> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[개인정보 보호와 활용①] 심각해지는 개인정보 유출 사고
사용자 동의 없이 개인정보 수집하는 서비스 ‘심각’…정치적 목적의 주요인사 개인정보 탈취 사고 발생
     관련기사
  [개인정보 보호와 활용②] 지능화되는 개인정보 탈취 범죄
2018년 08월 09일 16:15:47 김선애 기자 iyamm@datanet.co.kr

개인정보와 보호와 활용을 ‘양날의 검’으로 비유하는 것은 적절하지 못하다. 돈이 되는 ‘고급 개인정보’를 훔치는 사이버 공격을 차단하기 위해 개인정보를 철저하게 보호해야 한다. 그러나 개인화 서비스가 발달한 현재, ‘개인정보 보호’에만 집중하면 경쟁력있는 서비스를 제공하지 못한다. 개인정보를 안전하게 보호하면서 적법하게 활용할 수 있는 환경이 시급히 필요하다.<편집자>

개인화 서비스 발전하며 개인정보 유출사고 급증

    
▲일상에서 사용하는 애플리케이션의 위험도(자료: 카스퍼스키랩)

스마트폰으로 거의 대부분의 일상생활이 가능한 시대가 왔다. 쇼핑, 여행, 문화, 운동, 영화 모든 여가생활이 스마트폰을 통해 이뤄지며, 업무 중 일부도 스마트폰으로 처리할 수 있게 됐다. 주변의 할인상품이나 이벤트, 프로모션, 쿠폰 등의 정보가 시시각각 스마트폰을 통해 전송되며, 일상생활에 유용한 팁 등도 스마트폰을 통해 쉽게 검색할 수 있게 됐다.

IoT 환경에서 인터넷에 연결된 기기들이 인류의 생활 패턴을 완전히 바꾸어놓았다. 지갑, 백과사전, 전화번호부가 인터넷으로 올라가 사람들이 직접 소유하지 않아도 편리하게 이용할 수 있다. 이러한 편리함과 함께 필연적으로 따라온 것이 개인정보 유출, 사생활 침해이다.

페이스북은 6월 소프트웨어 버그로 1400만명의 사용자 게시물이 전체공개로 전환되는 사고를 일으켰다. 이전에는 61개 기업에 특별접근권한을 부여해 개인정보를 수집할 수 있도록 허용했다는 사실이 알려지면서 여론의 뭇매를 맞고 있다. 영국의회는 지난해 페이스북이 캠브리지 애널리티카(CA)를 통해 가입자 수천만명의 개인 정보를 유출했다는 것에 대해 50만파운드(약 7억4000만원)의 벌금을 부과했다.

카스퍼스키랩의 분석에 따르면 안드로이드 앱의 96%는 사용자 동의 없이 실행되며, 사용자의 위치, 연락처 정보, 활동 등의 중요한 정보에 무단으로 접근하는 것으로 나타났다. 엔시큐어가 국내에 공급하는 모바일 위협 방지 솔루션 짐페리움의 분석에서도 우리나라 대표적인 폐쇄형 SNS를 비롯한 많은 스마트폰 앱이 사용자가 동의하지 않은 연락처 정보, 카메라, 스마트폰 활동 내역 등 너무 많은 개인정보를 수집하고 있는 것으로 나타났다.

범죄자, 금전적 수익·정치적 목적으로 개인정보 수집

초연결 사회에 접어들면서 너무 많은 정보가 인터넷을 통해 수집되고 있으며, 이 정보가 제대로 보호되지 못하고 개인의 민감한 정보, 사생활 정보가 사이버 범죄자들에게 들어가는 사고가 끊임없이 발생하고 있다.

싱가포르의 국립의료기관 싱헬스가 해킹을 당해 지난 3년간 외래진료를 받은 150만여명의 의료정보가 유출됐다는 사실이 7월 밝혀졌는데, 싱가포르 정부는 이 사고는 리센룽 총리 의료기록을 노린 공격이라고 발표하면서 반복적으로 정보를 훔치기 위한 시도가 있었다고 주장했다. 이 사고로 싱가포르 시민 150만 명의 개인정보와 처방 정보가 탈취됐다.

지금까지 공격자들은 금전적인 목적으로 개인정보를 훔쳤다. 훔친 개인정보를 다크웹 등에서 판매하거나, 이 정보를 이용해 스팸, 피싱, 전화금융사기, 스캠 등 다른 공격에 활용하면서 수익을 얻었다.

싱가포르 개인정보 탈취 사고는 이와 같은 금전적 목적을 위한 공격뿐만 아니라 사이버 스파이 활동으로도 보인다. 유력 정치인의 개인정보까지 탈취하면서 정치적인 영향력을 행사하려는 의도이거나 정치·외교적인 이익을 얻기 위한 것으로 보인다.

공격 목적과 방법이 다양해지고 있지만, 기업/기관의 대부분은 공격을 당했다는 사실조차 인지하지 못한 채 상당기간을 보내는 것으로 나타났다. 파이어아이 ‘M 트렌드 2018 보고서’에서는 아태지역 기업의 침해사고의 경우 공격자가 평균 500여일을 머무른 것으로 나타났다. 글로벌 평균은 101일로, 아태지역 기업에 공격자가 5배 긴 기간 동안 머무르면서 사이버 스파이 활동을 벌이고 있다는 뜻이다.

기업/기관이 지능적이고 정교한 사이버 공격을 막지 못해 발생한 데이터 침해사고 건수는 2013년부터 2017년까지 100억여개에 이르는 것으로 젬알토는 집계했다. 젬알토의 ‘브리치 레벨 인덱스(BLI) 2017’에 따르면 지난 한 해 동안 발생한 사고를 분석하면 1초에 55개, 하루 480만개의 데이터가 빠져나갔으며, 이 중 4%만이 암호화로 보호되고 있는 것으로 나타났다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr