개인정보 유출, ICT 기술 발전과 함께 지속적으로 발생한다

[CCTV뉴스=이승윤 기자] 지난해 3월 페이스북 가입자 5000만 명의 개인정보가 미국 대선 후보를 위해 일하고 있는 기업에 대량으로 넘어가는 대형 개인정보 유출 사건이 발생했다. 이 사건으로 인해 페이스북은 약 39조원의 주가가 하락하는 피해와 함께 개인정보 유출을 우려한 사용자들의 대규모 탈퇴가 나타났다. 이처럼 기업과 개인에 큰 피해를 주고 있는 개인정보 유출 이슈는 올해도 지속적으로 나타날 것으로 예상되며, 클라우드 확산과 더불어 유출사고인 주요 원인이 다중 이용 서비스의 취약점이나 해킹으로 인해 개인정보 유출이 증대될 것으로 전망되고 있다.

끊임없이 발생하고 있는 개인정보 유출 사고

페이스북의 대형 개인정보 유출 사건과 같은 개인정보 유출 사건은 전세계적으로 끊임없이 발생하고 있다. 특히 빅데이터 등의 ICT 기술이 개인정보가 중요한 자산으로 주목받으면서, 이를 노린 사이버 공격이 많이 나타나고 있다.

2013년 10월 3일 포토샵과 아크로뱃 등과 같은 그래픽 프로그램과 솔루션을 보유하고 있는 미국 소프트웨어 개발 회사 어도비 시스템즈가 해커의 공격으로 받아 약 290만 명의 가입자개인정보가 유출됐다. 당시 유출된 개인정보에는 신용카드 정보와 어도비 계정 아이디, 비밀번호 등이 포함됐으며, 아크로뱃, 콜드퓨전, 콜드퓨전 빌더 3개의 소스코드와 함께 사진 편집 프로그램으로 유명한 포토샵의 소스 코드도 일부 유출됐다.

2016년 5월 국내 인터넷 쇼핑몰 업체인 인터파크에 해커의 사이버 공격으로 인해 약 1000만 건의 개인정보 유출되는 사건이 발생했다. 당시 사건을 수사한 경찰청 사이버안전국은 인터파크 DB 서버가 해외 IP를 통해 접속한 해커의 사이버 공격으로 1030만 건의 고객정보가 유출됐다고 파악했으며, 유출된 개인정보는 고객 아이디와 이름, 생년월일, 전화번호, e메일 주소 등이 포함된 것으로 나타났다. 이 사건으로 인해 인터파크는 신뢰도 하락과 함께 방송통신위원회(이하 방통위)로부터 개인정보 유출사고 중 최대 금액인 44억 8000만원의 과징금과 2500만원의 과태료가 부과됐다. 이외에도 아이핀, 빗썸, 아프리카TV 등이 해킹 공격으로 인해 개인정보가 유출되는 사고가 발생했다.

2019년, 개인정보 유출 지속적으로 발생될 것

끊임없이 발생하고 있는 개인정보 유출 사고는 올해도 지속적으로 발생할 것으로 전망되고 있으며, 특히 클라우드 확산과 ICT 기술의 발달함에 따라 유출 사고는 증가될 것으로 예상되고 있다. KISA 김주영 개인정보대응센터장은 “4차 산업혁명을 위해 다양한 ICT 시스템이 협업·연결·융합 등으로 대형화되면서 유출 가능성 또한 더욱 확대될 것”이라며, “최근 다량의 유출사고 원인이 되고 있는 다중 이용 서비스(웹호스팅, 통합관리솔루션 등)의 취약점이나 해킹으로 인한 개인정보 유출이 증가할 수 있다”고 말했다.

또 대기업을 제외한 대부분의 일반기업들은 개인정보보호를 위한인력이나 예산 확보가 어렵다는 부분도 2019년에 개인정보 유출이 증가될 것으로 전망되는 하나의 이유로 지적되고 있다. 개인정보보호를 위해서는 전담인력 또는 부서 중심으로 기업 전사적 차원에서 보호가 이뤄져야 하는데 대부분의 기업들의 이 부분에 투자가 어려운 것이 현실이다.

KISA 김주영 개인정보대응센터장은 “특히 중소 또는 영세기업은 개인정보보호를 위한 전담인력을 구성하지 못하는 현실적인 어려움이 있다”며, “신기술로 무장한 스타트업의 경우 영세기업인 경우가 많아 개인정보 보호에 더 소홀해질 수밖에 없는 구조적인 문제점을 가지고 있다”고 말했다.

개인정보, 유출 대응과 함께 활용에 대한 방안도 필요

올해도 개인정보 유출이 지속적으로 나타날 것이라고 전망됨에 따라 대응 대책이 필요한 상황이다. 먼저 기업에서는 개인정보 유출에 방어하기 위해서는 개인정보처리 시스템에 대한 취약점 점검과 모의 훈련 등 지속적인 관심과 함께 정보보호 투자와 임직원 교육등이 필요하다.

또한, 법에서 제시하고 있는 최소한의 보호조치인 개인정보의 안전성 확보조치 기준이나 기술적·관리적 보호조치 기준의 반영이 필요하다. KISA 김 센터장은 “만약 개인정보 유출사고가 발생할 경우 정보주체와 이용자에게 유출된 항목, 발생시점, 대응조치 등을 빠르게 통지하고, 유출건수가 일정 규모 이상인 경우에는 관계당국 신고가 중요하다”고 말했다.

개인정보는 4차 산업혁명시대에 나타난 인공지능(AI) 블록체인(Block Chain), 클라우드(Cloud), 빅데이터(Big Data) 등에 중요한 데이터로 활용될 수 있다. 이에 다양한 나라에서는 개인정보를 활용할 수 있도록 법을 개정하고 있으며, 국내는 개인정보보호법 개정을 준비하고 있다. 이번에 준비하고 있는 개정안은 정보통신망법을 일원화하고 독립적인 통합감독기구를 출범시킨다는 내용을 담고있다. KISA 김주영 개인정보대응센터장은 “이번 개정안은 새로운 통합감독기구가 데이터 활용을 제약하고 보호에 너무 치중할 것이라고 우려와 함께 가명 정보의 활용 방안 도입 등 규제 완화가 개인정보 보호 약화를 초래할 것이라는 우려가 동시에 존재하고 있다”고 말했다.

이에, KISA는 4차산업혁명에 발맞춰 기업의 데이터를 활용한 데이터 경제 구축에 도움이 될 수 있도록 개인정보보호 관계법령 적합성 검토, 개인정보 정의 규정 재검토와 식별기준 정립, 시행령/고시 등 하위법령 통합 정비 작업 지원 등을 준비하고 있다. KISA 김 센터장은 “지원과 함께 KISA가 내부적으로 보유하고 있는 사이버 위협정보, 불법스팸 정보 등을 공유해 다양한 보안 제품과 서비스개발에 기여하여 등 데이터 경제 활성화를 위해 노력할 것”이라고 말했다.