Home > 전체기사

[특별기고] 개인정보 침해사고 예방 및 대응을 위한 제언

  |  입력 : 2020-11-27 10:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘돈이 되는 사업’으로서의 개인정보 유출...점점 더 고도화·지능화
개인정보침해사고 대응은 피해신고에서부터 시작...2차 피해예방 중요


[보안뉴스= 최종상 경찰청 사이버수사과장] “서울의 한 주택가입니다. 지난 4월, 이곳에서 집 창문이 뜯겨 있고, 금품을 도난당했다는 신고가 들어왔습니다. 집에 돌아와 보니 금반지 등이 사라졌는데, 한 남성이 집이 비어있는 사이 몰래 들어와 170만 원 상당의 금품을 훔쳐 달아난 겁니다. 그런데 알고 보니 이 집뿐만 아니라 다른 층의 집들도 함께 털린 것으로 드러났습니다. 약 한 달 뒤 경찰은 CCTV 분석 등을 통해 절도범을 붙잡았는데, 지난 2018년 1월부터 올해 4월까지 126곳이나 턴 것으로 확인됐으며, 현재까지 확인된 피해 금액만 1억 4천만 원에 이릅니다.”

[이미지=utoimage]


위 사례는 지난 8월 20일 한 언론사의 보도를 인용한 것이다. 아마 범인은 범행 전 ‘어떤 식으로 훔칠지’ 연구했을 것이다. 지문을 남기지 않기 위해 장갑을 구했을 거고, 문 따는 기술도 익혔을 것이다. 네이버에서 자기 집에서 범행지까지 얼마나 시간이 걸릴지 검색해 보기도 했을 것이다. 또, 미리 와서 훔칠만한 물건이 있을 법하면서도, 잠금장치 해제가 쉬우며, CCTV가 설치되어 있지 않은 등 물리적으로 보안이 취약한 장소를 우선 선택한 후, 인적이 드문 시간에 범행 장소에 침입했을 것이다. 귀중품을 훔친 뒤에는 경찰의 추적을 회피하기 위해 피해장소에 묻은 지문, 족흔 등을 지웠을 것이다.

하지만, 피해자의 신고를 받은 경찰은 현장감식, 주변 CCTV 확인, 통신수사, 탐문 등을 통해 범인을 특정해 검거하고, 범인의 주거지·차량 등을 압수수색해 훔친 물건 등을 압수하여 공범 관계 및 그간의 범행을 밝혀낸다. 또한, 수사 과정에서 확인한 보안상 취약점을 분석해 주변 순찰을 강화하고, 지방자치단체 등과 협업하여 환경을 개선하는 등 범죄를 예방한다. 피해자와 그 이웃들은 침입 경로에 방범창을 설치하거나, 잠금장치를 보강하여 피해 재발을 막을 것이다.

위의 내용은 오프라인에서 일어난 범죄와 이에 대한 경찰의 수사 및 예방에 관한 것이지만, ‘온라인’에서 일어나는 개인정보 침해 및 대응과도 관련성이 크다. 해킹을 통해 개인정보를 빼내기로 범인이 마음을 먹었다면, 범인은 우선 악성코드를 만들거나 구했을 것이고, 대상자의 이메일을 수집했을 것이다. 그런 다음에 피싱 메일을 보낸 후 해킹을 하고, 개인정보를 빼내 다른 범죄에 악용했을 것이다. 피해자는 경찰에 신고를 했을 것이고, 신고 받은 경찰은 피해자의 진술을 듣고 피해 상황을 파악하고 악성코드 및 로그 분석을 하고, IP 추적을 하게 될 것이다. 필요한 경우에는 국제공조도 요청하고, 끝내 범인을 특정하여 검거한 뒤 피해 예방을 위해 필요한 조치를 취하게 된다.

온라인과 오프라인의 융합이 가속화되면서 이름, 주소, 전화번호뿐만 아니라 금융, 지문, 건강상태 등 민감한 개인정보도 정보통신망에 데이터로 저장되어 사용자 맞춤형 서비스 등 일상생활 전반에 이용되고 있다. 사용자의 개인정보는 그 자체로 ‘재산적 가치’를 갖게 되었고, 이를 노리는 범죄도 꾸준히 발생하고 있다.

2008년 국내 온라인 쇼핑몰에서 1,800만여 명의 회원 정보가 해킹되어 유출된 사건을 비롯하여 매년 포털사, 통신사, 쇼핑몰, 금융사 등에서 개인정보가 유출되는 사건이 발생하고 있다. 이렇게 유출된 개인정보는 해외사이트, 다크웹 등에서 은밀히 거래되어 전화 금융사기, 모바일 메신저 이용 사기, 스미싱, 스피어 피싱 등 각종 범죄에 악용된다. 최근 한 간편결제 앱에서 부정결제된 사건이 발생하였는데, 금융감독원은 개인정보가 도용되어 발생한 사고로 결론 내렸다.

개인정보침해범죄 분석 및 대응방안
그간 경찰의 개인정보침해사건 수사사례를 분석하면, 개인정보침해 원인은 크게 외부적 요인과 내부적인 요인으로 나눌 수 있다. 외부적 요인은 해킹에 의한 개인정보 유출이다. 공격자는 이메일 등을 통해 악성코드를 유포하여 공격대상 사이트의 시스템에 침투하고, 운영자의 PC 등을 경유하여 데이터에 접근한 후 개인정보 데이터를 유출한다. 또한, 웹 취약점을 악용하는 방법으로 로그인 연결정보를 탈취(세션 우회)하거나 웹 해킹도구(웹쉘)를 이용하여 데이터에 접근하기도 한다. 내부적인 요인으로는 관계자에 의한 물리적인 유출이다. 주로 금전을 목적으로 내부직원, 외주직원, 퇴직자 등의 개인정보를 유출하는 사례가 적발됐다.

이 중 외부적 요인, 즉 해킹에 의한 개인정보침해 사건에서는 공격 수법 및 피해시스템 측면에서 몇 가지 공통된 특징이 발견된다. 우선 공격자는 포털, 게임사, 통신사 등 대기업에 보관된 ‘가치 있는’ 개인정보를 대상으로 APT 공격(지능적 지속 위협, Advanced Persistent Threat)을 시도한다. APT 공격은 해킹 대상을 표적화해 장기간에 걸쳐 시스템의 약점을 파악한 뒤 공격하므로 사전 방지 및 사후 원인 규명이 어렵다는 특징이 있다. 또한, 악성코드를 유포하는 수법도 지능화되고 있는데, 사내관리 소프트웨어 업데이트·패치 서버 등 중앙관리시스템을 이용하고, 표적화한 대상을 선별하여 공격하며, 알려지지 않은 취약점 등을 이용하여 백신 탐지를 회피하는 등 사전 징후 탐지가 어려워지고 있다. 범행은 주로 취약시간인 금요일 또는 새벽에 집중된다.

피해시스템에서도 보안 및 시스템 운영상의 문제점이 발견된다. 보안의 기본인 망분리와 암호화가 잘 되어있지 않다. 외부 인터넷(외부망)을 통한 해킹공격을 완벽히 차단하기란 현실적으로 불가능하다. 따라서 개인정보침해 사고를 예방하기 위해서는 외부망과 개인정보처리시스템(DB)이 설치·운영되고 있는 네트워크망(내부망)을 분리해 공격자의 접근을 원천적으로 차단해야 한다. 하지만 피해업체 상당수에서 망분리가 되어 있지 않은 것을 확인할 수 있다. 또한, 피해시스템에는 속도 저하의 이유로 데이터 암호를 적용하지 않거나 일부만 적용하고, 통신 구간을 암호화 하지 않거나 복호화가 용이한 암호기법을 적용하고 있어 사고 발생 시 개인정보데이터가 그대로 유출되기도 했다.

시스템을 운영하는 측면에서도 주의가 요구된다. 내부적으로 데이터에 대한 접근통제가 미흡해 개인정보취급자 이외의 PC에서 개인정보 데이터에 접속할 수 있고, OTP 등 별도의 인증 수단을 쓰지 않거나, 서비스망 내 시스템 간 모든 IP/포트가 개방된 경우도 발견된다. 또한, 정보보호 장비를 설치한 이후, 시기에 맞는 추가 솔루션을 채택하지 않거나 노후화된 장비를 계속 사용하여 진화 중인 사이버 공격에 적절히 대응하지 못하기도 한다.

위와 같이 경찰 수사를 통해 밝혀진 문제점을 토대로, 개인정보침해 사고를 예방하기 위한 최소한의 방안을 마련할 수 있다. 우선, 정보통신사업자는 침입을 막을 수 있도록 기술적인 조치를 해야 한다. 외부 서비스망과 내부망을 엄격히 분리하고, 개인정보 데이터 및 통신 구간을 암호화해야 한다. 또한, 개인정보취급자만 개인정보 데이터에 접근할 수 있도록 내부적인 통제도 반드시 이루어져야 하며, 데이터 접속을 위한 추가적인 인증방안을 사용하거나, 적절한 보안장비 도입 및 주기적인 관리가 필요하다.

개인정보침해사고 대응, 피해신고에서 시작
하지만, 보안기술이 발전함에 따라 해킹수법도 진화하고 있어 개인정보침해를 완벽히 방지할 수 있다고 말하기는 어려운 것이 사실이다. 하지만 정보통신사업자와 경찰이 협력하면 문제점을 찾고 이를 보완할 방안을 마련할 수 있다.

서두에 절도범죄와 개인정보침해범죄는 유사한 점이 많다고 언급한 바 있다. 해킹범이 ‘돈이 되는’ 개인정보가 보관된 웹사이트를 선정하고 APT 공격을 통해 취약점을 찾는 행위는, 절도범이 귀중품이 있는 집을 선정하고 침입하기 위한 경로를 물색하는 행위로 비교할 수 있다. 피해시스템의 보안상 취약점은 절도범죄에서 피해자 집의 구석진 곳의 창문이 잠겨 있지 않거나 허술한 잠금장치가 설치되었거나 잠금장치의 비밀번호가 노출된 경우 등과 같을 것이다.

수사 활동 측면에서는, 개인정보침해범죄에서 경찰은 네트워크, 로그 분석 등을 통해 침입경로를 추적하고, 주요 단서 또는 해킹범이 해외에 있는 경우 국제공조수사를 통해 자료를 확보하고 범인을 검거한다. 이는 절도범죄에서 경찰이 절도범의 동선 추적, 지문과 DNA 감식, 통신사실 분석 등을 통해 인적사항을 특정하고, 전국 경찰관서에 수배하여 절도범을 검거하는 것으로 생각할 수 있다.

하지만, 개인정보침해범죄는 절도범죄에 비해 크게 두 가지 점에 있어서 더욱 섬세한 취급이 필요하다. 첫째, 2차 피해 예방의 중요성이다. 개인정보침해사건은 피의자의 검거뿐만 아니라, 침입 경로 파악, 유출된 데이터의 규모 등을 파악하여 대응방안을 마련하고, 다른 범죄에 개인정보가 악용되지 않도록 피해확산을 막는 것이 중요하다.

둘째, 피해 사실에 대한 피해자의 신고 여부다. 절도범죄와 개인정보침해범죄 모두 피해자의 의사에 반하여 소중한 물건 또는 정보가 침탈당하였다는 점에서 그 본질은 같다. 집에 도둑이 침입하여 물건을 훔쳐 간 경우, 피해자 대부분은 주저하지 않고 경찰에 신고한다. 물론, 절도범죄 피해자가 수사기관에 신고할 법률상 의무는 없다. 그러나 개인정보침해사건 발생 시 피해자는 회원 이탈, 대외 이미지 악화 등을 우려하여 경찰에 신고하지 않거나, 경찰이 피해 정황을 인지하여 연락하더라도 피해자는 사고사실 자체를 부인하거나, 자료제출을 거부하기도 한다.

▲ISEC 2020에서 기조강연을 하고 있는 경찰청 최종상 과장[사진=보안뉴스]

정보통신망법 등 관계법에서 정보통신사업자에게 침해사고 발생 시 과학기술정보통신부, 한국인터넷진흥원 등에 대한 신고의무를 부과하고 있지만, 수사기관에 신고할 의무는 부과하고 있지 않다. 사업자가 자의적으로 협조하지 않는 경우 수사기관은 압수수색영장 집행을 통한 강제수사를 진행하게 되어 수사 초기의 사건 진행이 지연되고, 결국 2차 피해 예방을 위한 ‘골든타임’을 놓칠 수도 있다.

안전하고 건강한 사이버 생태계 조성을 위해 개인정보는 최우선적으로 보호되어야 한다. 이를 위해 정보통신사업자는 개인정보를 보호할 수 있는 시스템을 갖추고 데이터를 안전히 관리해야 하며, 공공기관은 이를 지원하고 감독하는 정책을 세우는 등 개인정보 생태계의 주축을 담당하는 각 구성원은 각자의 분야에서 노력하고, 상호 협력해야 한다. 국민의 사이버 치안을 책임지고 있는 경찰은, 사이버 전문인력과 조직을 보강하고, 수사역량을 강화하며, 국제공조 협력체계를 확대하는 등 개인정보 보호를 위해 최선을 다하고 있다. 경찰과 정보통신사업자가 긴밀하게 협력할 때, 개인정보를 노리는 위협으로부터 우리 국민이 더욱 안심하고 온라인 세상의 편의를 누릴 수 있을 것이다. 신속한 개인정보침해사고 신고가 그 협력의 시작이라고 할 수 있다.
[글_ 최종상 경찰청 사이버수사과장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협