ICBM이 본격화되면서 데이터 보호 전략도 전환점을 맞이하게 됐다. 경계 없는 데이터 흐름을 보장하면서도 안전하게 보호할 수 있는 새로운 기술이 요구되고 있으며, 개인정보의 비식별화를 통해 빅데이터 및 이를 활용한 새로운 산업이 발전하도록 해야 한다. 새로운 기술과 전략으로 재도약의 기회를 맞은 데이터 보호 기술과 시장을 살펴본다.<편집자>
훔친 개인정보 판매하는 온라인몰도 발견
데이터 유출방지의 중요한 이슈 중 하나가 개인정보이다. 지난 10여년 간 끊임없이 발생한 개인정보 유출 사고로 인해 우리나라 개인정보는 ‘전 세계의 공용정보’로 전락했다는 한탄의 목소리가 나올 정도이다.
개인정보는 우리나라 뿐 아니라 세계 각국에서도 심각한 위협으로 지목하고 있다. 개인정보는 돈이 되는 정보이기 때문에 공격자들이 가장 많이 노리고 있다. 공격자들은 타깃 기업의 내부자를 매수하거나 협박하는 방식으로 내부에서 유출을 시도하기도 하며, APT 공격과 같은 외부 해킹을 통해 빼내기도 한다.
훔친 개인정보는 지하시장에서 거래되는데, 온라인몰을 통해 판매하는 정황도 발견됐다. 파이어아이가 추적하고 있는 벤데타 브라더스 범죄조직은 POS를 해킹해 신용카드 정보를 탈취한 후 자체적으로 운영하는 온라인몰 ‘벤데타 월드(Vendetta World)’을 통해 이 정보를 판매하고 있다. 이 온라인 몰에서는 우리나라를 포함해 전 세계 41개국에서 탈취한 정보를 판매하고 있으며, 41개국 639개 은행의 9400개 가량의 카드 정보가 매물로 나와있다.
파이어아이는 이들이 다른 사이버 범죄 조직과 협업해 조직화된 방법으로 피해자의 카드 정보를 탈취한다. POS 터미널에 접근 권한은 있지만 시스템을 감염시킬 악성코드를 보유하지 못하거나, 유포할 기술이 부족한 사이버 범죄자들과 협업해 악성코드 유포와 수익 창출 과정에 집중하며, 다양한 결제 시스템에 접근해 수익률을 높인다. 또한 파트너와 사이버 범죄 프로세스를 분담함으로써 경찰 조사를 일부 회피할 수 있어 보안성을 강화한다.
개인정보는 보호받아야 할 개인의 권리이지만, 기업/기관은 개인정보를 이용해 다양한 수익을 창출하고자 해 보호와 활용이 충돌하게 된다. 특히 2012년 개인정보보호법이 발효되고 매년 강화되면서 개인정보 수집과 활용이 제한되면서 기업들은 비즈니스 활용에 극히 제약을 받고 있다고 반발하고 있다.
일각에서는 개인정보의 보호는 물론 활용도 ‘권리’라고 주장하고 있기도 하다. 이홍섭 개인정보보호위원회 위원장은 “개인정보를 제대로 활용하면 알지 못했던 복지 혜택을 찾거나 개인의 경쟁력을 높일 수 있는 유용한 정보를 얻을 수 있다. 보호와 활용 어디에 중점을 둘 것인가가 중요한 것이 아니라, 개인정보 주체가 스스로 자신의 개인정보를 결정할 권한을 강화하는 것이다. 개인정보의 적법한 활용, 안전한 관리, 공정한 처리가 필요하다”고 주장했다.
개인·기관·정부, 개인정보 보호 함께 노력해야
적법하고 안전한 개인정보 보호와 활용을 위해서는 기업은 물론 개인의 노력도 반드시 필요하다. 많은 사용자들이 자신의 개인정보가 불필요한 마케팅에 활용되는 것에 불쾌감을 느끼면서도 ‘개인정보 이용 동의 시 상품권 증정’ 등의 프로모션에는 적극적으로 응한다. 또한 개인정보를 안전하게 보호하기 위해 다소 비용이 드는 서비스에 가입하는 것에 부정적으로 반응하고 있기도 하다.
김원 한국인터넷진흥원 김원 개인정보보호본부장은 10월 13일 열린 ‘개인정보보호표준포럼 컨퍼런스 2016’에서 “개인정보 보호를 위해서는 정보주체인 개인과 기업 등 개인정보 처리자, 그리고 정부가 상호신뢰관계를 가지면서 보호 수준을 높여나가야 한다. 기업과 정부의 개인정보 보호 노력은 반드시 강조돼야 하며, 개인의 개인정보 의식도 함께 심어주는 것이 필요하다. 정보주체가 자신의 민감한 정보를 문제의식 없이 제공하는 문화도 바꿔나가야 한다”고 강조했다.
강경훈 동국대 교수는 10월 19일 열린 ‘금융정보보호 컨퍼런스(FISCON) 2016’에서 “개인정보 유출로 인한 손실은 다시 돌이킬 수 없으며, 피해 규모를 산정할 수도 없다. 빅데이터 분석 기술을 이용해 기업은 비즈니스 가치를 창출할 수 있지만, 빅데이터 분석된 결과가 어디에서 어떻게 활용될지 예상하기 어렵기 때문에 개인정보 보호 이념을 기반으로 한 빅데이터 활용 방안을 마련하는 것이 필요하다”고 주장했다.
