구멍난 개인정보 관리, 정보유출을 막는 방법은?
지난 1월 국민, 롯데, 농협 등 신용카드 3사로부터 가입자 개인 정보가 유출되었습니다. 이들 카드 3사에서 유출된 개인정보는 무려 1억400만 건으로 글로벌 개인정보 유출 사건 중에서 역대 3번째로 규모가 큰 사건으로 기록되었습니다. 사상 초유의 사건으로 인해 개인정보 유출 여부 확인 및 카드 해지와 탈회 등 불필요한 업무에 엄청난 사회적 시간과 비용이 소비되고 있습니다.
그런데, 신용카드사의 개인정보 유출 사건이 채 잊혀지기도 전인 이달 초 통신사인 KT와 소셜커머스 업체인 티켓몬스터에서도 잇달아 개인정보가 유출 사건이 발생했습니다. KT의 경우 1000만 건 이상의 개인정보가 유출되었고 티켓몬스터 역시 110만 명 이상의 개인정보가 유출된 것으로 밝혀져 사회적으로 큰 이슈가 되고 있습니다.
최근 일어난 일련의 개인정보 유출 사건의 원인으로는 개인정보 관리자의 도덕성 결여와 부족한 보안의식이 가장 크다고 할 수 있습니다. 기업 보안에 있어 가장 큰 위험 요소가 내부 관계자인것은 이미 널리 알려진 사실인데 이번 카드 3사의 개인정보 유출 사건 역시 내부 관계자의 안일한 보안의식으로 인해 발생했다고 해도 과언이 아닙니다. 신용평가 업체에서 파견된 시스템 개발자에 의해 일어난 이번 사건은 시스템 개발도중 테스트를 하기 위해 받은 개인정보를 USB에 복사해 빼내온 것으로 드러났습니다. 개발업무에는 더미 정보를 이용해야 하는 것이 기본인데 기본적인 원칙도 지켜지지 않았던 것입니다.
앞으로 이런 일이 재발하지 않으려면 개인정보가 유출되지 않도록 항상 신경 쓰는 것이 가장 중요하다고 생각됩니다. 기업의 개인정보 관리 업무가 철저해야 함은 물론이고 정부의 개인정보 관리 정책도 더욱 강화되어야 합니다. 탁상공론식 정책이 아닌 실무현장을 잘 이해하고 있는 전문가에 의해 보다 구체적이고 명확한 정책과 법 조항이 수립되어야 하겠지요.
개인정보관리에 대한 법률이 존재하긴 합니다만 조금 더 구체적이고 넓은 적용범위를 마련해야 할 것 같습니다. 일례로 개인정보 보호법을 살펴보면 개인정보 관리 및 이를 어겼을 경우에 대한 처벌 사항이 명확하게 규정되어 있지 않고 위반시 처벌 관련 조항이 미흡해 기업들이나 기관들의 개인정보 보호 노력이 적극적이지 않을수 밖에 없는것 같더군요. 실제로 최근 일어난 개인정보 유출 사건의 경우에도 담당자나 회사에 대한 처벌은 매우 경미했습니다. 국민에 대한 형식적인 사과와 신뢰할 수 없는 재발 방지 약속만이 있었을 뿐이죠.
개인정보 유출에 의한 피해는 매우 다양합니다. 불법 카드결제 및 대출 등으로 인해 커다란 금전적 피해를 입을 수 있고 개인의 프라이버시 침해로 인해 정신적인 피해도 일어나고 있습니다. 또한, 원치 않는 사이트 가입으로 인한 2차 범죄가 발생하거나 보이스피싱, 스미싱 및 스팸메일의 표적이 되기도 하죠.
이러한 개인정보 유출을 막기 위한 방법은 여러 가지를 생각해 볼 수 있는데 가장 기본적인 것으로는 사이트 가입 시 가능한 개인정보를 적게 남기는 것입니다. 또한, 과도한 개인정보를 요구하는 사이트는 되도록 가입하지 않는 것이 좋습니다.
위에서 언급했듯이 인터넷 상의 개인정보 유출은 내부자가 사용자 정보를 악의 또는 실수로 유출시키는 경우가 있고 외부의 해커가 침입해 사용자 정보가 담긴 DB를 훔쳐내는 경우가 있습니다. 전자의 경우는 카드 3사 유출 사고가 대표적이고 KT와 티켓몬스터의 경우가 후자에 해당합니다.
이에 대한 대응방안은 첫 번째로 개인정보에 대한 접근 권한을 분산, 제한하는 접근제어 기술을 적용하고 접근 방식을 까다롭게 해서 정보를 쉽게 빼내지 못하도록 하는 것입니다. 이와 함께 정보 관리자에 대한 교육 및 감독을 철저하게 하는 것도 반드시 필요한 일이죠.
또한, 이를 어겼을 경우 강력한 처벌 규정을 담은 법률을 제정하는 것도 필요한 일입니다. 정보 유출시 관련자에 대한 처벌을 강화하고 해킹방지에 대한 투자가 미흡할 경우에도 강력한 처벌을 내리도록 해야 합니다. 또한, 주민번호나 카드번호, 비밀번호 등은 웹사이트에 저장하지 못하도록 하고 사이트 가입 시 이메일 등 간단한 정보만으로 가입할 수 있게 관련 법 조항을 개선해야 합니다.
두 번째로 생각할 수 있는 것은 해킹 방지를 위해 파이어월을 강화하고 개인 정보 DB를 암호화해서 정보가 유출되더라도 피해를 최소화 해야 하는 것입니다. DB 암호화에 이어 파일 형태로 유출된 정보를 외부에서 사용할 수 없도록 인증을 거는 방법도 생각할 수 있겠네요. 그렇게 되면 파일이 유출되더라도 사용할 수 없어 무용지물이 될 테니 정보 유출이 피해로 이어지는 일은 막을 수 있을 테니까요.
세번째 방법은 개인정보 유출이 시도되었을 경우 이를 감지해 차단하는 방법으로 USB나 메모리 카드, 외장 HDD 등 기타 외부 매체를 연결하지 못하도록 하는 방법이 있습니다. 이 방법을 Data Loss Prevention (DLP)라고도 하는데 데이터가 외부로 유출되는 통로를 원천 봉쇄하는 방법이죠. 이외에도 스마트폰과 카메라는 물론이고 노트북 등 데이터를 다룰 수 있는 기기는 사전 검색을 통해 반입/반출을 하거나 아예 외부 기기 사용을 금지하는 방법도 매우 유용합니다.
또한, 이메일을 통해 정보가 유출되는 것을 막기 위해 네트워크를 감시해 첨부파일 검색을 하거나 이메일 사용시 보안 담당자나 상급자의 허가를 얻도록 하는 방법도 매우 유용한 방법이 되겠습니다. 최근에는 SNS나 클라우드 서비스를 통한 정보 유출도 가능한 만큼, 이에 대한 대비도 철저히 해야 하지 않을까 생각되는군요.
온라인뿐 아니라 오프라인에서의 개인정보 유출 사고도 심심치 않게 일어납니다. 이를 방지하기 위해서는 주민등록증과 같은 신분증이나 신용카드를 분실되지 않도록 조심하는 것입니다. 신분증 분실 및 도난으로 인한 카드 부정 사용액은 전체 사고의 50% 이상을 차지한다고 하더군요. 신분증을 통한 명의도용은 가장 쉽게 일어날수 있기 때문에 개인의 세심한 주의가 필요하며 신분증 분실 시에는 곧바로 재발급 신청을 하고 이전 신분증은 사용할 수 없도록 하는 등 빠른 조치가 필요합니다.
한가지 놀라운 사실은 명의도용 사고 중 60% 이상이 가족이나 친인척, 지인으로부터 이루어 진다는 것입니다. 가족이나 지인의 명의는 비교적 쉽게 도용할 수 있고 카드 역시 쉽게 구할 수 있기 때문이죠. 하지만 개인의 신용과 관련된 문제인 만큼 아무리 가깝고 친한 사람이라도 카드를 빌려주거나 신분증을 맡기는 일은 피하는 것이 뜻하지 않은 피해를 막는 최선의 방법이 아닌가 생각됩니다.
최근 스마트폰 사용이 많아지고 있는데 스마트폰에서의 정보유출 역시 매우 조심해야 합니다. 특히, 스팸 문자나 메신저 앱을 통한 스미싱 사건도 많이 일어나고 있고 자신도 모르게 악성 코드에 감염되어 스마트폰에 저장된 개인정보가 유출될 수 있죠.
이를 방지하기 위해서는 스팸 문자나 메시지를 조심해야 합니다. 특히, 여기에 포함된 URL은 절대 누르지 말고 바로 삭제해야 하며 아예 이런 문자나 메시지를 차단하는 앱을 사용하는 것도 좋은 방법입니다.
최근 인기를 얻고 있는 발신자 전화번호 정보 확인과 스팸차단 앱으로는 “후후(whowho)”가 괜찮은 것 같더군요. 후후는 전화나 문자 수신 즉시 전화번호 정보를 식별해 실시간 신고되는 스팸 전화번호를 알려주고 다양한 옵션으로 전화와 문자의 수신을 차단해 줍니다. 또한, 문자를 스캔해 포함된 스미싱 관련 악성 첨부파일도 찾아서 처리해 줍니다.
한국인터넷진흥원(KISA) 에서 배포하는 스마트폰 보안 자가점검 앱, 폰키퍼(Phone Keeper)도 권할만 합니다. 안드로이드 스마트폰의 보안 설정(비밀번호 설정, 백신설치, Wi-Fi/블루투스/GPS 사용, 루팅 여부) 및 백신 설치 여부, 알려진 악성 앱, 개인정보 저장 앱이 설치되어 있는지 점검해 주는 앱이죠. 보안이 취약한 항목이 발견될 경우 해당 항목을 이용자가 바로 조치할 수 있도록 구체적인 방안을 제시합니다.
이밖에도 앱 마켓을 찾아 보면 다양한 정보 보안 앱이 나와 있습니다. 앱을 통한 정보 유출을 막기 위한 “앱 잠금 앱”, “보안카드 관리 앱” 등 다양한 스마트폰 앱이 있으니 참고하시는 것도 좋을듯 싶네요.완벽한 보안이란 없습니다. 누구든지 마음만 먹는다면, 그리고 시간과 돈이 뒷받침된다면 아무리 강력한 보안이라도 뚫어낼 수 있죠. 가장 중요한 것은 개인정보를 다루는 사람들의 올바른 도덕성과 윤리의식이 있어야 하고 보안에 대한 중요성을 항상 인식하고 제대로 된 보안 규정을 지키는 것이 아닐까 생각됩니다.