디지털 전환과 함께 정보 활용이 늘어나면서 개인정보 유출 사고, 정보 관리 부주의, 해킹 등으로 인한 정보 침해 사고가 계속 늘어나고 있다.
한국정보보호산업협회와 과학기술정보통신부가 발표한 ‘2021년 정보보호 실태 조사’에 따르면, 지난해 개인의 정보 침해 사고 비율은 11.4%로 2020년보다 8.1% 증가했다. 또한 다양한 정보를 다루는 기업의 경우 침해 사고 대응 활동이 증가해 침해 사고 경험율은 1%로 전년 대비 1% 감소했지만, 랜섬웨어 등으로 침해 피해의 심각도는 2019년 14.6%, 2020년 16.5%, 2021년 26.7%로 매년 커지고 있는 상황이다.
개인정보 유출 많아, 침해 사고에 좀 더 민감히 반응해야
개인정보보호위원회(개인정보위)가 발표한 ‘2021 개인정보보호 실태 조사’에 따르면, 2021년 한 해 동안 정보 주체의 44.3%가 개인정보 침해를 한 번 이상 경험한 것으로 나타났다. 침해 원인으로는 ‘개인정보 유출’이 24.8%로 가장 높았다.
개인정보 침해를 경험한 이들 중 29.7%는 개인정보 침해 사실을 통지받았음에도 피해 구제를 위해 아무런 대응도 하지 않은 것으로 나타났다. 반면 70.3%는 침해 사고에 대응했다. 또한 침해 사고를 경험한 이들 중 52.4%는 회원 탈퇴, 비밀번호 변경, 보안 설정 추가 등 개인적인 보안 조치를 취한 것으로 나타났다.
침해에 대해 아무 조치도 취하지 않은 이들의 경우 그 이유를 ‘피해 상담 후에도 별다른 효과가 없을 것 같아서(30.9%), 피해 구제 신고·상담이 귀찮아서(24.4%), 피해 구제 기관이나 구제 방법 등 절차를 잘 몰라서(22.8%), 피해가 경미해서(19.9%)’ 등이라고 답했다.
개인정보 보호를 위한 조치(복수응답)에서는 ‘비밀번호를 주의해 관리함(48%)’이 가장 높았고, 이어 ‘출처 불분명한 자료는 다운로드하지 않고 의심스러운 이메일은 열지 않음(44.3%), 공용 PC에서 로그인한 웹사이트는 반드시 로그아웃(37%), PC방 등 공용 PC 사용 시에는 금융서비스 등을 이용하지 않음(31.8%)’ 순이었다.
또한 SNS를 이용하는 정보 주체의 개인정보 보호를 위한 조치(복수응답)의 경우, ‘가족, 지인 등 타인의 정보를 함부로 공개하지 않는다(39.3%), 정보 공개 범위를 확인하고 직접 설정한다(31.1%), 가족·친구 등과 ID/PW를 공유하지 않는다(24.9%)’ 순으로 나타났다. 아무런 조치도 취하지 않음은 9.5%였다.
재택·원격근무를 실시하는 17.9%의 정보 주체는 재택·원격근무 중 개인정보 보호를 위해 ‘출처가 의심스러운 파일 다운로드 금지(87.4%)’를 최우선 사항으로 삼고 있었다. 이어 개인 PC 최신 보안 업데이트(85.1%), 백신 프로그램 업데이트 및 주기적인 바이러스 검사 시행(82.6%) 등을 실천했다.
개인정보위 관계자는 “개인정보 보호의 중요성에 대한 인식은 점차 높아지고 있지만, 아직까지 개인정보 침해의 피해 구제를 위한 대응은 부족한 게 사실이다. 여러가지 이유가 있겠지만 아무래도 침해 사고에 대한 조치로 상담, 신고 등의 행위를 하기 위해서는 비용이나 노력이 훨씬 많이 들기 때문에 귀찮거나 부담이 큰 부분이 있어 보인다”라고 설명했다.
이어 “개인정보의 침해 수준이 모두 심각한 정도는 아니기 때문도 있다. 일례로 누구나 한 번쯤 받아 본 익명의 대출, 투자, 광고 등의 문자들만 봐도 사람들은 내 개인정보가 어딘가에 유출됐다고 예상한다. 하지만 이런 것까지 일일이 민감하게 받아들이지는 않는다. 고로 내가 유출을 어떻게 받아들이냐에 따라 대응이 달라진다”라고 말했다.
아울러 “물론 모든 유출에 민감하게 반응할 수는 없지만 유출된 정보가 많아질수록 그만큼 큰 침해 사고로 이어질 가능성은 높아지는 게 사실이다. 따라서 각 개인이 좀 더 정보 유출에 경각심을 가질 필요가 있어 보인다”라고 덧붙였다.
기업, 랜섬웨어 피해 심각해 보안 사고 경각심 높여야
기업의 경우, 정보 침해 사고 경험률은 감소했지만 랜섬웨어, 악성코드 등으로 인해 피해의 심각성은 더욱 커지고 있는 상황이다.
2021년 정보보호 실태 조사에 따르면, 국내 기업의 1%가 해킹, 악성코드, 디도스 공격 등으로 인한 침해 사고를 경험했는데, 침해 사고 유형으로는 랜섬웨어가 47.7%로 가장 높게 나타났다. 이어 ‘악성코드에 의한 공격(41.9%), 사내 데이터나 전산 시스템에 대한 외부로부터의 비인가 접근 등 해킹(11.4%)’ 순이다.
주목할 점은 랜섬웨어로 인한 피해의 심각성이 계속 높아지고 있는 점이다. 정보 침해를 경험한 기업의 37.3%가 랜섬웨어에 대해 ‘매우 심각’하다는 답변을 내놓았다. 매우 심각하다는 답변이 악성코드 외에 다른 피해 유형(외부 해킹, 피싱·파밍·스미싱, 내부 인력에 의한 정보 유출)에서는 전혀 나타나지 않은 것으로 보면 그 차이가 확연히 드러난다.
정보 침해에 대한 대응에서는 침해를 경험한 기업의 27.7%만이 대응 활동을 하고 있으며, 72.3%는 별다른 대응을 하지 않는 것으로 나타났다.
대응 활동 유형으로는 ‘침해 사고 대응 계획 수립’이 15.4%로 가장 높았고, 침해 사고 발생 또는 발생 징후 인지 시 대처를 위한 긴급연락체계 구축(14.4%), 사고 복구 조직 구성(6.1%), 침해사고 대응팀 운영(4.7%), 침해 사고 대응을 외부 전문 기관에 위탁(3.5%) 순이었다.
또한 정보 침해를 당한 기업의 1.9%만이 관계 기관에 문의 또는 신고를 하고 대다수는 그렇지 않은 것으로 나타났다.
대신 기업들은 정보 침해 사고에 대응을 위해 대외적인 민간 협력 채널을 활용하고 있었다. 여기에는 SKT, LG, KT 등 통신 3사가 39.7%로 가장 높았으며, 다음으로 시스템 개발·유지보수 업체 24.7%, 정보 보호 기업 17.9% 등이었다. 한국인터넷진흥원 등 정보 보호 관련 공공 기관, 협회 등은 3.7%에 머물렀다.
또한 기업들이 정보 침해 사고 예방·사후 처리를 위해 하고 있는 관리·기술적 조치는 모두 전년 대비 감소한 것으로 나타났다. 관리적 조치는 95.2%로 2%, 기술적 조치는 95.8%로 2.6% 감소했다.
세부적으로 관리적 조치에서는 개인정보 침해 사고 예방에 관한 매뉴얼 수립(91.8%)가 가장 높았고, 다음이 개인정보 침해 사고 사후 처리방침 수립(87.1%)이었다. 기술적 조치로는 백신 소프트웨어 설치·운영 등 컴퓨터 바이러스에 의한 침해 방지 조치가 가장 높았다.
기업의 정보 침해 대응을 위한 예산 수립률의 경우 66.6%로 4.8% 증가했으며, 기업의 IT 예산 중 정보 보호 예산 비중은 1% 미만(55%), 1~5% 미만(10.9%), 5% 이상(0.8%)로 순으로 나타났다.
한국정보보호산업협회의 한 연구원은 “최근 기업의 정보 침해 사고에 대한 대응 활동이 늘어나는 것은 긍정적인 변화다. 다만 네트워크 서버 등을 노린 랜섬웨어, 악성코드의 침입이 많아 각 피해의 심각도가 커지고 있어 주의가 필요하다. 또한 이런 이유로 침해 사고 발생 시 기업들 대다수가 인터넷 서비스를 제공·관리하는 통신사에 접촉하고 있는 것으로 보인다”라고 설명했다.
이어 “정보 침해 대응에 있어 정보 보안 기업이나 관련 공공 기관에 신고나 문의를 하는 수치는 상대적으로 낮게 나왔는데, 이는 어떻게 보면 기업들의 보안 사고에 대한 경각심이 낮다고도 볼 수 있다. 피해의 심각도를 낮추려면 관련 기관과 적극적으로 소통하는 등 보안 사고에 대한 경각심을 높일 필요가 있다”라고 말했다.
