개인정보 유출, 금융피해·보이스피싱 등 활용 가능성 높아
상태바
개인정보 유출, 금융피해·보이스피싱 등 활용 가능성 높아
  • 이광재 기자
  • 승인 2014.02.13 09:30
  • 댓글 0
이 기사를 공유합니다

[안랩 보안 바로 알기 캠페인] 개인정보보호 바로 알기
최근 우리 사회를 떠들썩하게 했던 신용카드사 개인정보 유출 사건이 있었다. 그리고 이와 비슷한 시기에 미국 대형 마트 체인에서 지난해 매장에 설치된 POS단말기가 해킹돼 고객의 개인정보 7000만건과 카드정보 4000만건이 유출되는 사고가 일어나기도 했다.

그 이전에도 우리나라의 포털, 온라인 쇼핑몰 등의 수천만건에 달하는 개인정보유출, 미국 카드사 해킹으로 35만건, 2012년 중국 마케팅 서비스 회사의 1억5000만건 등 전세계는 개인정보유출과 전쟁을 하고 있다고 해도 과언이 아니다.

점점 디지털화 돼 가는 사회는 예전에는 상상으로만 가능하던 편리함을 우리에게 가져다주기도 하지만 ‘잊혀질 권리’와 개인정보보호에 대한 고민을 함께 던지고 있다. 안랩의 아홉 번째 보안 바로 알기(Know the security) 캠페인은 개인정보보호에 대해 바로 알아보자.

개인정보는 무엇일까? 내 주민번호만이 개인정보일까? 아니면 내 전화번호? 다니는 학교·직장, 내가 좋아하는 음식? 내가 좋아하는 연예인? 내 포털 아이디? 개인정보 유출에 대해 알아보려면 먼저 개인정보가 무엇인가에 대해 제대로 알아야 한다.

2011년에 제정된 개인정보보호법에 의하면 개인정보란 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보’라고 명시돼 있다. 각별히 유의할 사항은 하나의 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 개인을 식별할 수 있다면 이는 개인정보에 포함된다는 것이다.

여기에는 성명, 주민등록번호, 주소, 연락처 등 일반정보, 소득, 재산상황, 신용, 부채, 신용카드번호 등 경제정보, 학력, 성적, 병역, 직업, 자격증 등의 사회정보, 전자우편, 통화내용, 인터넷 접속 IP, 로그(log)와 같은 통신정보, 사상, 신념, 노동조합·정당의 가입탈퇴, 정치적 견해, 건강 등 민감정보가 모두 해당된다.

개인정보 유출이 왜 위험할까? 유출된 개인정보는 어떻게 활용하는가에 따라 단순 불편 유발부터 개인정보 결합을 통한 금전피해, APT 공격까지 위험도가 달라질 수 있다.

지금까지 유출된 개인정보를 활용한 사례를 보면 보이스피싱 및 불법 마케팅, 대출 권유 등에 사용된 경우가 많다. 한번도 출입하거나 방문하지 않았던 도박 사이트나 유흥업소, 원치않는 대출 권유, 보이스피싱으로 의심되는 법원, 검찰, 경찰청의 전화나 문자를 받아본 적 있다면 의심해 볼만하다.

참고로 미국 대형마트 체인에서 발생한 카드정보 유출의 경우, 소유자 이름, 카드번호, 카드 만료 날짜, CVV(CVC)번호 등이 포함돼 있어 이를 이용한 불법 신용카드(마그네틱)로 2차 금융피해도 발생할 수 있다고 전문가들은 지적하기도 했다.

유출된 개인정보는 스미싱이나 모바일 불법 소액결제에도 이용된 적이 있다. 최근 발견되는 스미싱 문구의 경우 스마트폰 해킹으로 탈취한 사용자 주소록 내 이름 및 전화번호와 사전에 유출된 주민번호 등의 개인정보를 결합해 개인별 맞춤형 스미싱 문자를 전송한 경우가 있었다.

이 방법은 문자에 명시된 이름과 정보가 수신자와 정확히 일치해 의심하기가 더욱 어렵다. 다.(예시: OOO님 [법무원]등기발송하였으나 전달불가 1**.2**.2**.1** (부재중)하였습니다 간편조회 / ***님의 차량이 무인단속장비에 적발되었습니다 gi*****.**.kr 확인 후 처리바립니다)

또한 2012년 말부터 스마트폰에서 발견된 ‘체스트’ 악성코드의 경우 공격자가 감염시켜 획득한 통신사 정보와 미리 보유한 전화번호와 주민번호를 조합해 소액결제를 시도한다. 이 때 결제 시스템으로부터 전달된 인증번호가 포함된 문자메시지도 가로채서 결제를 완료한다. 이로 인해 실제 피해가 발생했다는 언론보도도 있었다. 

더 넓게 보면 탈취된 개인정보는 APT와 같은 지능형 타깃 공격에 이용될 수도 있다. 예를 들어 만약 공격자가 수천만개의 흩어져있는 개인정보를 오랜 기간 데이터마이닝(data mining)을 통해 의미 있는(여기서는 ‘의미있는’은 금전피해를 야기할 수 있는 정보조합 등 공격자에 유익한 것을 뜻한다) 정보들을 조합해낸다면 특정인의 이름, 소속, 주민번호, 포털 ID, 패스워드, 연관 주소록 등을 뽑아낼 수 있을 것이다.

그럼 이 ID로 악성코드를 포함한 스피어피싱 메일을 지인에게 보낼 수도 있고 악성 앱 설치를 유도하는 스미싱 문자를 보낼 수도 있다. 아는 사람에게서 온 메일은 당연히 의심하지 않고 열어볼 확률이 더 클 수밖에 없다. 또한 이 전 ‘보안 바로알기’에서도 언급했듯이 스피어피싱 메일은 APT 공격의 시작점이 될 수 있다.

그럼 어떻게 막을 수 있을까? 개인정보보호에는 3가지 주체가 있다. ▲기관 ▲기업 ▲개인이 바로 그 주체다. 결론부터 말하면 이 3가지 주체중 하나만 잘 한다고 해서 해결되는 것이 아니라는 것이다.

기관의 경우 개인정보보호에 필요한 다양한 법제와 규제 등을 제공하고 이것이 실제로 잘 적용되는지 감시하는 역할을 한다. 현재 개인정보 관련해 ‘개인정보보호법’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’이 개정된 바 있고 ‘주민등록번호 처리금지’, ‘개인정보 유출시 통지’ 등이 두 법에서 모두 의무화됐다.

금융분야에서는 ‘전자금융거래법’ 개정을 통해 금융기관에 정보보호최고책임자 지정이 의무화됐고 전자금융감독규정은 금융기관이 일정규모 이상의 정보보호인력과 정보보호예산을 갖출 것을 의무화했다. 이 정도면 다른 나라와 견줘도 높은 수준의 법 기준이라고 한다.

하지만 문제는 이런 법률과 규제를 만드는 것에서 그치지 않고 지속적으로 잘 적용되고 있는지 ‘시장 감시자’로서의 역할을 동반하는 것이 중요하다고 전문가들은 말하고 있다. 물론 개인정보를 다루고 있는 기관에서 이를 지키는 노력을 하는 것은 기본이다.

개인정보를 많이 다룰 수밖에 없는 기업의 입장에서는 정해진 보안에 대한 룰을 지키는 노력이 필요하다. 이는 단순 솔루션 도입, 외주업체 관리 매뉴얼 등을 도입하는 것이 아니라 이를 실천하는 것을 의미한다.

예를 들어 보안부서의 위상을 격상시켜 대기업 감사실이나 인사조치를 직접 취할 수 있는 수준의 통제 권한과 책임을 부여하거나, 주기적인 보안 교육, 실제 같은 훈련 등을 실행하는 것이 필요하다. 강력한 법적 처벌이나 제재가 보완책으로 언급되지만 이보다는 기업 자체의 노력이 중요하다.

개인은 대부분 피해자의 입장에 있을 수 있지만 이것이 최소한의 노력을 안 해도 된다는 의미는 아니다. 따라서 개인은 만약 나의 정보가 유출 된 후를 대비하는 것이 좋다. 먼저 여러 사이트에 동일한 사용자 계정(ID)와 비밀번호를 사용하지 말고 비밀번호는 6개월에 한번은 바꾸는 것이 좋다. 경품 이벤트나 프로모션 등에서 정당한 법적 절차 공지가 없을 때는 개인정보 제공은 피해야 한다.

정당한 법적 절차가 있다 해도 과도한 개인정보 제공은 자제하는 것이 좋다. 또한 분실위험이 높은 스마트폰을 비롯해 개인 IT기기에는 백신설치 및 비밀번호 설정이 필수다.

세계적인 문화인류학자인 제러드 다이아몬드 교수는 저서 ‘어제까지의 세계’에서 전통사회가 만성적인 위협에 대응하는 방법으로 ‘건설적 편집증’을 언급했다. 이는 남이 보면 편집증에 가까워 보일 정도로 안전을 챙기는 행위라고 요약할 수 있는데 개인정보 유출이 ‘만성적 리스크’가 된 지금에는 이런 건설적 편집증의 현대 버전이 필요한 시기가 아닐까 한다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.