| [기고] 소중한 내 개인정보, 어떤 경로로 유출되나? | 2009.05.29 | |
정보유출사고, 기업형은 일확천금형-개인형은 낚시형
개인정보를 사고 파는 사이버 블랙마켓 급성장
그렇다면 우리나라의 현실은 어떠한가? 인터넷을 통한 생활환경이 그 어떤 나라보다 보편화된 우리나라의 특성을 고려해본다면 음지에서 거래되고 있는 개인정보의 규모는 분명 무시하지 못할 정도의 수준일 것으로 추측된다. 특히 바다 건너 중국에서까지 대한민국의 개인정보가 공공연하게 거래되고 있다는 사실은 그만큼 우리나라 국민들의 개인정보를 원하는 범죄집단이 많고 금전적인 가치도 상당히 높다는 사실을 반증하고 있다. 이러한 현실은 국내에서 다양한 경로를 통해 개인정보가 불법적으로 수집되고 있다는 것을 의미한다. 기업형 정보 유출 사고와 개인형 정보 유출 사고 유형 개인정보 유출과 관련해 범죄자들이 노리는 범행 대상의 유형에는 크게 두 가지가 있다. 첫 번째 대상은 기업의 고객DB 시스템이다. 포털 사이트 혹은 특정 기업의 고객DB 시스템을 외부에서 해킹하거나 회사 내부 직원이 가담해 대량의 고객 개인정보 DB파일을 직접 빼내가는 경우가 대부분이다. 특정 기업을 겨냥해 계획적으로 범행을 저질렀을 경우 유출되는 개인정보의 규모도 상당하기 때문에 사회적 파급력은 상상을 초월한다. 그러나 범죄가 발각될 위험성이 크기 때문에 발생빈도는 상대적으로 적다고 할 수 있다. 이러한 기업형 정보 유출 사고의 경우에는 그 동안 대형 사건·사고들이 언론매체를 통해 자주 보도되면서 개인 사용자들도 범행 수법에 대해서는 어느 정도 인지하고 있다. 하지만 기업에서 관리하는 고객DB와 관련해 개인 사용자들이 직접적으로 피해 예방책을 마련하기란 쉽지 않다. 일반 개인이 특정 기업의 내부 보안정책에 대해 관여하기가 현실적으로 어렵기 때문이다. 유명 포털이나 특정 기업체의 개인정보 유출 사건 보도를 접하고 발 빠르게 대응하는 개인 사용자들도 있었지만, 대부분 사고가 발생한 이후였고 실질적인 해결책이 마련된 경우는 거의 없었다. 고작해야 피해보상금 지급과 관련된 사례가 있을 뿐이었다. 따라서 기업들의 전산시스템에 보관되어 있는 고객 개인정보가 안전하게 관리될 수 있도록 시민단체 등을 통해 지속적으로 모니터링하면서 관련 업계의 적극적인 개선 노력을 요구하는 수밖에 없다. 두 번째는 개인형 정보유출사고 유형이다. 개인형 정보유출사고는 개인이 사용하는 PC를 직·간접적으로 해킹해 사용자의 개인정보를 빼내가는 것이다. 기업형 정보유출사고와는 달리 개인형은 사용자들의 자발적인 노력에 의해 충분히 대비책을 마련할 수 있다. 따라서 우리가 적극적으로 관심을 가져야 할 대상이 바로 날마다 사용하는 개인용 PC이다. 개인형 정보유출사고의 범행수법에는 매우 다양한 형태가 있다. 공격자는 사용자 PC에 미리 심어놓은 악성코드 프로그램을 통해 사용자 PC를 마음대로 들여다보거나 각종 개인정보를 손쉽게 빼내갈 수 있다. 인터넷을 이용하는 동안 수시로 저장되는 쿠키파일과 같은 정보파일들이 좋은 표적이 될 수 있다. 키보드해킹을 통해 사용자가 키보드를 통해 입력하는 아이디, 비밀번호 등을 실시간으로 훔쳐갈 수도 있다. 은행사이트와 똑같이 만들어진 피싱사이트를 이용해 사용자의 계좌 비밀번호 등을 수집해가는 경우도 있다. 인터넷을 통해 수집한 주민등록번호를 도용하여 불법적인 서비스 가입 등 2차적인 불법행위에 이용하는 사례도 많다. 이렇듯 개인형 정보유출사고의 경우에는 기업형에 비해 우리들의 일상 생활 속에 깊숙이 침투해 있으면서도 정작 그 위험성이나 대처방법이 간과되고 있는 경우가 대부분이다. 개인 사용자들은 갈수록 진화하는 해킹 기술에 무지하기 때문에 본인의 개인정보가 유출되더라도 정작 피해 당사자가 유출경로를 인지하기 어렵고 언론을 통해서 알려지기도 쉽지 않기 때문이다. 또한 불특정 다수의 개인을 대상으로 동시다발적으로 범행을 저지르기 때문에 발생빈도가 상대적으로 매우 빈번하고 범죄 발각의 위험성도 낮다. 기업형은 일확천금형, 개인형은 낚시형 기업형 정보유출사고와 개인형 정보유출사고 유형의 가장 큰 차이점은 개인정보의 수집 목적이다. 기업형 정보유출사고는 확보한 대량의 고객DB를 대부업체 등 특정 영업조직에 일괄적으로 판매하는 것이 1차적인 목적이다. 그에 상응하는 고가의 판매대금을 노리는 것이다. 반면 개인형 정보유출사고 유형의 목적은 수집된 개인정보 당사자의 계좌정보 등을 직접적으로 이용해 은행계좌에서 불법적으로 돈을 인출하거나 특정 범죄에 2차적으로 악용하기 위해서이다. 개인정보를 유출 당한 당사자가 직접적으로 금전적인 피해를 당할 수 있다는 뜻이다. 한마디로 기업형 정보유출사고 유형을 일확천금형이라고 한다면 개인형 정보유출사고 유형은 낚시형에 가깝다. 치밀하고 계획적인 범행을 통해 일확천금을 노리는 기업형 정보유출사고에 비해 개인형 정보유출사고는 미끼를 풀어놓은 뒤 철없는 물고기들이 낚시바늘에 걸려들면 하나씩 바로 낚아채는 방법을 이용한다. 특히 개인형 정보유출사고는 개인의 PC가 모두 먹잇감이 될 수 있기 때문에 범행 대상도 광범위하다. 그만큼 일반 개인들이 자신도 모르게 개인정보 유출과 관련된 범죄행위에 노출될 위험성이 매우 높은 것이다. 정보보호에 대한 의식 수준, 하루 빨리 개선돼야 그렇다면 개인정보 유출로 인한 피해를 입지 않기 위해서는 어떤 예방책을 마련할 수 있을까? 개인 사용자의 입장에서는 직접적으로 관여할 수 없는 기업형 정보유출사고보다는 개인형 정보유출사고에 더욱 신경을 쓰는 것이 합리적이다. 개인 사용자들이 실질적으로 적용할 수 있는 다양한 방법들을 통해 적극적으로 피해를 예방할 수 있기 때문이다. 나에게 사고가 일어나지 않기만을 막연히 바랄 것이 아니라 최소한 내가 취할 수 있는 방법들을 찾아 스스로 방비할 수 있도록 주변 환경을 만드는 것이 더 현명한 방법이다. 우선 바이러스 백신이나 악성코드 제거프로그램을 설치해 사용한다든지 은행사이트 등을 이용할 때 기본적으로 제공되는 키보드보안 프로그램 설치 등 보안규칙들을 잘 준수 하는 것은 가장 기본 중의 기본이다. 특히 보안 패치 설치를 철저히 함으로써 PC의 보안 체질을 강화하는 것도 핵심적인 보안 실천 사항 중 하나이다. 또한 특정 웹사이트에서 본인의 중요한 개인정보를 입력해야 할 경우에는 접속 URL이나 홈페이지 구성형태 등을 확인하여 정상적인 경로의 웹 페이지인지 아니면 피싱 사이트인지를 먼저 판별하는 습관은 금융 사기인 피싱 사고를 예방하는데 도움이 된다. 이러한 경우 안티피싱 솔루션을 설치해 사용하면 더욱 안전한 금융 거래가 가능해 진다. 이 외에도 주민등록번호 도용방지 서비스를 이용함으로써 2차적인 주민등록번호 도용 시도를 차단하는 것도 개인정보유출 사고가 끊이지 않는 요즘 지혜로운 방법이 될 수 있다. 그러나 무엇보다 더욱 본질적인 해결책은 개인 사용자들의 개인정보 보호에 대한 의식수준 개선이다. PC에 악성코드 제거프로그램과 같은 개인용 보안프로그램을 설치한 지 몇 개월이나 지났지만 마지막 검사일이 언제였는지도 기억을 못할 만큼 검사 한번 제대로 해보지 않는 것이 일상화되지는 않았는가? 아니면 최근 P2P 사이트 등을 통해 아무런 의심 없이 프로그램 파일이나 동영상 자료를 다운로드 한 적은 없는가? 혹은 은행사이트나 인터넷 쇼핑몰 등에 접속했을 때 보안프로그램을 설치하기 귀찮아 그냥 넘겨버린 경우는 없는가? 그렇다면 한번쯤은 내 PC가 과연 안전한지 의심해볼 만하다. 개인정보 유출 사고는 먼 곳에서 일어나는 남의 이야기가 아니다. 누구도 피해갈 수 없는 것이 현실이다. 사무실에서 사용하는 내 PC가 범죄의 대상이 될 수 있고 바로 내가 사고의 피해자가 될 수 있다는 것을 항상 명심해야 한다. [글 : 나유민 소프트런 마케팅사업팀 팀장 zeta@softrun.com]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
