개인 정보 처리가 급증하다 보니 '개인 정보=돈'이라는 공식이 성립된 듯하다. 이처럼 개인 정보 가치가 높아지다 보니 해커의 먹잇감이 되거나 보이스피싱 사기단에 개인 정보가 불법 유통되는 블랙마켓도 생겨나고 있다. 해커가 개인 정보를 빌미로 비트코인을 요구하거나 다크웹에서 포털사이트 사용자 2억명의 인증 정보가 200만원에 판매되는 사례가 이를 방증한다.

사이버 공격 기술이 날로 지능화·고도화됨으로써 개인 정보 유출 사고 발생 시점이나 경로 예측은 점점 어려워지고 있다. 최근 3년 동안 발생한 개인 정보 유출 사고의 절반 이상인 64%가 웹셸 업로드, 파라미터 변조, 지능형지속공격(APT), 구조화질의어(SQL) 인젝션 등 외부 공격에 의한 것이어서 위협 요인을 통제하기 쉽지 않은 것도 사실이다.

앞으로는 다양한 정보통신기술(ICT) 시스템이 연결·융합·대형화되면서 개인 정보 생애 전 주기에 걸쳐 유출 가능성은 더욱 확대될 것으로 보인다. 기업의 정보 보호와 인력에 대한 지속 투자 및 관심과 함께 정부의 관리·감독, 유출 사고 신속 대응, 피해 확산 방지 노력 등을 통한 위협으로부터 예측 불가능성을 줄여 나가는 노력이 필요하다.

한국인터넷진흥원은 국내 200만개 사업체와 390만개 웹사이트, 앱을 대상으로 개인 정보 관리 실태 점검과 법규 준수 모니터링을 매년 실시하고 있다. 한 번 유출된 개인 정보는 다른 정보와 결합해 확대·재생산되거나 사이버 사기 같은 2차 피해로 이어지고 있기 때문에 국내외 웹사이트 및 포털 등에 노출된 개인 정보를 탐지해서 삭제하고, 불법 유통 게시물을 찾아 차단하고 있다.

개인 정보 유출의 연쇄 고리를 끊어 내기 위해서는 기업과 개인 모두의 노력이 필요하다. 기업은 자발로 관련법에서 제시하는 내부 관리 계획의 수립·시행, 접근 통제, 암호화, 악성 프로그램 방지와 같은 최소한의 조치를 적용해야 할 것이다. 정보 주체인 이용자 스스로도 비밀번호를 주기로 변경하거나 'e프라이버시 클린서비스'를 통해 본인 확인 내역을 확인해서 불필요한 웹사이트 탈퇴 등 개인 정보 보호의 실천 노력을 해야 한다.

독감이 예측되지 않는다고 해서 방치하면 더 큰 문제가 발생한다. 개인 정보 유출 또한 사고가 날 수밖에 없다는 생각으로 방치해서는 안 된다. 기업, 정부, 국민 등 사회 구성원 모두의 노력이 요구된다. 소 잃고 외양간 고치는 일은 이제 그만해야 한다.

김주영 한국인터넷진흥원 개인정보대응센터장 kjy@kisa.or.kr