소만사가 발표한 국내 이슈 TOP5는 ◇가상화폐 거래소 해킹, 개인정보유출, 폐쇄 ◇해커 한 명의 PC에서 3천3백만 건의 개인정보 발견 ◇KISA개인정보 유출사고 분석: 해킹과 내부자의 고의 유출 ◇주된 소상공인과 대리점의 개인정보 관리문제 ◇북한발 랜섬웨어 공격 확대이다.
해외 이슈 TOP5로는 ◇유럽 GDPR 시행 ◇중국 네트워크 안전법 시행 ◇미국 뉴욕 NYCRR500 시행 ◇야후 30억 명 개인정보 유출사고 ◇미국 신용평가기관 에퀴팩스 개인정보 유출사고를 언급했다.
소만사가 발표한 ‘2017년 국내외 10대 개인정보보호 이슈’ 세부내용은 다음과 같다.
〈국내 이슈 TOP5〉
▲가상화폐 거래소 해킹, 개인정보 유출, 거래소 폐쇄
가상화폐 거래소 ‘유빗(Youbit)’이 계속되는 해킹으로 인해 파산 절차를 밟게 되었다. 유빗은 2017년 4월에 해킹 공격으로 비트코인 3,800여 개를 도난당했다. 12월 다시 해킹 공격을 받으면서 끝내 거래소 패쇄를 선언했다. 해킹 당한 자산은 전체자산의 17%인 약 170억원이다.
국내 최대 비트코인 거래소 중 하나인 빗썸은 6월 해킹으로 인해 개인정보 유출 피해가 발생, 방송통신위원회로부터 4350만원 과징금 및 1500만원 과태료와 함께 책임자 징계권고 등의 행정처분을 받게 되었다. 비트코인 거래소는 금융회사보다 보안관련 규제가 상대적으로 느슨한 만큼 보안이 취약한 비트코인 거래소는 2018년에도 해커들의 공격대상이 될 가능성이 높다.
▲해커 한 명의 PC에서 3천3백만 건의 개인정보 발견
2017년 7월 인터넷을 통해 개인정보를 거래하려다 검거된 한 해커의 컴퓨터에서 3천3백만 건의 개인정보가 발견되었다. 국내 투자선물 A사를 비롯해서 유명 학술논문 사이트까지 총 20개 업체의 개인정보가 유출된 것으로 확인되었다.
▲KISA 개인정보 유출 사고 분석 보고- 해킹과 내부자의 고의 유출
2017년 8월 KISA(한국인터넷진흥원)가 조사한 바에 따르면 2014년부터 2016년까지 발생한 개인정보 유출사고의 원인 중 내부직원 및 관리자 부주의로 인한 유출이 14.6%로 해킹 공격(59%) 다음으로 높은 것으로 파악되었다. 내부자의 고객정보 오남용은 기업에 대한 신뢰와 이미지에 큰 타격을 줄 수 있기 때문에 철저한 유출통제 관리가 필요하다. 특히 인터넷을 통해 내부 개인정보 유출이 빈번히 이루어지고 있어 이에 따른 대책이 요구된다.
▲소상공인과 대리점의 개인정보 관리 문제 지속
2017년 12월 방송통신위원회가 통신사 영업점 등 ‘정보통신망 이용촉진 및 정보 보호 등에 관한 법률(정보통신망법) 및 시행령’을 위반한 24개 업체에 대해 과태료 3억 4000만원을 부과하고 시정조치 명령을 내렸다. 그 중에서도 통신사 영업점 8개사는 1천7백만 건의 개인정보를 불법 수집하거나 파기없이 무기한 보관하는 등 정도가 심하다고 판단해 대검찰청에 조사결과를 이첩하기로 했다.
▲개인정보를 볼모로 하는 랜섬웨어, 북한발 해킹의 지속
2017년 5월 미국정부는 전 세계에 발생한 랜섬웨어의 일종인 ‘워너크라이(WannaCry)’ 공격이 북한의 소행이라고 발표했다. 캐나다, 뉴질랜드, 일본 등도 미국 국토안보부의 분석 결과를 보고 동일한 결론을 내렸다.
2017년 5월, 워너크라이 해커들은 MS프로그램의 약점을 이용해 전세계의 최소 23만대의 컴퓨터를 감염시켰고, 컴퓨터에 저장된 파일과 자료를 인질로 삼아 돈을 요구했다. 영국 외무부도 공식적으로 랜섬웨어 공격의 배후로 북한을 지목하면서 악의적인 사이버 활동을 용납하지 않을 것이라고 경고했다. 랜섬웨어의 피해를 최소화하기 위해서는 정기적인 백업과 백업서버의 분리 보관이 이루어져야 한다.
<해외 이슈 TOP5>
▲GDPR, 핵심은 개인정보의 보호와 활용의 균형
GDPR(일반개인정보보호규정)은 EU의 개인정보보보호지침을 대체하는 규정으로 2018년 5월 25일부터 시행된다. GDPR을 위반 시에는 전 세계 연간 매출액의 4% 또는 2,000만 유로 중 더 높은 금액이 과징금으로 부과되어 기업은 큰 손실을 입을 수 있다. 이전과 달리 EU에 사업장이 없더라도 EU 거주 정보 주체에게 서비스를 제공하는 기업들 또한 적용을 받게 되어 주의가 필요하다. 반면 GDPR은 빅데이터 분석을 통한 가치 창출을 위해 규제를 완화하여 가명처리를 취한 경우에는 개인정보를 동의 없이 처리할 수 있다.
▲중국 네트워크보안법 시행… 중국에서 생산, 수집된 개인정보, 데이터는 중국 내 저장
2017년 6월 1일 중국 정부는 새로운 네트워크 보안법을 시행했다. 이 법안은 중국 최초로 사이버 보안을 종합적으로 다룬 법안이다. 네트워크 보안법에는 네트워크 설비 시설 보안, 네트워크 운영 보안, 네트워크 데이터 보안, 네트워크 정보 보안 등에 관한 내용이 포함됐다. 가장 중요한 사항으로는 개인정보를 중국에 강제 보관하게 한 규정이다. 중국 내에서 수집한 개인정보는 중국 내에 저장해야 하며, 2018년 12월부터는 국외 반출이 제한된다. 위반시에는 과징금, 구류 외에 사업정지까지 받을 수 있어 중국에 진출한 국내기업들의 철저한 준비가 필요하다.
▲NYCRR 500 뉴욕주의 모든 금융기관에 적용되는 새로운 사이버보안 규정
2017년 3월 1일, 미국 뉴욕주는 금융기관들의 사이버 보안사고 예방과 고객정보 보호를 위한 사이버 보안 규정인 NYCRR 500을 시행했다. 뉴욕에 있는 한국 금융기관 포함한 모든 금융기관이 적용 대상이다. 기존 금융IT보안 규제와 달리 데이터 중심 보안 체계구축을 위한 조항(유출통제, 파기, 접근통제, 암호화 등)들이 포함되어 있어 데이터 및 데이터가 포함된 정보시스템 보안 강화가 필요하다.
▲야후 개인정보 30억 명 유출사고
2017년 10월 지난 2013년에 발생한 야후(현 Oath)계정 해킹사건의 유출규모가 30억 명인 것으로 드러났다. 애초에 알려진 피해규모 10억 명의 3배에 이르는 수치다. 피해 대상에는 야후 사이트 이외에 야후가 보유한 텀블러, 판타지 스포츠, 플리커 등의 이용자도 포함되어 있었다. 야후는 해킹사건으로 인해 버라이즌 인수 당시 가격이 4천억 원 이상 삭감되는 등 막대한 손실을 입었다. 뛰어난 해킹방어 보안체계를 구축하였던 야후 조차 개인정보 유출사실을 즉각적으로 인지하지 못했다. 이에 유출경로를 전사적으로 파악하고 유출된 데이터를 추적하는 보안정책이 주목을 받고 있다.
▲미국 신용평가기관 에퀴팩스 개인신용정보 유출 사건
2018년 7월 미국 3대 신용평가기관인 에퀴팩스(Equifax)가 해킹을 당해 미국인 1억 4300만 명(미국 전체 인구의 44%)의 개인신용정보가 유출됐다. 규모도 매우 크지만 유출된 정보가 이름, 주소, 생년월일, 이메일 등의 기본 정보는 물론이고 사회 보장 번호, 운전면허 번호 등 중요한 정보도 함께 유출됐다는 점에서 피해가 더욱 심각할 것으로 예상된다. 미국에서는 ‘개인정보가 유출됐다.’는 의미로 ‘에퀴팩스 됐다.’라는 말을 사용하기도 한다. 이번 사건으로 에퀴팩스의 주가가 대폭 하락했고 CIO, CSO, CEO까지 자리에서 물러났다. 즉, 보안 사고에 대한 대중들의 비판이 기업의 경영진에게 까지 영향을 미칠 수 있음을 알 수 있다.
소만사 측은 “2017년은 글로벌 개인정보보호 법규의 변화가 일어났던 해”라며 “2018년에는 유럽, 미국, 중국 개인정보 관련법규 개정에 따른 국내 기업의 대응방향이 주된 관심사가 될 것이다. “국내를 넘어 글로벌 컴플라이언스에 부합하는 솔루션을 지속적으로 개발, 안정화시켜 보안담당자들이 보안위협으로부터 정보자산을 안전하게 지킬 수 있게 하겠다”고 말했다.
★정보보안 대표 미디어 데일리시큐!★