예방 및 피해 최소화 위해 기관·기업·개인 세 주체 공동 노력 필요

[보안뉴스 김경애] 전국을 떠들썩하게 했던 3개 카드사 개인정보 유출 사건. 이와 비슷한 시기에 미국의 한 대형 마트 체인에서도 지난해 매장에 설치된 POS단말기가 해킹돼 고객의 개인정보 7천만건과 카드 정보 4천만건이 유출되는 사고가 일어났다.

개인정보 유출사건은 앞서 국내 포털·온라인 쇼핑몰 등에서만 수천만 건, 해외는 미국 카드사 해킹으로 35만건, 2012년 중국 마케팅 서비스 회사의 1억 5천만 건 등이 유출됐다. 이처럼 전 세계는 개인정보유출과 전쟁을 하고 있다고 해도 과언이 아니다.

이에 따라서 본지는 생활 속 안전실천의 일환으로 안랩의 ‘개인정보보호 바로 알기’를 소개하고자 한다.

△개인정보란 무엇인가?

2011년에 제정된 개인정보보호법에 의하면 개인정보란 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보’라고 명시돼 있다. 특히 하나의 정보만으로는 특정 개인을 알아볼 수 없더라도, 다른 정보와 쉽게 결합해 개인을 식별할 수 있다면 이는 개인정보에 포함된다.

여기에는 성명, 주민등록번호, 주소, 연락처 등 일반정보, 소득, 재산상황, 신용, 부채, 신용카드번호 등 경제정보, 학력, 성적, 병역, 직업, 자격증 등의 사회정보, 전자우편, 통화내용, 인터넷 접속 IP, 로그(log)와 같은 통신정보, 사상, 신념, 노동조합·정당의 가입탈퇴, 정치적 견해, 건강 등 민감 정보가 모두 해당된다.

△개인정보 유출의 위험성

유출된 개인정보는 어떻게 활용하는가에 따라 단순 불편 유발부터, 개인정보 결합을 통한 금전피해, APT 공격까지 등 그 위험도가 달라질 수 있다.

지금까지 유출된 개인정보를 활용한 사례를 보면, 보이스피싱 및 불법 마케팅, 대출 권유 등에 사용된 경우가 많다. 한번도 출입하거나 방문하지 않았던 도박 사이트나 유흥업소, 원치 않는 대출 권유, 보이스피싱으로 의심되는 법원, 검찰, 경찰청의 전화나 문자를 받아본 적이 있다면 의심해 볼 만 하다.

미국 미국 대형마트 체인에서 발생한 카드정보 유출의 경우, 소유자 이름, 카드번호, 카드 만료 날짜, CVV(CVC)번호 등이 포함돼 있다. 이를 이용한 불법 신용카드(마그네틱)로 2차 금융피해도 발생할 수 있다고 전문가들은 지적하기도 했다.

유출된 개인정보는 스미싱이나 모바일 불법 소액결제에도 이용된 적이 있다. 최근 발견되는 스미싱 문구의 경우, 스마트폰 해킹으로 탈취한 사용자 주소록 내 이름 및 전화번호와 사전에 유출된 주민번호 등의 개인정보를 결합해 개인별 맞춤형 스미싱 문자를 전송한 경우가 있다.

이러한 방법은 문자에 명시된 이름과 정보가 수신자와 정확히 일치해 의심하기가 더욱 어렵다.

이를테면 ‘OOO님 [법무원]등기발송하였으나 전달불가 1**.2**.2**.1** (부재중)하였습니다 간편조회 / ***님의 차량이 무인단속장비에 적발되었습니다 gi*****.**.kr 확인 후 처리바립니다’와 같은 문구와 URL 주소를 포함하고 있다.

또한 2012년 말부터 스마트폰에서 발견된 ‘체스트’ 악성코드의 경우, 공격자가 감염시켜 획득한 통신사 정보와 미리 보유한 전화번호와 주민번호를 조합해 소액결제를 시도한다. 이 때, 결제 시스템으로부터 전달된 인증번호가 포함된 문자메시지도 가로채서 결제하기도 한다.

탈취된 개인정보는 APT와 같은 지능형 타깃 공격에 이용될 수도 있다. 예를 들어 만약 공격자가 수천만 개의 흩어져있는 개인정보를 오랜 기간 데이터마이닝(data mining)을 통해 금전피해를 야기할 수 있는 정보들을 조합해낸다면, 특정인의 이름, 소속, 주민번호, 포털 ID, 패스워드, 연관 주소록 등을 뽑아낼 수 있다.

그럼 이 ID로 악성코드를 포함한 스피어피싱 메일을 지인에게 보낼 수도 있고, 악성 앱 설치를 유도하는 스미싱 문자를 보낼 수도 있다. 아는 사람에게서 온 메일은 당연히 의심하지 않고 열어볼 확률이 더 클 수밖에 없다. 또한, 스피어피싱 메일은 APT 공격의 시작점이 될 수 있다.

△어떻게 막을 수 있나?

개인정보보호에는 기관, 기업, 개인이 주체로 어느 하나만 잘 한다고 해서 해결되는 것은 아니다.

기관의 경우, 개인정보보호에 필요한 다양한 법제와 규제 등을 제공하고, 이것이 실제로 잘 적용되는 지 감시하는 역할을 한다. 현재 개인정보 관련해서, ‘개인정보보호법’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’이 개정된 바 있고, ‘주민등록번호 처리금지’, ‘개인정보 유출 시 통지’ 등이 두 법에서 모두 의무화됐다.

금융 분야에서는 ‘전자금융거래법’ 개정을 통해 금융기관에 정보보호최고책임자 지정이 의무화됐고, 전자금융감독규정은 금융기관이 일정규모 이상의 정보보호인력과 정보보호예산을 갖출 것을 의무화했다.

하지만, 문제는 이런 법률과 규제를 만드는 것보다 지속적으로 잘 적용되고 있는지 ‘시장 감시자’로서의 역할을 동반하는 것이 중요하다고 전문가들은 입을 모은다. 물론, 개인정보를 다루고 있는 기관에서 이를 지키는 노력을 하는 것은 기본이다.

개인정보를 많이 다룰 수밖에 없는 기업의 입장에서는, 보안부서의 위상을 격상시켜 대기업 감사실이나 인사 조치를 직접 취할 수 있는 수준의 통제 권한과 책임을 부여하고, 주기적인 보안 교육, 실제 같은 훈련 등을 실행하는 것이 필요하다. 또한 강력한 법적 처벌이나 제재가 보완책보다는 기업 자체의 노력이 중요하다.

개인은 나의 정보가 유출 된 후를 대비하는 것이 좋다. 먼저 여러 사이트에 동일한 사용자 계정(ID)와 비밀번호를 사용하지 말고, 비밀번호는 6개월에 한번은 바꾸는 것이 좋다. 경품이벤트나 프로모션 등에서 정당한 법적 절차 공지가 없을 때는 개인정보 제공은 피해야 한다. 정당한 법적 절차가 있다 해도 과도한 개인정보 제공은 자제하는 것이 좋다. 또한, 분실위험이 높은 스마트폰을 비롯해 개인 IT기기에는 백신설치 및 비밀번호 설정이 필수다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>