오영택 이글루시큐리티 인프라컨설팅팀 차장

[컴퓨터월드]

▲ 오영택 이글루시큐리티 인프라컨설팅팀 차장


개인정보의 범위 확장

모든 것이 디지털화돼 저장되고 분석되는 정보화 시대가 도래함에 따라 개인정보의 가치는 날로 높아지고 있다. 이에 따라 개인정보 노출에 대한 사회적 우려와 보호의 필요성 역시 함께 증가하고 있으며 개인을 식별할 수 있는 작은 정보도 개인정보라 여겨질 만큼 그 기준이 확대되고 있다. 물론 개인 정보를 노리는 사이버공격 또한 늘어나고 있는 추세다.

사이버공격에 대응하기에 앞서, 우리는 먼저 보호해야 하는 대상인 개인정보가 도대체 무엇인지 알아야 한다. 개인정보보호법 제 1장 2조에 따르면, ‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 것을 포함)를 말한다.

즉, 개인정보란 그 상황과 환경에 따라 개인을 식별할 수 있는 모든 정보를 총칭하는 것이다. 통상적으로 우리가 알고 있는 개인정보와 상황에 따라 개인정보로 볼 수 있는 항목은 다음과 같다.

▲ 개인정보의 유형(출처: 이글루시큐리티)

특히, IoT 관련 서비스가 증가하면서 개인정보 범위는 더욱 확장될 것으로 예상된다. 따라서 IoT 보안 및 개인정보보호 이슈에 대비한 개인정보 개념의 재정립, 사전동의제도의 보완, 비식별 조치를 통한 개인정보 활용 가능성 증대 등에 대한 대응은 반드시 필요하다고 할 수 있다.


개인정보보호법 강화 및 개정

앞에서 언급한 것처럼 개인정보의 중요성이 강조되고 개인정보의 범위가 확대되면서 개인정보보호법도 한층 강화되고 있다. 강화된 내용은 주로 개인정보 유출에 대한 책임, 손해배상 그리고 개인의 권리에 대한 부분이다. 최근 2년간 개정된 개인정보보호법을 살펴보면 아래와 같다.

법정·징벌적 손해배상제 도입('15.7.24 개정, '16.7.25 시행)

▲ 법정·징벌적 손해배상제(출처: 개인정보보호법)

법정 징벌적 손해배상제도가 도입됨에 따라 개인정보유출 사고의 피해자들은 손해 배상을 받을 수 있는 가능성이 더욱 높아졌다. 일반적으로 민사상 손해배상 청구 소송에서 피해자는 자신이 입은 손해를 직접 입증해야 했기 때문에 기업의 잘못으로 피해를 입은 경우, 개인들이 손해배상을 받는 것이 쉽지 않았다. 기업을 상대로 개인들이 입은 손해를 직접 입증하기가 쉽지 않았던 것이다.

그러나 입증 책임이 피해자에서 기업으로 옮겨감에 따라 해당 업체는 결백을 증명하지 못하면 보상의 의무를 지게 된다. 피해자들은 징벌적 손해배상 청구를 통해 피해액의 3배 이내에 해당되는 배상금을, 법정 손해배상 청구를 통해 300만원 한도 내에서 배상금을 받아낼 수 있게 됐다.

개인정보보호위원회의 기능 강화('15.7.24 개정, '16.7.25 시행)

개인정보보호위원회의 정책 수립 및 조정 기능도 강화됐다. 3년 단위로 수립되는 범정부 차원의 ‘개인정보보호 기본계획’ 수립 권한이 행정자치부에서 보호위원회로 이관됐으며 각 기관의 정책, 제도, 법령에 대한 개선권고 및 이행점검 기능이 신설됐다. 또 개인정보 침해요인평가제가 도입돼 위원회는 개정 법령안이 개인정보보호 원칙을 준수하고 있는지를 평가하고 개인정보를 침해할 우려가 있는 경우, 법령안의 개선을 권고할 수 있는 권한을 부여받았다.

그 뿐만 아니라 위법행위의 감시와 권리구제 기능이 강화돼 개인정보처리자의 위법행위를 인지하는 경우 소관 중앙행정기관에게 조사를 요구할 수 있게 됐으며, 개인정보 분쟁조정 기능이 행정자치부에서 보호위원회로 이관됐다.

개인정보 수집 출처 고지 의무화, 주민등록번호 수집 법정주의 강화('16. 3. 29 공포, '16. 9. 30 시행)

2016년도부터는 모든 민감정보의 안전성 확보조치가 의무화됐다. 행정자치부는 공공기관 및 5만 명 이상의 고유식별정보를 처리하는 자를 대상으로 고유식별정보 안전조치 의무를 이행했는지에 대한 정기적인 조사를 실시하고 정보주체의 동의에 따라 제3자로부터 개인정보를 제공받은 경우, 출처를 고지하도록 의무화했으며 주민등록번호는 법률, 시행령, 5대 시행규칙에 근거가 있어야 처리할 수 있도록 했다.

개인정보보호법 시행령, 시행규칙 일부 개정안('17. 4. 18. 공포, '17. 10.19. 시행)

2017년도에는 날로 중요해지는 개인정보보호의 흐름에 발맞춘 개인정보보호법 시행령 및 시행 규칙의 개정이 이뤄졌다. 먼저, 개인정보 유출에 따른 행정안전부장관 또는 전문기관의 기술지원 대상범위 확대에 따라 개인정보 유출 신고범위를 1만 명 이상에서 1천 명 이상으로 확대·변경했다.

▲ 개인정보보호법과 정보통신망법(출처: 개인정보보호법,정보통신망법)

또 글씨는 9포인트 이상의 크기로 하되 다른 내용보다 20%이상 크게 할 것, 다른 색의 글씨, 굵은 글씨, 밑줄 등을 사용해 명확히 드러나게 할 것, 중요한 내용이 많은 경우에는 별도로 요약해 제시할 것과 같이 개인정보처리자가 정보주체에게 서면으로 동의 받을 시 명확히 표시해야 할 중요한 내용을 규정했다.

그 뿐만 아니라 행정자치부장관을 통해 공공기관이 보유한 개인정보에 대한 열람을 요구하는 경우를 제외하고는 개인정보의 열람, 정정 삭제, 처리정지 요구 시 관련 서식을 따르도록 하는 규정을 삭제했고 개인정보 영향평가 기관지정 신청 절차를 간소화했으며 중소기업자에 대한 과태료 감경 근거를 마련하는 등 개인정보보호를 위한 조치를 한층 강화했다.


개인정보 유출 사고 유형

하지만 안타깝게도, 관련 법규가 강화되는 추세 속에서도 개인정보 유출 사고는 끊이지 않고 있다. 최근 방송통신위원회는 지난 3월 23일에 발생한 한 숙박앱의 개인정보 유출 사고에 대해 과징금 3억 100만 원과 과태료 2,500만 원을 부과했으며 개인정보 유출 사고 최초로 책임자의 징계를 권고했다. 흔한 웹사이트 취약점 공격 중 하나인 SQL인젝션 공격에 의해 해당 업체가 보유하고 있던 고객의 개인정보 99만 건이 유출됐으며 개인정보가 유출된 정보주체에게는 음란문자 4,817건이 발송되는 피해가 발생하기도 했다.

방통위는 해당 업체가 웹페이지 취약점 점검을 하지 않았으며 관리자 페이지의 접근 권한을 과하게 부여한 점, 인사이동 시 취급자의 접근 권한을 지체 없이 변경하지 않은 점 등을 매우 중대한 위반 행위로 보고 위와 같은 과징금을 부과했다.

▲ SQL인젝션 공격 시나리오(출처: 이글루시큐리티)

또 지난 해 5월, APT공격을 통한 해킹으로 인해 2,500여만 건의 회원 정보가 유출된 온라인 종합 쇼핑몰에게는 사상 최대 금액인 44억 8,000만 원의 과징금과 2,500만 원의 과태료, 재발방지 대책 수립 시행 등의 시정 명령이 부과되기도 했다.

이 업체는 개인정보처리시스템의 최대 접속시간 제한 조치를 하지 않고 보안성이 떨어지는 가상화 방식의 망분리, 공용 계정을 사용했으며 백업 파일의 관리 미흡, 그리고 개인정보처리시스템에 접속할 수 있는 비밀번호를 평문으로 기록해 텍스트 파일 형태로 저장하는 등 개인정보보호를 위한 기술적, 관리적 보호조치 의무를 위반해 개인정보가 유출된 것으로 나타났다.

▲ 고객정보 유출사고 APT공격 시나리오(출처: 이글루시큐리티 보안분석팀)

개인정보 유출 공격은 날로 지능화, 정교화 그리고 조직화되고 있다. 과거와 달리 공격을 위해 치밀한 계획을 사전에 수립하는 등 지능화 하고 있으며 한 명이 아닌 다수의 해커가 모인 그룹을 통해 이루어지기도 하고, 유출된 개인정보를 통해 2차 해킹으로 이어질 수 있는 위험성이 존재하기도 한다. 더욱이 개인정보의 유출을 통해 많은 이익을 낼 수 있기 때문에 이를 노리는 공격은 계속해서 증가하는 추세다.


개인정보보호를 위한 보안 기술

그렇다고 해서, 이에 맞서는 보안 기술이 제자리걸음만을 하고 있는 건 아니다. 개인정보를 보호하기 위한 기술 역시 개인정보처리시스템의 변화에 따라 진화하고 있다.

과거와 달리 응용프로그램이 대부분 웹 기반으로 바뀌면서 웹에 대한 취약점 및 웹 해킹 공격이 증가했고 스마트폰 이용률이 빠르게 증가하면서 모바일 환경에서의 공격 또한 늘어나고 있다. 이에 웹 환경, 모바일 환경에서 개인정보를 보호하기 위한 보안 기술도 발전하고 있는 추세다.

개인정보를 노리는 공격은 파일이나 게시판을 표적으로 하는 경우와 데이터베이스를 표적으로 하는 두 가지 경우로 분류할 수 있다. 그리고 이 두 방식에 대응하기 위한 보안 기술은 다음과 같다.

파일이나 게시판과 같은 텍스트 유출 방지를 위한 기술 형태
웹에서 개인정보 유출을 진단하고 차단하는 기술은 필터링과 모니터링이 있다. 필터링은 개인정보 유출차단을 위해 사용되며 모니터링은 개인정보 유출탐지를 위해 사용된다. 개인정보 유출차단은 파일을 웹 서버에 업로드하거나 글을 게시할 경우, 파일이나 텍스트의 특정 문자열을 키워드 및 패턴 매칭을 통해 업로드되는 정보가 유출되는 것을 방지하는 방식으로 이뤄진다.

개인정보 유출탐지는 웹 서버 내에 존재하는 고유식별번호, 휴대폰 번호, 계좌번호와 같은 개인정보들과 첨부파일에 저장돼 있는 개인정보에 대한 지속적인 감시를 수행해 유출 가능성이 있는 정보를 찾아내 사전에 방지하는 것이다. 하지만 이러한 기술을 뚫고 개인정보가 유출됐을 때를 대비해 사용하는 기술도 존재하는데, DRM과 DLP가 대표적이다.

DRM(Digital Rights Management)은 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하기 위한 용도로 사용되며 인증절차를 거치지 않고는 사용하지 못하도록 막는 기술이다. 암호화 기술을 이용한 문서유출 방지와 문서별, 사용자별 권한 부여 및 출력 제한, 복사 제한, 편집 제한, 부분복사 제한, 유효 기간 설정 등의 제어를 통해 콘텐츠의 불법 도용 및 무단 복제를 방지한다.

DLP(Data Loss Prevention)는 엔드 포인트와 네트워크 두 가지 방식을 결합해 저장 위치나 사용 위치에 상관없이 데이터를 보호하는 기술이다. 이 기술은 파일 서버, 문서, 이메일, 웹사이트, 데이터베이스의 노출될 데이터를 정확하게 찾아 암호화, 스토리지 계층화, 아카이빙을 통해 정보의 유출을 방지한다.

▲ 네트워크 기반의 개인정보 유출방지 시스템 구조(출처: 이글루시큐리티)

데이터베이스 유출 방지를 위한 기술 형태
데이터베이스에서 개인정보가 유출되는 것을 방지하기 위한 기술로는 크게 암호화와 접근제어, 그리고 데이터베이스의 삭제감사를 통해 비정상적인 SQL문을 탐지하는 방식으로 나뉜다. 데이터베이스 접근제어 방식은 말 그대로, DB에 대한 접근을 통제하는 방식이다. 데이터 자체에 대한 보안이 떨어진다는 단점이 있지만 실시간 감시 차단 및 접근 이력을 기록해 자료의 재분석을 통한 대책 마련이 가능하도록 하며 속도가 빠르고 운영이 간단해 시스템에 부하를 주지 않는 것이 특징이다.

데이터베이스 암호화 방식은 자료를 암호화해 자료가 유출되더라도 알아볼 수 없게 만들지만, 데이터베이스 시스템에 직접 설치 및 운영되기 때문에 상대적으로 처리 속도가 떨어진다는 단점이 있다. 데이터베이스 정보감사는 정확한 감사를 위해 데이터베이스 활동을 기록하고, 정책 변경과 암호화된 컬럼에 대한 작업 내역 및 SQL 작업에 대한 내역을 기록하고 보관해 생성된 자료를 바탕으로 감사를 실행하는 방향으로 진행된다.

▲ 데이터베이스 개인정보 유출방지 시스템 구조(출처: 이글루시큐리티)


개인정보보호 위한 기술의 변화

개인정보처리시스템의 다변화 및 증가에 따라 개인정보보호를 위한 기술과 보안시스템도 증가하고 있으며 수많은 보안 시스템의 대용량 로그들을 일일이 분석한다는 것은 이제 사실상 불가능한 일이 됐다. 따라서 이를 보완하기 위해 많은 기업 및 기관들은 통합보안관리 솔루션이나 로그관리 솔루션을 활용해 여러 장비의 로그들을 통합해 관리하고 있지만, 이기종의 로그들을 한 곳에 모았다고 해서 개인정보보호를 위한 만반의 준비를 갖췄다는 의미는 아니다.

보다 확실한 개인정보보호를 위해서는 이기종간의 보안 로그들을 수집한 것에서 더 나아가, 단위 로그별 키워드 검색을 통한 상호 연관 분석이 가능해야 하며, 지금까지의 개인정보 유출 시나리오 및 여러 상황의 시나리오 기반 정책을 수립해 이상 징후를 탐지할 수 있어야 한다. 또 접근 권한에 따른 개인정보의 처리에서도 정당한 절차가 맞는지 아닌지를 파악하고 유출을 사전에 탐지 및 차단할 수 있어야 할 것이다.

이를 위해 개인정보 유출탐지가 가능한 통합관제체제를 구축하는 것이 무엇보다 중요하다. 관련 징후 발견 시 즉시 차단할 수 있는 절차를 사전에 수립해 신속하게 정보 유출의 위험을 탐지하고 대응에 나서야 한다. 더욱이 개인정보 통합 관제 시에는 개인정보 현황뿐 아니라 위험도, 위험지수, 위험전파현황, 외부전송 유통현황과 같은 개인정보의 종합적인 상태도 함께 모니터링 할 수 있어야 한다.

▲ 통합보안관리 솔루션 ‘스파이더(SPiDER) TM V5.0’(출처: 이글루시큐리티)


개인정보보호 위한 안전한 체계 완성

한국인터넷진흥원(KISA)에 따르면, 최근 5년간 개인정보 노출 홈페이지의 수는 절반으로 감소했으나 노출 건수는 약 9배 증가했으며 비영리법인단체 홈페이지에서의 대량 노출이 빈번하게 발생했다.

개인정보가 노출 된 유형별 원인을 살펴보면, 개인정보 취급자에 의해 게시글 또는 댓글에 정보가 포함된 첨부파일이 업로드 되거나, 홈페이지 이용자에 의해 게시글 또는 댓글에 개인정보가 포함된 경우 등 관리자의 부주의에 의한 경우가 많았다.

또한 홈페이지의 설계 및 관리 미흡으로 URL, 소스코드 내 개인정보가 노출되거나, 게시글 작성 중 임시페이지가 노출되거나, 관리자 페이지 접근제어 미흡으로 인해 노출된 경우도 잦았다. 작년 홈페이지의 개인정보 노출 유형을 보면 첨부파일 노출이 42.7%, 홈페이지 이용자 부주의가 33.6%, 관리자 페이지 접근제어 미흡이 14.1%로 나타났다.

▲ 최근 5년간 개인정보 노출 추이(출처: 한국인터넷진흥원)

취약점에 의한 개인정보 유출을 막기 위해서는 하루가 멀다 하고 공개되는 보안 취약점에 대한 사전 점검을 수행하는 게 가장 최선이라고 할 수 있다. 그러나 현실적으로 취약점이 새롭게 공개 될 때마다 자산을 파악하고 진단, 조치하는 일은 매우 번거로우며 새로운 서비스에 의해 구축되는 시스템과 서비스에 의해 생성되는 페이지 및 게시글에 대해 일일이 점검하는 것 역시 쉬운 일이 아니다.

이러한 문제점을 보완하기 위해 최근에는 자산관리와 취약점 점검을 함께 할 수 있는 보안 취약 자산관리 시스템이 등장했으며, 이를 활용해 사전에 취약점을 제거하고 대응하는 기업들이 늘고 있다.

▲ 보안 취약 자산관리시스템 ‘스마트 가드’(출처: 이글루시큐리티)


개인정보보호 위한 완벽한 안전체계 수립

빅데이터 기반의 4차 산업혁명과 지능정보시대가 도래함에 따라 개인정보의 보호 및 올바른 활용의 중요성이 크게 강조되고 있다. 기업이나 기관들은 그들이 보유하고 있는 수많은 보안 시스템들을 통합적으로 운영하고 분석해 시너지를 낼 수 있는 안전체계를 수립해 개인정보를 노리는 공격을 탐지하고 대응하는 것이 바람직하다.

한 단계 더 나아가 근본적인 해결을 위해 취약점을 사전에 제거, 개인정보를 노리는 경로를 미리 차단해 대비한다면 보다 안전한 개인정보보호 체계가 수립될 것이다. 100% 안전한 보안은 없다. 그러나 100%에 가까워질 수 있는 방안은 존재하기 마련이다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지