고객정보·내부정보·직원정보 순으로 유출, 유출경험 없음 78.7% 

[보안뉴스 김태형] 시만텍은 지난 4월 ‘인터넷 보안 위협 보고서 제20호’를 통해 지능형 사이버 공격 전술 확대, 광범위한 제로데이 공격, 사이버 협박을 위한 랜섬웨어 진화, 소셜 미디어 및 모바일 플랫폼 공격 증가, 악성코드 증가, IoT(사물 인터넷) 보안 위협 부상 등을 주목해야 할 보안위협으로 꼽았다.

이러한 보안위협으로 지난해 세계적으로 1천만 개 이상의 개인정보가 유출된 대형 정보유출 사고는 4건으로 2013년 8건 대비 절반 수준으로 감소했으나, 전체 정보유출 사고는 전년 대비 23% 증가했다고 발표했다.

이러한 가운데 국내 기업·기관 중에서 고객정보나 내부정보, 직원정보 등이 유출된 사고의 경험이 있는 곳은 11.5%인 것으로 조사됐다. 이는 본지가 개인정보보호 담당자, CSO, CISO, CPO, 보안담당자 등 정보보호 관련 업무 종사자 1,314명을 대상으로 ‘귀사는 개인정보를 비롯한 내부정보 유출사고를 겪은 경험이 있으신가요?’라는 설문조사 결과에 따른 것이다.

물론 이러한 결과가 100% 정확하다고는 볼 수 없다. 대부분의 정보유출 사고는 담당자들이 알아차리지 못하거나 인지했다고 하더라도 사고가 발생한지 한참 지나서 알게 되는 경우가 많다. 또한, 정보유출 사실을 공개하지 않고 자체적으로 해결하려는 경향을 보이기도 한다.

이번 설문조사 결과 가장 많은 응답은 ‘유출 경험 없음’으로 1,034명(78.7%)이 응답했으며 두 번째는 ‘유출여부를 확인할 수 없음’이라고 응답한 사람이 123명(9.4%)으로 나타났다.

이어서 세 번째로 많은 응답이 ‘고객정보 유출’로 69명(5.3%)이 응답했다. 그리고 ‘개인정보 아닌 내부정보 유출’을 경험했다고 응답한 사람은 51명(3.9%), ‘직원정보 유출’은 30명(2.3%)으로 조사됐다. 기타의견은 6명(0.5%)이었다.

한편, 올해 개인정보 유출로 가장 큰 이슈가 됐던 사고는 지난 3월 정부가 주민등록번호 대체수단으로 도입을 적극 권장했던 공공아이핀(i-PIN: internet Personal Identification Number) 75만건이 시스템 해킹으로 부정 발급된 사고였다.

이와 같이 정보유출 사고는 지속되는데 기업의 보안 투자는 감소하거나 여전히 미흡한 상황이다. 미래부에 따르면, 지난해 1억건이 넘는 신용카드 고객정보가 유출됐고 국내 대형 통신사에서는 1천만 명이 넘는 가입자 정보가 유출됐지만, 기업들의 보안투자는 오히려 감소한 것으로 나타났다. 이와 더불어 정보보호 책임자나 보안 전담조직을 구성하는 비율도 감소한 것으로 조사됐다.

이처럼 개인정보 유출로 개인 이용자들은 심각한 피해를 입었지만 실제로 기업의 직접적인 피해로는 연결되지 않다 보니 기업들의 보안투자가 미흡했던 것도 사실이다. 하지만 지난 7일 징벌적·법정손해배상제를 도입한 개인정보보호법 개정안이 국회 본회의를 통과함에 따라 앞으로는 개인정보 유출사고가 발생할 경우 소송 등을 통해 막대한 배상금을 지불하게 될 것으로 보인다. 이에 금융회사를 포함한 대기업 등에서는 고객정보가 유출되지 않도록 개인정보보호를 한층 더 강화할 필요가 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>