Home > 전체기사

[테크칼럼] 개인정보 스캔을 통해 바라본 개인정보유출 사례 분석

  |  입력 : 2022-07-31 14:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이미지 내 개인정보 탐지 솔루션 도입시 고려사항 3가지

[보안뉴스= 최복희 엘세븐시큐리티 대표] 엘세븐시큐리티는 그동안 개인정보보호 사업을 하면서 개인정보의 유출 사례를 많이 분석해 본 결과 담당자의 실수도 있었지만 예산 부족으로 인한 새로운 시스템을 도입 못해 개인정보가 유출되는 상황도 적지 않았다.

▲서버스캔 및 마스킹 솔루션 구성도[자료=엘세븐시큐리티]


예전에는 문서 내에 텍스트에 대해서만 개인정보를 탐지하고 차단할 수 있는 제품들 밖에 없었다면, 이제는 기술 발달로 이미지 속의 개인정보까지도 탐지할 수 있는 OCR 모듈을 탑재한 개인정보보호 솔루션들이 많이 개발됐다.

하지만 최근 개발된 이미지를 탐지할 수 있는 개인정보보호 솔루션의 성능은 천차만별이기에 실전에서 테스트를 하고 도입하는 것이 필요하다. 제품 도입 후 성능이 따라 주지 않는다면 도입하지 않느니만 못하기 때문이다.

최근 6개월간 많은 사이트를 분석해 본 결과 테스트를 해보지 않고 구매해 후회하는 사례도 있었고, 아직도 이미지 보안이 왜 중요한지를 모르는 경우도 비일비재하다. 사업을 하면서 입찰 스펙으로 텍스트에 대한 차단만을 사양으로 올리는 사례도 있어 아직도 이미지 보안에 대한 중요성을 잘 모르고 있는 실정이다. 이는 이미지도 차단해야 한다는 법적인 문구가 없어 아직 담당자들이 인식하지 못한 것으로 풀이된다.

텍스트에 대한 개인정보 유출차단은 10여 년 전부터 도입을 해왔기에 차단이 가능하지만 이미지에 대한 보안은 최근 몇 년 사이에 이슈화 돼 아직은 도입이 저조한 상태이다. 만약 기관에서 운영하는 웹 시스템에 개인정보가 포함된 이미지가 있다면 그것은 이미 구글(Google)이나 네이버 등과 같은 검색 엔진을 통해 외부에 유출됐다고 보는 게 당연하다. 이러한 문제를 해결하고자 개인정보보호법에서는 구글링과 같은 검색 엔진을 통해 개인정보가 유출되지 않도록 하라는 지침이 있다.

또한, 연 1회 이상 개인정보가 있는지 탐지하도록 되어 있지만 많은 기관들은 보유한 모든 서버에 대해 스캔을 통한 점검이 미흡한 게 현실이다. 그러나 스캔을 자주해 서버내 개인정보를 수시로 찾아내어 수정하거나 삭제해 웹시스템 내에 개인정보를 보유하지 않도록 하는 것이 중요하다.

엘세븐시큐리티가 기관에 납품한 스캔 솔루션을 통해 기관의 서버를 스캔해보면 문서 안의 텍스트에서 개인정보가 발견되거나 문서 내 이미지 속에서 개인정보가 포함된 사례가 적지 않다. 일부 기관에서는 솔루션을 사용하지 않고, 아르바이트를 동원해 서버 안의 모든 문서 파일을 일일이 열어보고 이미지 속에 개인정보가 있는지 확인도 하지만, 눈으로 본다고 모두 찾아낼 수는 없다. 숨겨져 있는 이미지에서 개인정보가 나오는 사례도 있기 때문이다.

검출된 사례를 보면 어떤 학생이 자신이 받은 상장을 들고 사진을 찍었는데 그 상장 안에 주민번호가 표기된 경우, 한 지자체의 ‘칭찬합시다’ 페이지의 사진 속에 택시기사의 주민번호가 있는 경우, 학생증에 주민번호가 포함된 경우, 한 기관의 출장 보고서 안에 출장자들의 주민번호가 포함돼 있는 경우, 계약서를 스캔해 이미지로 저장했는데 계약자의 주민등록번호가 포함돼 있는 경우 등 매우 다양했다.

기관에서는 이러한 이미지 속의 개인정보 문서가 발견되면 검색 엔진에 모두 삭제 요청을 해야 한다. 그러나 각 기관의 개인정보 담당자를 만나보면 서버 내에 이미지 속 개인정보 유무에 대해 판단하지 못하고, 걱정하는 경우가 적지 않다.

엘세븐시큐리티에서 각 공공기관의 서버 내 개인정보를 스캔해보면 보통 몇백 건 이상의 개인정보가 포함된 문서가 탐지된 바 있다. 이때 담당자는 개인정보가 저장돼 있다는 것에 당황하고 놀라는 눈치다.

이미지 내 개인정보 탐지 솔루션이 필요한 이유다. 솔루션 도입시 고려사항으로는 첫 번째, 개인정보보호법 준수를 위해 이미지에 대한 개인정보 탐지와 개인정보 유출을 최대한 차단하기 위해 반드시 다운로드 차단이 가능해야 한다. 특히, 홈페이지 속도를 떨어뜨리지 않으면서 다운로드 차단까지 가능해야 한다.

두 번째, 이미지에 대한 인식률이 높아야 하는데, 다양한 형식의 비정형 문서에서 개인정보를 탐지하고 차단할 수 있어야 한다.

세 번째, 개인정보차단 솔루션 도입전 반드시 이미지에 대한 개인정보가 얼마나 차단되는지를 반드시 테스트한 후 도입해야 한다.

한편, 엘세븐시큐리티는 올해 상반기 동안 구로구청, 용산구청, 진안군청, 마포구청, 동래구청, 전라남도청등 다양한 공공기관의 개인정보 차단 솔루션과 서버 개인정보 스캔 솔루션을 납품한 바 있다. 하반기에도 인공지능 기술이 바탕이 된 OCR 모듈을 통해 많은 공공기관에 필터와 스캔 솔루션을 납품할 계획이다. 또한, 이메일 솔루션과 연동해 개인정보 유출을 차단하는 사업과 망연계 솔루션을 통해 개인정보 유출을 차단하는 사업을 꾸준히 수행하고 있다.
[글_최복희 엘세븐시큐리티 대표이사]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)