Home > 전체기사
KISA 김주영 센터장이 말하는 상반기 개인정보 유출 이슈
  |  입력 : 2018-07-02 17:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 5월까지 개인정보 유출 신고 총 69건... 2017년 전체 62건보다 많아
여러 기업 도입한 온라인 서비스 솔루션 취약점으로 인한 유출사고 급증
개인정보 안전성 확보조치와 기술적·관리적 보호조치 기준, 적극 반영해야


[보안뉴스 김경애 기자] ‘KOICA ODA 교육원’ 홈페이지 해킹에 따른 개인정보 8,766건 유출, 한국사물인터넷협회 홈페이지에서의 개인정보 평문 전송, 온라인 쇼핑몰 다이소몰의 개인정보 유출, 대전대학교 교직원·학생정보 4만 3,413건 유출, 문고리닷컴 회원 684,993명 개인정보 유출, 애플뮤직 141,697건 개인정보 유출 등. 이는 올해 상반기 본지에서 보도한 개인정보 유출 사건들이다. 최근에는 한 여행사의 개인정보 노출사건도 드러났다.

관련 기사 현황에서도 보듯 지난 5월까지 집계한 올해 상반기 개인정보 유출사건 신고 건수는 총 69건으로 지난해보다 증가한 것으로 조사됐다. 이에 본지는 개인정보 유출 신고 접수 및 대응업무를 담당하는 한국인터넷진흥원(KISA) 김주영 개인정보대응센터장과의 인터뷰를 통해 올해 상반기 개인정보보호 사건 및 주요 이슈에 대해 짚어봤다. 다음은 김 센터장과의 일문일답.

[사진=한국인터넷진흥원 김주영 센터장]


Q. 올해 상반기를 결산해볼 때 가장 중요한 개인정보보호 이슈 3가지를 꼽는다면
기업은 홍보나 마케팅, 서비스 효용성 제고를 위해, 정부·공공기관은 대국민 공공서비스 편의를 위해 개인정보를 필수적으로 수집 및 이용하고 있다. 국내 개인정보처리자는 사업체를 기준으로 약 200만개, 정보통신서비스 사업자는 약 390만개(웹 230만개, 앱 160만개), 이중 정부·공공기관은 약 34만개로 추정되고 있다. 이렇듯 개인정보 처리가 급증하면서 개인정보는 돈이라는 공식이 성립되어 해커들의 먹잇감이 되고 있으며, 스팸 등을 위한 불법거래 생태계가 형성되어 있는 게 현실이다.

최근 5년간 개인정보 유출사고의 65% 이상이 해킹 등 외부공격이 원인이라는 점도 이를 반증한다. 다양한 ICT 시스템이 협업·연결·융합 및 대형화되는 4차 산업혁명 환경에서는 유출 가능성이 더욱 확대될 것이기에 우려가 커지는 것도 현실이다. 이를 반영하듯 지난 5월까지 올해 상반기 개인정보 유출 신고는 총 69건으로 이미 지난 한해 전체 수치(62건)를 훨씬 상회했다.

올해 상반기를 결산해 볼 때 가장 큰 이슈 중 하나는 여러 기업이 이용하는 온라인 서비스 솔루션 취약점으로 인해 유출 사고가 급증했다는 점이다. 최근 특정 쇼핑몰 솔루션의 SQL 인젝션 취약점으로 동일한 솔루션을 이용하던 여러 사업자가 보유하고 있는 개인정보가 유출되는 사고가 있었다. 해당 솔루션을 이용하는 사업자는 대부분 영세하거나 전문성 부족으로 개별적인 취약점 점검을 수행하지 않았기 때문에 제작·판매업체가 자발적으로 취약점을 제거해야 함에도 이를 간과함으로써 발생한 사고라 할 수 있다. 이러한 온라인 서비스 솔루션을 제공하는 사업자의 정보보호에 대한 사회적 책임이 요구된다고 볼 수 있다.

두 번째는 개인정보보호법 제정 이래 최초로 과징금을 부과한 것이다. 행정안정부는 총 49만명의 개인정보를 유출한 여행사에 대해 과징금 약 3억원을 부과했다. 유출기업은 2017년 9월말 해킹으로 인해 약 42만 명의 주민등록번호가 유출되면서 접근통제·암호화 등 기술적·관리적 안전조치를 위반해 과징금이 부과됐다. 아울러 최고경영자(CEO)와 개인정보보호최고책임자(CPO)을 대상으로 특별교육과 책임에 상응하는 징계를 권고하고, 주민번호와 개인정보 미파기에 대하여 과태료를 부과한 것이다. 지난해 10월부터 개인정보보호법 적용 사업자의 신고기준이 1만건에서 1천건으로 조정(강화)됨에 따라 과징금이 부과되는 사례가 더욱 확대될 것으로 전망된다.

마지막으로 최근 실시된 6.13 전국동시지방선거에서 선거운동 문자를 개인정보 침해로 인식하는 경우가 많았다는 것이다. KISA 118사이버민원센터에 접수된 민원을 분석한 결과, 이번 지방선거 기간(2018.4.1.~6.12.) 동안의 개인정보 침해 상담건수는 21,216건으로 지난 2016년 총선(4,259건) 및 2017년 대선(6,178건)에 비해 크게 증가한 것으로 나타났다.

상담 유형을 보면 ‘개인정보수집 출처 미고지’가 6,981건(32.9%)으로 가장 높았으며, ‘지속적인 문자 수신’이 5,569건(26.2%), ‘수신거부 불응 또는 회피’가 4,876건(23.0%) 순으로 나타났다. 이러한 민원의 급증은 국민들이 사전 동의 없이 선거홍보 문자가 수신되는 상황을 명백한 개인정보 침해로 인식하고 있기 때문으로 해석된다. 이에 따라 정책 개발 및 지원을 통해 정보주체의 권리를 실질적으로 보장하는 환경 조성이 필요하다는 점을 다시금 느꼈다고 볼 수 있다.

기업이나 기관에서 가장 개선되지 않은 고질적인 공통적 문제점이 있다면
최근 5년간 발생한 개인정보 유출사고 원인을 보면 해킹 등 외부공격에 의한 유출이 전체 65%로 가장 높았으며, 시스템 오류에 의한 유출 15%, 관리자 부주의에 의한 유출 11%, 내부직원에 의한 유출 8% 순으로 집계됐다. 이는 인터넷 및 ICT 확산으로 수많은 개인정보처리자가 웹사이트를 운영하고 있고, 이러한 웹사이트를 통해 해킹이 발생하고 있다는 것으로 해석할 수 있다. 하지만 이러한 해킹이 기술적으로 고도화된 공격보다는 SQL 인젝션, 파라미터 변조, 무차별 대입공격, 이메일 피싱 등 비교적 단순한 수법에 당했다는 점이다. 최근 발생한 암호화폐 거래소 해킹의 경우에도 고전적인 이메일 피싱에 의한 사례였다.

Q. 기업에서 개인정보보호를 어떻게 강화해야 하는지 조언한다면
무엇보다도 법에서 제시하고 있는 최소한의 조치인 개인정보의 안전성 확보조치 기준이나 기술적·관리적 보호조치 기준을 적극 반영해야 한다. 기업의 개인정보보호 수준은 굴곡이 있기 마련이다. 다만 현재 수준은 향후 발생할 신규 해킹공격이나 아직 발견되지 않은 신규 취약점 등으로 다시 낮아질 수 밖에 없다. 더욱이 CEO 등 관리자 입장에서는 개인정보보호 솔루션을 도입만 하면 필요한 정보보호 조치를 모두 한 것으로 여기고 안일한 생각을 하게 되는 경우가 있다. 하지만 보안 솔루션을 도입하는 시점에서는 보안수준은 일시적으로 향상되겠지만, 보안위협은 끊임없이 고도화되고 있기 때문에 보안수준은 이전에 달성한 수준에 비해 상대적으로 감소한다고 볼 수 있다.

즉, 이미 구축된 정보보호 체계에 대한 지속적인 관심과 노력을 기울이지 않으면 더 이상 안전한 체계로 유지될 수 없다. 따라서 관리자 입장에서 솔루션 도입은 정보보호 조치를 위한 환경이 만들어졌다는 인식 아래 새로운 공격기법 등을 방어할 수 있도록 솔루션 자체의 취약점 점검과 모의훈련 등 지속적인 관심과 투자, 임직원 교육이 이루어져야 한다.

Q. 센터에서는 어떤 이슈 중심으로 대응하고 있나
KISA 개인정보대응센터는 행정안전부와 방송통신위원회가 개인정보보호법과 정보통신망법에서 정한 법 위반사항을 조사하고 행정처분 하는데 있어 기술지원 역할을 하고 있다. 따라서 법 위반여부 해석 및 개인정보 유출 원인을 파악할 수 있는 법적·기술적 전문성이 요구된다. 센터는 국내 기업, 정보통신서비스 사업자를 대상으로 유출사고 예방과 사고발생 시 대응 및 피해확산 방지 노력과 함께 국민의 개인정보 침해에 따른 피해구제 등을 지원하고 있다.

먼저 개인정보 유출사고 예방을 위해 사전 기획점검을 지원하고 있으며. 공공, 생활·물류, 보건·의료, 교육 등 6대 산업 분야와 통신판매업, SNS 사업자 등 온라인 서비스 분야별로 매월 실시된다. 또한, 기업의 수검 부담을 경감하고 자발적인 보호조치 지원을 위해 상·하반기 각각 150개 대상 서면점검과 함께 수시로 온라인 점검을 실시하고 있다. 더불어 매년 3만여개 웹사이트 및 모바일 앱을 대상으로 법규준수 여부를 점검하고 개선이 필요한 사항에 대한 안내 및 컨설팅을 지원하고 있다. 이와 함께 지속적으로 법을 위반하고 있는 방치된 웹사이트에 대해서는 이용자 피해 예방을 위해 임시 차단을 할 수 있도록 법 개정도 추진 중에 있다.

개인정보 유출사고 발생 기업은 정보주체에게 유출사실을 통지하고 관계당국과 센터에 신고토록 법에 규정되어 있으며, 센터는 유출신고를 접수 받으면 행정안전부, 방송통신위원회의 현장 점검을 기술지원하고 있다. 또한, 국내 ISP 등 152개 핫라인을 통한 사례전파를 통해 피해 확산 및 유사 피해를 차단하고, 국내·외 웹사이트 및 포털, SNS 등에 노출된 개인정보와 개인정보 불법거래 게시물을 탐지·삭제하고 있다.

개인정보 유출은 보이스피싱이나 명의도용 등 2·3차 피해로 연결되어 정보주체인 국민들의 피해를 야기하고 있어 센터는 피해구제 및 고충해결을 위해 개인정보침해신고센터를 운영하고 있다. 더불어 인터넷에서 본인확인 내역을 통합조회하고, 불필요한 웹사이트는 탈퇴할 수 있도록 e프라이버시 클린서비스도 운영 중이다.

Q. 우리나라에서 개인정보보호 인식이 부족한 분야는 어디이며, 어떤 문제점이 많이 발견되고 있나
2017년 개인정보보호 실태조사에 따르면 조사 대상자의 94%가 ‘개인정보보호가 중요하다’고 응답했다. 이렇듯 사회 전반에 걸쳐 개인정보보호 인식은 매우 높아졌지만. 분야를 막론하고 많은 기업들이 법에서 정하는 최소한의 기술적·관리적 보호조치를 하지 않아 유출 피해로 이어지는 경우가 많다. 특히, 인터넷 확산으로 홈페이지 등 정보시스템 운영이 늘어나면서 기술적 보호조치가 미흡한 경우 해킹의 대상이 될 수 있다.

개인정보보호에 있어 기업들의 애로사항이 있다면
규모가 큰 기업들을 제외하고 대부분의 기업들은 개인정보보호를 위한 인력이나 예산 확보가 어려운 게 현실이다. 개인정보를 처리하는 경우 개인정보보호법, 정보통신망법 등 관련 법령을 준수하기 위해서 법적 지식과 함께 기술적·관리적·물리적 보호조치를 위한 투자가 필요하다. 이러한 활동들은 개인정보보호 전담인력 또는 부서를 중심으로 전사적 차원에서 이루어져야 하기 때문에 많은 시간과 인력이 투입되어야 한다. 그럼에도 중소·영세기업에서는 개인정보보호를 위한 전담인력을 구성하지 못하는 현실적인 어려움이 존재한다. 특히, 최근 신기술로 무장한 스타트업들은 영세기업인 경우가 많아 그만큼 개인정보보호를 위한 조치에 소홀해질 수 밖에 없는 구조적인 문제점을 가지고 있다고 볼 수 있다.

Q. 개인정보보호와 관련해 정책적으로 필요한 부분이나 개선돼야 할 사항은
앞서 언급했듯 최근 5년간 개인정보 유출의 65% 이상이 해킹 등 외부공격에 의해 발생하고 있는데, 이는 많은 기업 및 정부·공공기관의 웹사이트가 해킹의 창구가 되고 있기 때문으로 해석할 수 있다. 하지만 현행 법령에서는 개인정보보호법에 근거한 개인정보의 안전성 확보 기준에 고유식별정보를 처리하는 경우에 한해 매년 웹 취약점 점검을 하도록 규정되어 있어 제한적 조치라 할 수 있다. 따라서 일정규모의 개인정보를 처리하는 웹사이트는 매년 웹 취약점 점검을 시행토록 개인정보보호법과 정보통신망법에 의무화할 필요가 있다고 본다. 더불어 서비스 중단이나 연락두절 등에 의해 방치된 웹사이트가 악성코드 유포지나 개인정보 노출 및 불법거래 사이트로 악용되는 사례가 있어 호스팅 사업자 등에게 서비스 임시 중지를 명할 수 있는 법적 근거를 마련 중에 있다.

최근 제7회 전국 동시 지방선거가 있었다. 민주주의의 꽃인 선거운동 과정에서 국민들은 개인정보가 불법적으로 수집·활용되고 있다는 우려를 갖고 있어 공직선거법의 공익성(참정권)과 개인정보보호법의 프라이버시권이 충돌하는 현상이 발생했다. 공직선거법(제59조, 제82조의5)은 문자메시지 전송을 통한 선거운동을 허용하고 있으며 다만, 횟수, 필수 기재사항, 수신거부 등의 요건을 갖추도록 하고 있다.

개인정보보호법(제15조, 제18조)은 법률에 근거하거나 정보주체의 동의를 받은 경우에 개인정보의 수집·이용·제공이 가능하도록 규정하고 있다. 그러나 개인정보보호법 상에서 지인·동호회·동창회·자동차 연락처 등을 수집 또는 제공받아 선거운동 문자전송에 이용하는 것에 대해서는 사회통념상 정보주체의 동의 의사가 있었다고 인정되는 범위가 아니라고 보아 법률 위반에 해당될 수 있다. 하지만 모든 수신자의 동의를 받기는 어려운 게 현실임을 감안해 선거철 무분별한 선거문자로 인한 국민 불편을 해소하고, 공직선거법에서 보장하는 참정권과 개인정보보호법에서 보장하는 프라이버시권이 조화를 이룰 수 있도록 관계기관과 함께 개선방안을 마련해야 할 것으로 본다.

Q. 업무수행시 가장 어려운 점이 있다면
유출사고 기업의 현장에 가보면 안타까울 때가 많다. 유출사고 기업에 방문하면 기본적으로 법적 요구사항을 준수하고 있는지 점검하게 되는데, 법적인 이해도가 부족할 뿐만 아니라 개인정보보호를 위한 여러 조치가 미적용되거나 지속적으로 관리되고 있지 않는 경우가 많다.
그렇기 때문에 법적 요구사항을 이해하고 조금만 신경 쓰면 미연에 방지할 수 있는 사항도 대규모 사고로 이어지는 경우가 많은데, CEO 뿐만 아니라 보안담당자, 전 직원이 많은 관심을 갖고, 평상시에 유출사고에 적극 대비할 수 있었으면 좋겠다.

또한, 개인정보보호법은 일반법으로 적용 영역이 넓다 보니 사업자(노사관계, 자영업자 등) 또는 이웃(CCTV 설치·운영 등)과의 분쟁 등이 있는 경우 서로 협의·조정이 되지 않을 때 침해 신고로 들어오는 경우가 종종 있다. 이러한 경우 피신고인에 대한 행정처분 요구가 강력한데, 개인정보침해신고센터는 피해구제 기능으로써 정보주체의 권리를 보호(고충해결)하고, 행정조사기본법에 따라 개인정보처리자(사업자 또는 이웃)에 대한 처분보다는 법규를 준수(침해사실 안내 및 시정 유도)하도록 하는 기능을 보유하고 있다는 점도 알아주셨으면 한다.

Q. 올해 하반기 센터의 주요 활동계획은
4차 산업혁명이 진전될 수 있도록 개인정보 처리는 더욱 증가할 것이며, 유출사고 위험 또한 더욱 확대될 것으로 본다. 따라서 우리 센터가 현재 하고 있는 업무인 개인정보 유출예방을 위한 사회 전반의 개인정보보호 수준 제고, 사고 발생 시 신속한 사실 확인 및 피해확산 방지, 2·3차 피해 방지를 위한 국민의 피해구제 등의 노력을 지속할 방침이다.

더불어 개인정보 실태점검을 보다 체계화하고 강화해 나갈 예정이다. 수작업 형태의 개인정보 실태점검 업무를 자동화 및 지능화함으로써 점검대상 선정 및 사후 추적까지 통합관리될 수 있게 할 계획이다. 이를 위해 개인정보보호 종합관리 시스템을 새롭게 구축해 현재 업무의 프로세스를 재설계하고 점검 업무를 내실화하는 동시에, 이를 토대로 국민 눈높이 맞춤형 서비스 등도 제공할 계획이다. 특히, 모바일 메신저가 ICT 환경의 핵심 플랫폼임을 감안해 국민이 ‘언제, 어디서나, 기다림 없이’ 이용 가능한 민원상담 서비스 제공을 위해 지능형 대화로봇(챗봇) 도입도 추진 중에 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)