Home > 전체기사
긴급재난지원금 신청 등에 사용된 ‘개인정보 이미지 파일’이 위험하다
  |  입력 : 2020-08-18 01:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
긴급재난지원금과 긴급고용안정지원금 신청에 주요 서류 ‘이미지’로 제출...접속기록 안남아
온라인상 문서 취합해 색인하는 검색사이트...개인정보 담긴 문서는 크롤링 차단하지만 이미지는 못해


[보안뉴스 원병철 기자] 데이터3법이 국회를 통과했지만 아직도 개인정보의 보호와 활용에 대한 논의는 끊이질 않고 있다. 이는 개인정보가 4차 산업혁명의 원유라 불리는 ‘데이터(Data)’의 핵심정보이면서 자칫 악용될 경우 개인정보 유출과 오남용 등으로 엄청난 피해를 입힐 수도 있기 때문이다. 이에 개인정보를 보호하기 위해 다양한 개인정보보호 솔루션들이 출시됐는데, 문제는 상당수의 관련 솔루션들이 놓치고 있는 것이 한 가지 있다는 사실이다. 바로 ‘이미지’에 담긴 개인정보다.

[이미지=utoimage]


이미지속 개인정보 노출 문제는 어제오늘 일이 아니다. 이미 <보안뉴스>에서도 2019년 5월 13일 기사(‘내 주민등록증이 인터넷에 떠돈다! 이미지속 개인정보 노출 경고등’)나 2019년 5월 20일(‘경고등 켜진 이미지속 개인정보 노출 어떻게 차단하나’)에 게재된 관련 기사 등을 통해 여러 차례 지적한 바 있다. 당시 검색사이트에서 주민등록증이나 운전면허증을 검색하면 주민등록번호나 운전면허번호가 고스란히 노출된 이미지가 검색된다는 사실이 주요 이슈였다.

그런데 주민등록증이나 운전면허증 못지 않게 중요한 이슈가 발생하고 있다. 최근 코로나19 사태로 정부가 국민들에게 제공한 ‘긴급재난지원금’이나 ‘긴급고용안정지원금’ 등을 온라인으로 신청할 때, 필요한 서류 대부분을 이미지로 첨부했기 때문에 현재 관련 부처에는 전 국민의 개인정보가 담긴 주요 이미지 파일이 저장되어 있다고 해도 과언이 아니다.

문제는 이렇게 저장된 이미지 파일들을 △누가 △언제 △어디서 △어떤 목적으로 열어봤는지 알 방법이 없다는 사실이다. 물론 정부기관들은 행정안전부의 ‘개인정보의 안전성 확보조치 기준(고시)’를 통해 개인정보 접속기록을 1년까지 보관하고, 유전정보나 범죄경력 자료 등 민감정보를 처리할 경우 최대 2년 이상 보관하도록 되어 있다. 또한, 내부 관리자의 개인정보 접속기록 자체 점검도 기존 1년에 2번(상·하반기)에서 1달에 1번으로 강화됐다.

이러한 ‘접속기록’은 ‘데이터베이스(DB)’화된 개인정보에 대한 접속기록일뿐, 개인정보가 담긴 파일(문서 및 이미지)의 원본은 포함되지 않는다. 예를 들면, A가 긴급재난지원금을 받기 위해 신청서와 함께 ‘가족관계증명원’을 파일로 제출하면, 관계부처는 이 내용을 엑셀에 정리해 ‘DB’로 만든다. 이 DB에는 긴급재난지원금을 받기 위한 필수 내용이 정리되어 있어 실제 긴급재난지원금을 지급할 때 해당 DB에 저장된 사람인지 확인하게 된다.

즉, 접속기록은 이런 일련의 과정에서 ‘어떤 공무원’이 ‘긴급재난지원금’ 지급을 위해 ‘어떤 DB’를 봤는지 기록하는 것을 말한다. 하지만 DB를 만들 때 필요했던 A가 제출한 ‘원본 파일’은 접속기록이 남지 않는다는 점이다.

이러한 문제점이 제기됨에 따라 일부 기관과 업체들은 이를 해결하기 위한 작업에 착수했고, 기존 ‘개인정보 접속기록관리 솔루션’을 업그레이드해 문서나 이미지 파일에 대한 접속기록도 남길 수 있도록 진행되고 있다. 다만, 이를 적용하기 위해서는 새롭게 개발된 솔루션을 구입하거나 기존 제품의 업데이트를 진행해야 한다.

또 다른 문제는 <보안뉴스>가 처음 지적했던 것처럼 검색사이트에 개인정보가 담긴 이미지들이 여전히 노출되는 문제다. 검색사이트에 이러한 이미지들이 검색되는 이유는 바로 ‘크롤링(Crawling)’ 때문이다. 크롤링은 분산된 문서를 수집해 색인으로 포함시키는 기술로, ‘검색’했을 때 관련 자료들을 모아서 보여줄 수 있는 것이 바로 이 크롤링 때문이다. 크롤링은 프로그램을 통해 자동으로 이뤄지기 때문에 개인정보 등 민감한 내용이 있는 문서의 경우 크롤링을 막기 위해 여러 방법을 사용한다. 하지만 이 때에도 차단하는 것은 ‘문서’일 뿐 이미지는 포함되지 않는다.

이와 관련 한 개인정보보호 전문가는 “대량의 개인정보를 수집하는 기관들은 이를 보호하기 위한 방안을 마련할 때, 기존 문서는 물론 이미지까지 보호할 수 있도록 해야 한다”면서, “유관 부처 역시 접속기록의 보관 및 점검 고시 개정이나 개인정보 관리수준 진단 평가 등에 개인정보가 담긴 이미지에 대한 보호도 포함시켜야 한다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)