대규모 개인정보 유출 사고는 끊임없이 발생하고 있다. 페이스북, 메리어트호텔, 여기어때, 하나센터 등 국내외에서 개인정보 유출 사고가 쉼 없이 발생했다.
특히 돈이 되는 ‘금융정보’는 공격자들이 가장 선호하는 데이터다. 최근 금융기관들이 클라우드 전환과 디지털 트랜스포메이션을 통한 금융 서비스 혁신에 나서고 있지만, 데이터 보호에는 소홀하다. 탈레스 이시큐리티 보고서에서는 금융기관 65%가 데이터 유출 문제를 겪었으며, 76%는 민감 데이터를 클라우드에서 사용하고 있지만 암호화와 같은 데이터 보호 투자는 소극적이라고 분석했다.
금융보안원의 ‘금융권 보안위협’에서는 금융소비자를 노리는 공격자의 수법이 교묘해 질 것으로 전망하며, 공격자가 탈취한 개인 금융정보 등을 거래하는 불법 블랙마켓이 활성화되고 보이스피싱에 사용되는 악성앱이나 암호화폐 채굴용 악성코드도 지능화될 것으로 보인다고 밝혔다.
공격자들이 개인정보를 탈취하는 방법은 직접 시스템을 해킹하거나 DB 서버에 접근할 수 있는 관리자 계정을 탈취해 정상 권한으로 접근해 빼내는 방법, 그리고 기 유출된 계정정보를 이용하는 크리덴셜 스터핑이 있다.
시만텍은 이에 더해 보안이 허술한 소비자 IoT 기기에서 전송중인 데이터를 가로채고, 여기에 포함된 개인정보를 탈취할 것으로 예상했다. 가정용 라우터 혹은 IoT 허브를 통과하는 데이터에서 은행 계정정보, 신용카드 정보를 탈취하며, 기밀정보 탈취를 위해 피싱 페이지로 사용자를 유도할 수 있다.
“개인정보 규제 강화로 IT 비즈니스 어려움 겪어”
개인정보 유출로 인한 피해가 늘어나면서 세계 각국 정부는 기업/기관의 개인정보 보호 책임을 강화하는 방안의 규제를 제정하고 있다. 2018년 5월 시행된 EU GDPR이 그 대표적인 예이며, 다른 국가들도 이에 버금가는 수준 혹은 그보다 강화된 수준의 개인정보 보호 규제를 시행하고 있다.
이스트시큐리티의 ‘2019년 보안 위협 전망’ 보고서에서는 “많은 국가에서 자국민의 개인정보 주권을 위한 다양한 정책들을 공표하고 시행할 것이며, 이에 따라 다양한 국가의 요구 사항을 만족시켜야 하는 만큼 글로벌 IT 기업들이 사업을 전개하는데 어려움이 있을 것으로 예상된다”고 지적했다.
팔로알토네트웍스는 특별히 아시아 태평양 국가의 데이터 보호 규정 강화를 주목했다. GDPR과 같은 고아범위한 데이터 규제가 등장하기까지는 다소 시간이 걸릴 수 있으나 각 기업에서 불필요한 개인 데이터 수집을 최소화하는 방향으로 보안 정책을 시행하고 있다고 설명했다.
개인정보 보호 규제가 강화되는 것은 어쩔 수 없는 흐름이지만, 이로 인한 부작용에 대한 우려도 나온다. 시만텍은 “지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위해 심지어 일반 정보조차도 공유하지 못하도록 막을 수 있다. 보안과 개인정보 보호 규정이 허술하게 수립된다면 다른 취약점을 해결한다 해도 새로운 취약점을 만들어 낼 수 있다”고 경고했다.
