국내 기업, 내부자에 의한 정보 유출이 대부분 
기업간 해킹 기법 공유 및 정보 유출범에 대한 처벌 강화 필요

[보안뉴스 김지언] 올 상반기 개인정보 유출사실이 잇달아 드러나면서 많은 기업들이 효과적인 개인정보보호 해법 마련에 골머리를 앓고 있다.  이러한 때 공공 및 민간기업의 CPO들이 한자리에 모여 개인정보 탈취 유형 및 대응방안을 논의하는 장이 마련돼 관심이 모아졌다.

개인정보보호 수준 제고 및 역량 강화를 위해 지난 4월에 이어 두 번째로 개최된 개인정보보호페어 & CPO워크숍(PIS FAIR 2014)이 바로 그것이다.

이날 Pwn&Play 장기려 씨는 ‘최신 개인정보 유출 유형별 해킹 시연 및 대응전략’ 이라는 주제로 강연을 진행했다.

먼저 그는 개인정보를 ‘개인에 관한 정보 가운데 직·간접적으로 각 개인을 식별할 수 있는 정보’라고 정의하면서 최근 빅데이터 기술의 발달로 단독으로는 개인을 식별할 수 없을지라도 다양한 정보들이 모여 개인을 식별할 수 있다면 개인정보에 해당된다고 설명했다.

장기려 씨는 최근 보안사고 유형을 정보유출과 시스템 및 서비스 파괴로 나누면서 정보유출 사고로 결제카드정보, 공인인증서, 주민등록번호를 포함해 많은 인적기록 정보가 유출되고 있다고 밝혔다.

그렇다면 정보유출범들은 개인정보를 탈취하기 위해 어떠한 루트를 사용할까. 장기려 씨는 이들이 스미싱, 파일공유 사이트, POS기, 기업에서 무심코 버린 문서 등 다양한 방법으로 개인정보를 수집한다고 언급했다.

이외에도 그는 이날 발표에서 PC방 매니저 솔루션 프로그램 해킹시 위험성과 핸드폰 불법복제의 심각성에 대한 시연 및 발표를 진행했다. 

이처럼 지속해서 일어나는 개인정보 유출사고에 대응하기 위해서는 어떠한 방법들이 있을까. 장기려 씨는 무엇보다도 기업간의 협력이 중요하다고 언급했다.

 

그는 대부분의 국내기업들이 해킹을 당하더라도 이미지 때문에 해킹기법 공유보다는 쉬쉬하는 경향이 크다고 지적하면서 이 때문에 해커가 잘 알려지지 않은 취약점이나 해킹기법을 이용해 유사한 방식으로 여러 기업을 공격하더라도 피해가 확산될 수 있다고 밝혔다. 이에 회사 간의 취약점 및 최신 해킹기법 공유의 장이 마련된다면 좀 더 빠른 대응이 가능할 것이라고 예측했다.

이와 함께 그는 기업 내부직원을 정기적으로 교육 및 평가해야 한다는 점과 보안인력의 업무환경이 개선되어야 한다는 점을 지적했다. 특히 업무환경 개선 측면에서 볼때 많은 보안인력들이 자신의 보안업무가 아닌 다른 업무에 시간을 뺏겨 공격대응 능력이 저하된다는 것이다. 이에 효과적인 공격대응을 위한 보안인력별 적절한 업무배치가 중요하다고 강조했다.

이어 장기려 씨는 각 분야별 전문가를 양성하고 이들 전문가들을 한 팀으로 묶어 대응능력을 향상시켜야 하며, 국가기관에서도 보안인력을 적극 채용하는 등의 방법으로 보안기반을 차근차근 다져나가야 한다고 설명했다. 

이외에도 그는 보안담당자에 대한 처벌보다 실제로 범행을 저지른 정보유출범에 대한 처벌을 강화해야 한다는 입장과 공익광고를 통해 국민들의 보안의식 제고에 나서야 한다는 의견을 밝혔다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>