Home > 전체기사

“보안담당자의 관리 소홀, 개인정보 유출사고로 고스란히 이어져”

  |  입력 : 2022-05-16 10:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 개인정보 유·노출 이슈는? 마이데이터, 가정용 CCTV, 온라인 플랫폼 이용 확대
보안담당자의 전문성 부족과 관리 소홀, 실수 등이 개인정보 유출사고로 이어져


[보안뉴스 기획취재팀] “S금융사의 경우, 통합 앱에서 고객 344명의 투자 정보가 잘못 노출됐고, K카드 역시 앱상에서 실제 이용자가 아닌 타인의 개인정보가 노출되는 오류가 발생했습니다. S카드는 가입자들이 자신도 모르는 사이에 이용하지 않은 금액이 결제되는 사고가 발생했는데, 가입자에 대한 명의도용이 실질적인 금전 피해로까지 이어진 셈입니다. 이처럼 금융권 및 기업의 보안 대처 미흡으로 인한 개인정보 유·노출 사고가 상당수에 이릅니다.”

[이미지=utoimage]


보안담당자의 전문성 부족과 관리 소홀, 실수 등이 개인정보 유출 사고로 이어지고 있어 개인정보보호와 관리의 중요성이 더욱 커지고 있다. 특히, 보안인력 부족과 전문성 부재는 관리 미흡으로 이어지고 있어 이를 위한 대응방안이 필요하다. 이에 <보안뉴스>는 유니포인트와 협력하고 있는 어플라이언스 코리아 한지호 과장과의 인터뷰를 통해 금융권, 클라우드 사용 기업들의 개인정보보호 실태와 문제점을 짚어보고, 대응방안에 대해 들어봤다.

Q. 최근 개인정보보호 이슈에 대해 설명해 주신다면?
어플라이언스 코리아 한지호 과장 올해 한국인터넷진흥원에서 개인정보보호 7대 이슈 전망에 대해 발표했는데, 몇 가지만 설명 드리겠습니다. 첫 번째로, 금융을 넘어 전 산업분야로 확산되는 마이데이터 이슈가 있습니다. 스마트폰 대중화 등으로 ‘마이데이터’ 서비스 활용 여건이 조성되면서 금융·공공·의료 기관 등 다양한 분야에서 개인정보를 처리·저장함에 따라 개인정보의 중요성은 더욱 커지고 있습니다. 하지만 이러한 대중화와 달리 개인정보보호 인식은 아직 부족한 게 현실입니다. 개개인이 보유한 개인정보 노출 및 유출의 위험성은 자꾸 커지고 있으며, 이에 따른 해킹 등 다양한 보안위협이 존재합니다.

두 번째로, 신기술 환경에서의 개인영상정보 보호 이슈가 있는데, 최근 독거어르신 보호나 반려동물 확인 등 다양한 용도의 가정용 CCTV 확산과 보편화로 개인의 얼굴과 위치정보 등 개인정보 유출 우려가 있고, 드론, 웨어러블 카메라, 자율주행차 등 이동형 영상정보처리기기의 활용 확대와 함께 대규모 영상정보 유통 서비스가 확산되면서 개인영상정보 보호를 위한 법·제도 개선의 필요성이 증대되고 있습니다.

마지막으로 비대면 시대, 온라인 플랫폼 이용 확대에 따른 개인정보보호 이슈가 있습니다. 코로나19 감염병 유행 이후, 국민의 비대면 활동 증가로 디지털 소비가 약 2배 증가하면서 전자상거래의 핵심 역할을 수행하는 온라인 플랫폼의 영향력이 증가했습니다. 이러한 온라인 플랫폼 기업이 거대화되면서 대량의 개인정보가 수집됨에 따라 개인정보 유출, 부적절한 처리 등 보안 위협이 커지고 있는 상황입니다.

실제 디지털 소비 과정에서 겪은 소비자 불만이나 문제 중 ‘개인정보 유출’, ‘사기 불안’이 높은 비중을 차지했고, 주요 온라인 플랫폼사 33개 가운데 3개중 1개사는 개인정보 처리에 문제가 있는 것으로 나타났습니다.

Q. 기업에서 개인정보와 관련해 어떤 문제점이 많이 발생하는지?
한지호 과장 아무래도 개인정보 유출사고가 가장 심각합니다. 최근까지도 개인정보 관리 소홀로 여러 사건사고가 발생했고, 공공기관, 법인, 단체 등 개인정보처리자의 과실로 인해 대량의 개인정보가 유출됐습니다. 이처럼 업무담당자에 의한 개인정보 유출사고는 증가하는 추세입니다. 유출된 개인정보는 2차 범죄에 악용돼 이용자들의 불안을 가중시키고 있습니다.

Q. 기업에서 개인정보보호와 관련해 어떤 문제점과 고충을 토로하는지?
한지호 과장 기업에서는 개인정보 유출사고가 발생하면 이를 위한 대책으로 정보보호 교육 강화, 개인정보처리 시스템 보안 강화, 개인정보 관리실태 점검 강화 등이 단골처럼 등장하고 있는 반면, 예나 지금이나 아직 개선되지 않고 있는 실정입니다. 이러한 배경에는 첫 번째로, 개인정보보호 전담 인력은 물론 전문성도 부족하기 때문입니다. 개인정보보호 전담 인력이 부족한 데다가 전담인력이 있다고 해도 업무 경력이 매우 짧아 전문성이 확보되지 않은 곳이 비일비재합니다.

두 번째, 개인정보보호 예산의 부족입니다. 개인정보보호 예산 규모는 1억원 미만이 대다수이고 이마저도 서비스 사용료, 직원 교육비 등을 제외하면 제대로 된 보안 솔루션 하나 도입하기 어려운 규모입니다.

Q. 금융권의 개인정보 유출 이슈 또한 끊이지 않고 있는데요. 이와 관련한 문제점과 해결방안을 제시해 주신다면?
한지호 과장 금융권에서는 특히 개인정보 유출 문제가 심각합니다. 최근에도 S금융사, S카드, K카드 등 여러 금융권에서 보안관련 사고가 발생했습니다. S금융사의 경우, 통합 앱에서 고객 344명의 투자 정보가 잘못 노출됐고, K카드 역시 앱 상에서 실제 이용자가 아닌 타인의 개인정보가 노출되는 오류가 발생했습니다. S카드는 가입자들이 자신도 모르는 사이에 이용하지 않은 금액이 결제되는 사고가 발생했는데, 가입자에 대한 명의도용이 실질적인 금전 피해로까지 이어진 셈입니다. 이처럼 기업의 보안 대처 미흡으로 인한 개인정보 유·노출 사고가 상당수에 이릅니다.

이를 위한 해결 방안으로는 개인정보보호 전담인력을 확충하고 예산 공백을 메워야 하며, 개인정보처리자, 개인정보취급자, 정보주체 등 다각적인 측면에서 개인정보 유출 징후를 상시 감시할 수 있도록 시스템을 개선하고 보완해야 합니다. 특히, 개인정보 유출을 막을 수 있는 이중, 삼중의 보호장치로 개인정보와 중요 데이터를 암호화하고, HSM 솔루션 등을 통해 암호키를 관리해야 합니다.

Q. 보안에 있어 HSM 솔루션의 중요성에 대해 말씀해 주신다면?
한지호 과장 많은 기업들이 고객의 개인정보보호와 기업의 지적재산 보호를 위해 암호화 전략을 수립하고 있는데, 이러한 암호화 기술의 핵심은 암호키 관리입니다. HSM은 데이터를 암호화하고 복호화하는데 사용되는 키를 생성하고, 디지털 서명과 인증서를 생성해 암호화 프로세스를 보호하는 하드웨어 장치입니다. 물리적인 공간으로 완전히 분리되고 독립된 공간에서 암호키 생성·폐기·관리 등의 암호키 라이프 사이클을 제어할 수 있는 게 특징입니다.

▲어플라이언스 코리아 한지호 과장[사진=보안뉴스]

Q. 최근 클라우드 이용 기업들이 증가했는데, 개인정보보호 실태는 어떤가요?
한지호 과장 최근 클라우드 기반의 인프라와 플랫폼, 서비스를 채택하는 개인과 기업이 빠르게 늘고 있는 만큼 보안 문제 역시 증가하고 있습니다. 지난 2021년 11월 팔로알토네트웍스가 발표한 ‘IT 보안의 시작은 자산 파악’ 보고서에 따르면, 아시아태평양 지역 내에서 발생한 보안사고의 79%는 클라우드에서 발생했고, 2021년 탈레스(Thales)에서 발표한 글로벌 클라우드 보안 연구보고서에서도 지난 12개월 동안 클라우드 사용 기업의 40%가 클라우드 기반 데이터 침해를 경험했다고 응답했습니다. 응답자의 83%는 ‘클라우드에 저장된 민감 데이터의 절반을 암호화하지 않았다’고 답했습니다.

Q. 클라우드 이용과 관련해 개인정보보호 방안을 제시해 주신다면?
한지호 과장 클라우드 보안의 중요성은 날로 커져가고 있으며 구글, 아마존, 마이크로소프트와 같은 글로벌 기업들은 클라우드 보안을 위해 소프트웨어 보안 뿐만 아니라 HSM을 도입해 보안 레벨을 강화하고 있습니다. 구글은 구글 클라우드 플랫폼(Google Cloud Platform) 보안 업데이트를 발표하면서 Cloud HSM을 적용시키겠다고 발표했고, 아마존은 AWS Cloud HSM, 마이크로소프트는 자사의 Cloud 서비스인 애저(Azure) 전용 HSM을 도입했습니다. 이는 클라우드가 해킹 당해서 정보가 노출되더라도 클라우드 내부의 정보들은 암호화로 저장돼 있어 암호화 키를 안전하게 보관함으로써 개인정보 유출 피해를 최소화할 수 있기 때문입니다.

Q. 개인정보보호를 위해 기업과 보안담당자에게 당부하고 싶은 말은?
한지호 과장 사이버 환경이 점점 위협받고 있음에도 불구하고 전체 IT 예산의 15%이상을 보안에 투자하고 있는 조직은 전 세계적으로 23%에 불과하다고 합니다. IT 기업들이 올해 IT 보안에 더 많은 비용을 지출하고 있지만, 전체 IT 예산과 비교하면 ‘필수품’이 아닌 ‘있으면 좋은 것’으로 여전히 인식하고 있습니다. 개인정보와 중요 데이터를 안전하게 보호하기 위해서는 이러한 인식이 최우선적으로 변화돼야 하고, 보안인력 충원, 보안솔루션 도입 등 보안 투자가 확대될 수 있도록 개인정보보호에 더욱 관심을 기울여야 합니다.

한편, 글로벌 기업 탈레스(Thales) 총판사인 유니포인트는 기업의 보안위협이 증대됨에 따라 어플라이언스 코리아와 고객의 실정에 맞는 다양한 정보보호 방안을 제시하고 있다. 기업 IT 인프라 솔루션에서부터 보안, 클라우드, 빅데이터, AI, 통합 유지보수 등 다양한 솔루션과 고품질 서비스를 제공함으로써 고객사가 최신 보안위협에 선제적으로 대응할 수 있도록 지원 및 협력하고 있다.
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)