- 2014년 7월 기준 개인정보유출 신고 건수는 총 34건, 9,873만 4,000명의 피해자가 발생(국회 안전행정위 박남춘 의원)
- 개인정보유출 사고 증가에 대한 대응으로 안전행정부, 공정거래위원회 등 정부기관에서 관련 조치를 강화하고 있으나, 개인정보 취급 기업 및 기관 관계자들의 개인정보보호 인식을 높이는 것이 시급
주요 동향
개인정보유출사고 건수가 지속적으로 늘고 있으며, 개인정보 보호를 위한 범국가적인 적극적인 대처가 필요한 상황
2011년 9월 개인정보보호법 시행 이후 안전행정부에 접수된 개인정보유출신고 건수는 2012년 8건(84만 8,000명), 2013년 6건(238만 6,000명), 2014년 7월 기준 34건(9,873만 4,000명)으로 전년 대비 5배 이상 증가(안전행정위원회 박남춘 의원)
2014년 1월 개인정보 대량유출 사태2) 이후 7월까지 추가로 확보된 개인정보 유출 건수가 총 31건, 1,514만 8,000명에 달하는 것으로 조사됨
유출원인으로는 개인정보처리기관의 홈페이지 해킹과 내부직원의 유출이 대부분을 차지
개인정보유출사고 신고 건수가 2004년에 비해 10배 이상 증가(미래창조과학방송통신위원회 최민희 의원)
개인정보유출 관련 피해신고 및 상담 진행 건수는 2004년 1만 7,569건에서 2014년 17만 7,736건으로 증가(미래창조과학부, 방송통신위원회 자료 분석)
개인정보 침해신고 및 상담이 큰 폭으로 증가한 것은 개인정보 유출 사고 이후 해당 정보들이 실제로 도용된 경우가 많다는 증거로 해석
따라서, 개인정보 유출 기관에 대한 처벌도 중요하지만 유출된 정보로 인한 피해를 최소화하기 위해 신속한 조치가 필요
고객의 개인정보를 이익을 위한 수단이 아니라 적극적인 보호 대상으로서의 인식 전환이 필요
개인정보 악용 사례 : 2012년 한 대형마트에서는 직원이 고객을 위한 경품행사를 조작해 외제차를 빼돌린 것으로 알려진 사건을 조사하는 과정에서 고객 개인정보를 마케팅 용도로 판매한 사실이 드러남
고객 개인정보는 건당 1,000원에서 2,000원씩 다수의 보험회사에 판매된 것으로 알려졌으며 그 금액은 수십억 원에 이를 것으로 추정 (전자신문, 2014. 9. 29)
개인정보 보호를 주관하는 정부기관들을 중심으로 개인정보유출에 대한 법률 및 규제 강화가 필요
공정거래위원회 : 온라인쇼핑몰 이용자의 개인정보 유출 피해를 막기 위해 소비자에게 제품을 판매하기 전에 개인정보의 수집을 제한하는 방향으로 ‘전자상거래 표준약관’을 개정, 제품 배송 시에만 기본적인 정보 요구가 가능
한국인증산업발전협의회 : 2014년 9월 22일부터 금융거래 등에 쓰이는 공인인증서의 비밀번호를 기존 8개에서 10개로 확대하고 숫자, 영문, 특수문자를 포함하는 방식으로 변경
안전행정부 : 개인정보 유출에 대한 손해배상 및 처벌 강화, 범죄수익 몰수·추징, 유출 주민등록번호 변경 허용 검토 등 개선방안을 포함한 ‘개인정보보호 정상화 대책’을 추진 중
시사점
개인정보를 취급하는 기업 및 기관들을 대상으로 관리감독 체계 강화, 개인정보유출 관련 범죄 가중처벌 등을 통해 개인정보 인식 강화 노력이 필요
개인정보 유출사고의 대부분이 허술한 보안 시스템의 홈페이지 해킹 또는 내부 직원을 통해 발생하고 있어 보안 시스템 기준 강화 및 관리감독 체계 구축 필요
기업 관계자들의 개인정보보호 인식 수준 제고를 위해 개인정보 유출 사건 및 범죄에 대한 법적 책임 수준을 높여 기업 스스로가 개인정보보호 체계를 강화하도록 유도하는 것이 중요
2) 2014년 1월에 KB국민은행, NH농협, 롯데카드 등 3대 카드사들을 관리하는 외부인력이 대량의 고객 개인정보를 유출한 사건
나. 웨어러블 디바이스 보안
카스퍼스키랩·시만텍 : 웨어러블 디바이스의 확산으로 민감한 개인 정보의 유출 및 악용 사례가 증가할 것을 우려
최근 출시된 구글글래스나 갤럭시기어 등 웨어러블 디바이스들이 보안에 취약해 해킹 및 루팅 등을 통한 악용 사례가 나타날 전망
향후 사물인터넷 환경 구축 시 웨어러블 디바이스들의 네트워크 접속이 늘어나 보안 위협은 더욱 커질 전망
시장 및 기업 동향
카스퍼스키랩 : 구글글래스 및 갤럭시기어 등 웨어러블 디바이스의 보안사고 가능성 지적
웨어러블 디바이스는 스마트폰이나 태블릿보다 비교적 단순하고 편리한 방법으로 네트워크 접속이 가능하고 스마트폰 못지않은 컴퓨팅 능력을 갖추고 있어 다양한 보안 위협 발생 가능성이 높음
구글글래스의 경우 네트워크 연결 방식을 악용한 중간자(Man in the middle : MiTM) 공격3)에 노출될 위험이 높음
구글글래스로 웹 서핑하는 방법은 데이터 네트워크 연결 방식과 블루투스 및 와이파이를 이용하는 방식이 있음. 두 개의 시스템 상호 연계 시 네트워크 벡터 공격인 중간자 공격에 노출이 용이
카스퍼스키랩 자체 실험 결과 구글글래스와 인터넷 연결 시 트래픽이 암호화되어 있지 않아 간단한 해킹에도 취약한 상황
삼성 갤럭시기어의 경우 내장된 카메라 기능 및 스마트워치 기능 등을 통해 악용될 가능성 존재
갤럭시기어의 카메라 기능은 사용 시 큰 소리가 나도록 설정되어 있지만 루팅4) 시 무음으로 사용이 가능해 프라이버시 침해가 우려
스마트폰에서 갤럭시기어로 앱을 전송할 수 있는 기능이 포함되어 있는데, 앱 설치 시 백그라운드로 작동해 악성 앱을 몰래 설치하는 등 악용될 가능성이 있음
시만텍 : 신체 상태나 활동량을 사용자가 셀프 트래킹할 수 있는 웨어러블 디바이스와 애플리케이션의 보안 강화가 필요
IoT 기술이 접목된 웨어러블 디바이스로 개인 심박수나 혈압과 같은 건강 상태는 물론 감정상태까지 실시간으로 측정 및 분석하는 자가 측정은 심각한 프라이버시 문제를 야기할 수 있어 보안이 필수적인 분야
위치추적, 데이터의 비암호화, 프라이버시 정책 부재, 의도하지 않은 데이터 유출 등과 같은 웨어러블 디바이스에서의 보안 위협에 대한 철저한 대비가 필요
시사점
시간과 장소의 구애 없이 네트워크에 접속이 가능한 사물인터넷(IoT) 환경에서의 웨어러블 디바이스에 대한 보안 위협은 더욱 증가할 전망
웨어러블 디바이스를 통해 온라인 서핑 시, 데이터의 유출로 인한 사용자의 프라이버시 침해 및 특수 범죄의 대상 가능성 상존
건강상태 셀프 트래킹, 금융 결제 등의 과정에서 해킹 등에 의해 웨어러블 디바이스 착용자의 위치, 관심사, 건강 상태, 구매내역 등 핵심 정보가 실시간으로 유출될 가능성이 높아 위험성이 더욱 커질 전망
웨어러블 디바이스를 통한 심각한 보안 사고를 방지하기 위해서는 제조업체, 네트워크 사업자, 정부 등 이해관계자들의 보안 강화 노력이 필요
제조업체 및 네트워크 사업자 : 웨어러블 디바이스와 IoT 네트워크 환경에서 적용 가능한 민감한 개인 정보의 암호화 기술 개발 및 적용이 필요
정부 : 웨어러블 디바이스 및 IoT 관련 보안 가이드라인을 제시하고 프라이버시 관련 법률적 규제에 대한 검토가 필요
3) 중간자 공격 : 통신을 연결하는 단말과 서버 사이에 네트워크 통신을 조작하여 내용을 조작하여 통신 내용을 빼내거나 조작하는 공격 기법
4) 안드로이드폰의 운영체제를 해킹해 관리자의 권한은 얻는 행위로 운영체제가 지원하지 않는 기능을 추가하거나 지원하는 기능의 삭제가 가능
