Home > 전체기사

개인정보는 어떻게 유출될까? 1위는 웹 사이트 운영자의 실수

  |  입력 : 2021-07-08 10:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
실제 피해사례에서 내부 보안관리 소흘로 유출된 경우가 해킹보다 많아
게시판이나 댓글 등으로 개인정보 노출되지 않게 관리 필요
이미지, 문서 등 첨부파일 역시 개인정보 탐지 솔루션으로 대응해야


[보안뉴스 이상우 기자] 흔히 개인정보 유출사고는 외부 공격자의 해킹에 의해 발생한다고 생각하기 쉽다. 하지만, 기업이 실제로 우려하는 가장 큰 유출 요인은 관리상의 실수로 인한 유출이다. 국가통계포털(KOSIS)에 따르면, 과학기술정보통신부가 발표한 2019년 정보보호 실태조사에서 ‘우려하는 개인정보 유출요인(2가지)’를 묻는 질문에 ‘관리 실수로 인한 유출(74%)’이 가장 높은 응답 비율을 차지했고, ‘외부로부터 해킹(64.1%)’이 뒤를 이었다. 이 밖에 응답은 ‘내부자에 의한 고의 유출(42.8%)’, ‘아웃소싱 업체에 의한 유출(10.8%)’ 등이다.

▲우려하는 개인정보 유출요인과 실제 유출사고 경로[자료=과학기술정보통신부]


또한, ‘개인정보 침해사고 경험 유형(복수응답)’ 설문조사에서도 이와 유사한 결과가 나타났다. 개인정보 처리자가 개인정보를 무단으로 수집해 마케팅 목적으로 이용한 경우가 46.4%로 가장 많았으며, 내부의 보안 관리 소홀로 개인정보가 유출된 경우가 40.1%로 뒤를 이었다. 외부의 해킹으로 인해 개인정보가 유출된 경우는 23.2%로 나타났다. 정리하면 해킹은 개인정보 유출 요인 중 하나지만, 관리 실수, 내부자의 고의, 협력업체를 통한 유출 역시 침해사고의 주요 원인이다.

기업, 기관 등의 홈페이지 게시판을 통해 개인정보가 노출되는 것은 대표적인 관리 부주의로 인한 사고 사례다. 개인정보보호위원회에 따르면 지난 2019년, 공공분야 홈페이지에서 개인정보 노출을 탐지 및 삭제한 건수는 875건이며, 민간부문에서는 1만 2,615건에 이른다.

실제 사고사례를 보면 소방안전본부가 119구급대 이용현황을 담은 통계자료를 공개하는 과정에서 이용한 시민의 이름, 주소, 성별, 생년월일 등의 정보를 포함해 게시한 바 있다. 또, 한 구청 홈페이지에서는 신분증이나 등본 등의 스캔본을 웹 서버에 암호화하지 않고 보관하다가 URL을 직접 입력한 사용자에 의해 발견되기도 했다. 이러한 사례 모두 단순한 실수나 관리 미흡 등 사소한 실수가 원인이지만, 이렇게 노출된 정보는 보이스피싱 등 금융범죄에 악용돼 더 큰 피해를 일으킬 수 있다. 특히, 웹 크롤러 등을 이용하면 사이버 공격자는 큰 수고 없이 웹 사이트에 노출된 개인정보를 수집할 수 있다.

개인정보처리자는 홈페이지에서 처리하는 개인정보의 처리방법 및 종류 등에 따라 정보주체의 개인정보가 침해받을 가능성과 그 위험성을 고려해 이를 안전하게 관리해야 한다. 따라서 홈페이지를 운영하는 기관·기업에서는 내부 직원 교육을 통한 인식 제고와 함께 홈페이지 상 개인정보 작성 시 주의 안내, 지속적인 노출 모니터링 실시 등 각별한 주의가 필요하다. 특히, 정보통신서비스 제공자 등에 대해서는 일반 개인정보처리자와 구분해 개인정보 보호법 제39조의10에서 노출된 개인정보의 삭제·차단 의무조치를 규정하고 있다

▲실수로 노출된 개인정보 사례[자료=개인정보보호위원회]


그렇다면, 기업과 기관은 웹 사이트를 통한 개인정보 노출을 어떻게 예방할 수 있을까? 우선 웹 사이트 운영자는 공지사항이나 정보공개 등의 게시물을 등록할 때 개인정보에 대한 비식별 조치가 제대로 이뤄졌는지 확인해야 한다. 반대로 서비스 이용자가 게시판에 자신의 개인정보를 등록하는 경우도 있다. 가령, 민원이나 서비스 문의 등을 위해 게시판을 이용하면서 자신도 모르게 이름, 나이, 주소, 휴대전화번호, 이메일 주소 등을 공개할 수 있다.

이러한 사례를 예방하기 위해서는 웹 사이트 운영·관리자가 마스킹 등의 방법을 통해 최소한의 개인정보만 노출하도록 해야 하며, 부득이 개인정보를 적시해야 하는 경우 해당 게시글 및 댓글을 비공개로 전환하는 것이 좋다. 또한, 서비스 이용자가 스스로 개인정보를 노출할 가능성을 줄이기 위해서 개인정보처리자는 이러한 경우가 발생하지 않도록 개인정보 기재의 위험성을 안내하고, 문의나 민원 같은 내용을 타인이 볼 수 없도록 비공개 게시판으로 운영하는 등의 조치를 취해야 한다.

엑셀이나 워드 등 게시물에 문서 파일을 첨부했을 때 해당 파일에 개인정보가 제대로 마스킹됐는지 확인해야 한다. 엑셀 파일의 경우 열이나 행을 숨겼을 때 육안으로는 개인정보가 포함돼 있지 않았다고 판단할 수 있으나, 숨긴 행·열을 다시 보이도록 표시하면 숨어있는 개인정보가 나타날 수 있어 이를 잘 확인해야 한다. 또한, 함수를 이용해 주민등록번호나 전화번호를 다른 문자로 치환했을 경우, 겉으로는 마스킹이 된 것처럼 보일 수 있지만, 원본 데이터는 실제 개인정보를 참조해 보관하고 있다. 함수를 이용한 마스킹은 인쇄물에서는 유용하지만, 파일을 직접 업로드 하는 경우에는 부적절하기 때문에 게시물에 첨부 시 엑셀 원본이 아닌 PDF 출력 등을 통해 게시하는 것이 좋다.

워드나 한글 등의 워드 프로세서는 객체연결삽입(OLE) 등의 기능을 이용해 다른 형태의 파일을 참조해 본문에 넣는 것이 가능하다. 이 경우에도 삽입된 객체가 개인정보를 포함하고 있지는 않은지 잘 확인해야 한다.

이미지 파일 역시 주의해야 한다. 문서 파일의 경우 검색 기능을 통해 개인정보가 포함돼 있지 않은지 확인할 수 있는 반면, 이미지는 OCR 기능이 없다면 이를 확인하기 쉽지 않다. 특히, 최근에는 비대면으로 업무를 처리하는 과정에서 각종 서식을 스캔해 제출하는 경우가 많기 때문에 더욱 주의를 기울여야 한다.

▲이미지를 통한 개인정보 노출 사례[자료=개인정보보호위원회]


이러한 사고사례는 대부분 사람의 사소한 실수에서 비롯되며, 수많은 문서를 처리해야 하는 운영자 입장에서는 노출 여부를 세밀하게 파악하기 어려운 것도 현실이다. 이에 개인정보 필터링 솔루션을 도입하는 것 역시 좋은 방법이다. 개인정보 필터링 솔루션은 게시판, 첨부파일, DB 및 웹 서버 등에서 개인정보가 포함돼 있는지 자동으로 파악해 노출을 차단할 수 있다.

더욱이 최근에는 이미지 파일로 인한 개인정보 노출 사례도 증가하고 있는 만큼, 이미지에 포함된 개인정보 유형을 OCR 기반으로 탐지해 운영자에게 알려주고, 필요할 경우 자동으로 필터링하는 솔루션 역시 구축하는 것이 좋다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)