[안랩 보안 바로 알기 캠페인(Know the security)]9회: 개인정보보호 바로 알기

2014.02.12

 

본 자료는 보안에 대한 올바른 정보 전파를 통해 자신과 직장의 정보와 재산을 보호하기 위한 안랩의 보안지식 공유 캠페인인 ‘보안 바로 알기(Know the security) 캠페인’의 일환으로 제공해드리는 자료입니다.

안랩(CEO 권치중, www.ahnlab.com)은 ‘보안 바로 알기(Know the security) 캠페인’의 일환으로 ‘백신 바로 알기’, ‘APT 바로알기’, ‘보안 종결론 바로 알기’, ‘위장 악성코드 바로 알기’, ‘인터넷뱅킹 보안위협 바로 알기’, ‘백신진화 바로 알기’, ‘스미싱 바로 알기’, ‘스피어피싱 바로 알기’에 이어 <아래> 정보를 안랩의 블로그 및 SNS를 통해 배포했습니다.

 

---< 아  래 >---

 

최근 우리 사회를 떠들썩하게 했던 신용카드 사 개인정보 유출 사건이 있었습니다. 그리고 이와 비슷한 시기에 미국 대형 마트 체인에서 지난해 매장에 설치된 POS단말기가 해킹돼 고객의 개인정보 7천만건과 카드 정보 4천만건이 유출되는 사고가 일어나기도 했습니다. 그 이전에도 우리나라의 포털, 온라인 쇼핑몰 등의 수천만 건에 달하는 개인정보유출, 미국 카드사 해킹으로 35만건, 2012년 중국 마케팅 서비스 회사의 1억 5천만 건 등 전 세계는 개인정보유출과 전쟁을 하고 있다고 해도 과언이 아닙니다.

 

 

점점 디지털화 되어가는 사회는 예전에는 상상으로만 가능하던 편리함을 우리에게 가져다 주기도 하지만, ‘잊혀질 권리’와 개인정보보호에 대한 고민을 함께 던지고 있습니다. 안랩의 아홉 번째 보안 바로 알기(Know the security) 캠페인은 개인정보보호에 대해 바로 알아 보겠습니다.

 

 

개인정보는 무엇인가?

 

개인정보는 무엇일까요? 내 주민번호만이 개인정보일까요? 아니면 내 전화번호? 다니는 학교/직장, 내가 좋아하는 음식? 내가 좋아하는 연예인? 내 포털 아이디? 개인정보 유출에 대해 알아보려면 먼저 개인정보가 무엇인가에 대해 제대로 알아야 합니다.

 

 

2011년에 제정된 개인정보보호법에 의하면, 개인정보란 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보”라고 되어 있습니다. 각별히 유의할 사항은 하나의 정보만으로는 특정 개인을 알아볼 수 없더라도, 다른 정보와 쉽게 결합하여 개인을 식별할 수 있다면 이는 개인정보에 포함된다는 사실입니다.

 

 

여기에는 성명, 주민등록번호, 주소, 연락처 등 일반정보, 소득, 재산상황, 신용, 부채, 신용카드번호 등 경제정보, 학력, 성적, 병역, 직업, 자격증 등의 사회정보, 전자우편, 통화내용, 인터넷 접속 IP, 로그(log)와 같은 통신정보, 사상, 신념, 노동조합‧정당의 가입탈퇴, 정치적 견해, 건강 등 민감정보가 모두 해당됩니다.

 

 

개인정보 유출이 왜 위험한가?

 

유출된 개인정보는 어떻게 활용하는가에 따라 단순 불편 유발부터, 개인정보 결합을 통한 금전피해, APT 공격까지 위험도가 달라질 수 있습니다.

 

 

지금까지 유출된 개인정보를 활용한 사례를 보면, 보이스피싱 및 불법 마케팅, 대출 권유 등에 사용된 경우가 많습니다. 한번도 출입하거나 방문하지 않았던 도박 사이트나 유흥업소, 원치않는 대출 권유, 보이스피싱으로 의심되는 법원, 검찰, 경찰청의 전화나 문자를 받아본 적 있다면 의심해 볼 만 합니다. 참고로, 미국 미국 대형마트 체인에서 발생한 카드정보 유출의 경우, 소유자 이름, 카드번호, 카드 만료 날짜, CVV(CVC)번호 등이 포함되어 있어, 이를 이용한 불법 신용카드(마그네틱)로 2차 금융피해도 발생할 수 있다고 전문가들은 지적하기도 했습니다.

 

 

유출된 개인정보는 스미싱이나 모바일 불법 소액결제에도 이용된 적이 있습니다. 최근 발견되는 스미싱 문구의 경우, 스마트폰 해킹으로 탈취한 사용자 주소록 내 이름 및 전화번호와 사전에 유출된 주민번호 등의 개인정보를 결합해 개인별 맞춤형 스미싱 문자를 전송한 경우가 있었습니다. 이 방법은 문자에 명시된 이름과 정보가 수신자와 정확히 일치해 의심하기가 더욱 어렵습니다. 다. (예시: OOO님 [법무원]등기발송하였으나 전달불가 1**.2**.2**.1** (부재중)하였습니다 간편조회 / ***님의 차량이 무인단속장비에 적발되었습니다 gi*****.**.kr 확인 후 처리바립니다)

 

 

또한 2012년 말부터 스마트폰에서 발견된 ‘체스트’ 악성코드의 경우, 공격자가 감염시켜 획득한 통신사 정보와 미리 보유한 전화번호와 주민번호를 조합해 소액결제를 시도합니다. 이 때, 결제 시스템으로부터 전달된 인증번호가 포함된 문자메시지도 가로채서 결제를 완료합니다. 이로 인해 실제 피해가 발생했다는 언론보도도 있었습니다. 

 

 

더 넓게 보면, 탈취된 개인정보는 APT와 같은 지능형 타깃 공격에 이용될 수도 있습니다. 예를 들어 만약 공격자가 수천만 개의 흩어져있는 개인정보를 오랜 기간 데이터마이닝(data mining)을 통해 의미 있는(여기서는 '의미있는'은 금전피해를 야기할 수있는 정보조합 등 공격자에 유익한 것을 뜻합니다) 정보들을 조합해낸다면, 특정인의 이름, 소속, 주민번호, 포털 ID, 패스워드, 연관 주소록 등을 뽑아낼 수 있을 것입니다. 그럼 이 ID로 악성코드를 포함한 스피어피싱 메일을 지인에게 보낼 수도 있고, 악성 앱 설치를 유도하는 스미싱 문자를 보낼 수도 있습니다. 아는 사람에게서 온 메일은 당연히 의심하지 않고 열어볼 확률이 더 클 수밖에 없습니다. 또한, 이 전 ‘보안 바로알기’에서도 말씀 드렸듯 스피어피싱 메일은 APT 공격의 시작점이 될 수 있습니다.

 

 

어떻게 막을 수 있나?

 

개인정보보호에는 세가지 주체가 있습니다. 기관, 기업, 개인이 바로 그 주체인데요, 결론부터 말씀 드리면 이 세 주체 중 하나만 잘 한다고 해서 해결되는 것이 아니라는 것입니다.

 

 

기관의 경우, 개인정보보호에 필요한 다양한 법제와 규제 등을 제공하고, 이것이 실제로 잘 적용되는 지 감시하는 역할을 합니다. 현재 개인정보 관련해서, '개인정보보호법'과 '정보통신망 이용촉진 및 정보보호 등에 관한 법'이 개정된 바 있고, '주민등록번호 처리금지', '개인정보 유출 시 통지' 등이 두 법에서 모두 의무화되었습니다. 금융분야에서는 '전자금융거래법' 개정을 통해 금융기관에 정보보호최고책임자 지정이 의무화되었고, 전자금융감독규정은 금융기관이 일정규모 이상의 정보보호인력과 정보보호예산을 갖출 것을 의무화했습니다. 이 정도면 다른 나라와 견주어도 높은 수준의 법 기준이라고 합니다. 하지만, 문제는 이런 법률과 규제를 만드는 것에서 그치지 않고 지속적으로 잘 적용되고 있는지 ‘시장 감시자’로서의 역할을 동반하는 것이 중요하다고 전문가들은 말하고 있습니다. 물론, 개인정보를 다루고 있는 기관에서 이를 지키는 노력을 하는 것은 기본입니다.

 

 

개인정보를 많이 다룰 수 밖에 없는 기업의 입장에서는, 정해진 보안에 대한 룰을 지키는 노력이 필요합니다. 이는 단순 솔루션 도입, 외주업체 관리 매뉴얼 등을 도입하는 것이 아니라 이를 실천하는 것을 의미합니다. 예를 들어, 보안부서의 위상을 격상시켜 대기업 감사실이나 인사조치를 직접 취할 수 있는 수준의 통제 권한과 책임을 부여하거나, 주기적인 보안 교육, 실제 같은 훈련 등을 실행하는 것이 필요합니다. 강력한 법적 처벌이나 제재가 보완책으로 언급되지만, 이보다는 기업 자체의 노력이 중요합니다.

 

 

개인은 대부분 피해자의 입장에 있을 수 있지만, 이것이 최소한의 노력을 안 해도 된다는 의미는 아닙니다. 따라서 개인은 만약 나의 정보가 유출 된 후를 대비하는 것이 좋습니다. 먼저 여러 사이트에 동일한 사용자 계정(ID)와 비밀번호를 사용하지 말고, 비밀번호는 6개월에 한번은 바꾸는 것이 좋습니다. 경품이벤트나 프로모션 등에서 정당한 법적 절차 공지가 없을 때는 개인정보 제공은 피해야 합니다. 정당한 법적 절차가 있다 해도 과도한 개인정보 제공은 자제하는 것이 좋습니다. 또한, 분실위험이 높은 스마트폰을 비롯해 개인 IT기기에는 백신설치 및 비밀번호 설정이 필수입니다.

 

 

세계적인 문화인류학자인 제러드 다이아몬드 교수는 저서 ‘어제까지의 세계’에서 전통사회가 만성적인 위협에 대응하는 방법으로 ‘건설적 편집증’을 언급했습니다. 이는 남이 보면 편집증에 가까워 보일 정도로 안전을 챙기는 행위라고 요약할 수 있는데요, 개인정보 유출이 ‘만성적 리스크’가 된 지금에는 이런 ‘건설적 편집증’의 현대 버전이 필요한 시기가 아닐까 합니다. <Ahn>