“지난해 개인정보 유출·가상화폐 탈취 사고 잇달아”
상태바
“지난해 개인정보 유출·가상화폐 탈취 사고 잇달아”
  • 김선애 기자
  • 승인 2018.01.19 14:48
  • 댓글 0
이 기사를 공유합니다

소만사 ‘2017년 발생한 개인정보보호 이슈’ 보고서 발표…GDPR 시행으로 개인정보 보호 체계 마련 시급

개인정보 보호 문제에도 가상화폐 거래소 해킹이 가장 심각한 위협으로 꼽혔다. 소만사(대표 김대환)가 19일 발표한 ‘2017년 발생한 개인정보보호 이슈’에 따르면 가상화폐 거래소가 해킹돼 개인정보가 유출되고 가상화폐를 도난당하는가 하면 거래소 폐쇄 위기까지 몰리게 된 것이 지난해 발생한 가장 심각한 위협으로 선정됐다.

지난해 유빗은 4월과 12월 공격을 받아 170억원 상당의 가상화폐를 도난당했다며 거래소 퍠쇄를 선언하고 파산신청을 하겠다고 밝혔다. 그러나 파산절차는 밟지 않고 있으며 거래소 매각을 진행하고 있다.

빗썸은 6월 해킹으로 고객정보와 회사 기밀정보를 유출당했으며, 방송통신위원회로부터 4350만원 과징금과 1500만원 과태료, 책임자 징계권고 등의 행정처분을 받았다. 비트코인 거래소는 금융회사보다 보안관련 규제가 상대적으로 느슨한 만큼 보안이 취약한 비트코인 거래소는 2018년에도 해커들의 공격대상이 될 가능성이 높다.

해커 PC에서 3300만건 개인정보 발견

지난해 8월 한국인터넷진흥원(KISA)가 발표한 보고서에서는 2014년부터 2016년까지 발생한 개인정보 유출사고의 원인 중 59%는 해킹으로 인한 것이었다. 지난해 7월 검거된 한 해커의 컴퓨터에서는 3300만건의 개인정보가 발견되기도 했는데, 국내 투자선물 A사를 비롯해서 유명 학술논문 사이트까지 총 20개업체의 개인정보가 유출된 것으로 확인됐다.

KISA 보고서에 따르면 내부직원과 관리자 부주의로 인한 개인정보 유출이 14.6%를 차지했는데, 내부자의 고객정보 오남용은 기업에 대한 신뢰와 이미지에 큰 타격을 줄 수 있기 때문에 철저한 유출통제 관리가 필요하다. 특히 인터넷을 통해 내부 개인정보 유출이 빈번히 이루어지고 있어 이에 따른 대책이 요구된다.

영업점과 대리점을 통한 개인정보 유출도 심각한 상황이다. 지난해 말 방송통신위원회는 통신사 영업점 등 ‘정보통신망 이용촉진 및 정보 보호 등에 관한 법률(정보통신망법) 및 시행령’을 위반한 24개 업체에 대해 과태료 3억4000만원을 부과하고 시정조치 명령을 내린 바 있다. 그 중에서도 통신사 영업점 8개사는 1700만건의 개인정보를 불법수집하거나 파기 없이 무기한 보관하는 등 정도가 심하다고 판단해 대검찰청에 조사결과를 이첩하기로 했다.

랜섬웨어 역시 개인정보 보호 측면에서 중대한 위협이 된다. 지난해 7월 워너크라이 해커들은 MS프로그램의 약점을 이용해 전 세계의 23만대 이상 컴퓨터를 감염시켰고, 컴퓨터에 저장된 파일과 자료를 인질로 삼아 돈을 요구했다.

GDPR, 개인정보 보호·활용의 균혀 이뤄야

개인정보 보호와 관련한 글로벌 이슈는 오는 5월 시행되는 유럽 일반개인정보보호규정(GDPR)이다. GDPR을 심각하게 위반했을 경우 전 세계 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액이 과징금으로 부과된다. 또한 EU에 사업장이 없더라도 EU 거주 정보 주체에게 서비스를 제공하는 기업들 또한 적용을 받는다. 한편 GDPR은 빅데이터 분석을 통한 가치 창출을 위해 규제를 완화하여 가명처리를 취한 경우에는 개인정보를 동의 없이 처리할 수 있다.

개인정보 보호 규제 강화는 전 세계적인 추세로, 지난해 중국은 네트워크보안법을 시행하고 중국에서 생산·수집된 개인정보와 데이터는 중국 내에 저장하도록 했다. 이 법에는 네트워크 설비 시설 보안, 네트워크 운영 보안, 네트워크 데이터 보안, 네트워크 정보 보안 등에 관한 내용이 포함됐다. 가장 중요한 사항으로는 개인정보를 중국에 강제 보관하게 한 규정이다. 중국 내에서 수집한 개인정보는 중국 내에 저장해야 하며, 2018년 12월부터는 국외반출이 제한된다. 위반시에는 과징금, 구류 외에 사업정지까지 받을 수 있어 중국에 진출한 국내기업들의 철저한 준비가 필요하다.

미국 뉴욕주에서는 금융기관을 위한 사이버보안 규정 NYCRR 500을 시행하고 금융기관의 사이버 보안사고 예방과 고객정보 보호 강화에 나서고 있다. 데이터 유출통제, 파기, 접근통제, 암호화 등의 내용을 포함하고 있으며, 데이터 중심 보안 체계구축을 강조하고 있다.

전 세계적으로 대형 개인정보 유출 사고도 잇따르고 있는데, 미국 3대 신용평가기관 에퀴팩스가 해킹을 당해 미국 전체 인구의 44%에 해당하는 1억4300만 명의 개인신용정보가 유출됐다. 유출된 정보가 이름, 주소, 생년월일, 이메일 등의 기본 정보는 물론이고 사회 보장 번호, 운전면허 번호 등 중요한 정보도 함께 유출됐다는 점에서 피해가 더욱 심각할 것으로 예상된다. 미국에서는 ‘개인정보가 유출됐다’는 의미로 ‘에퀴팩스 됐다’라는 말을 사용하기도 한다. 이번 사건으로 에퀴팩스 의 주가가 대폭 하락했고, CIO, CSO, CEO까지 자리에서 물러났다.

2013년 발생한 야후 개인정보 유출 사고의 총 피해 규모가 30억건에 이르는 것으로 알려졌다. 애초 10억개의 계정이 해킹됐다고 발표된 것과 비교하면 3배 규모로 늘어난 것이다. 피해 대상에는 야후 사이트 이외에 야후가 보유한 텀블러, 판타지 스포츠, 플리커 등의 이용자도 포함되어 있었다.

야후는 해킹사건으로 인해 버라이즌 인수 당시 가격이 4천억원 이상 삭감되는 등 막대한 손실을 입었다. 뛰어난 해킹방어 보안체계를 구축하였던 야후 조차 개인정보 유출사실을 즉각적으로 인지하지 못했다. 이에 유출경로를 전사적으로 파악하고 유출된 데이터를 추적하는 보안정책이 주목을 받고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.