정보보안

날짜2014.10.27
조회수11940
글자크기
  • 가. 개인정보보호
    • 개인정보보호 강화 노력에도 불구하고 개인정보 유출 피해 건수가 증가
    • - 2014년 7월 기준 개인정보유출 신고 건수는 총 34건, 9,873만 4,000명의 피해자가 발생(국회 안전행정위 박남춘 의원)
    • - 개인정보유출 사고 증가에 대한 대응으로 안전행정부, 공정거래위원회 등 정부기관에서 관련 조치를 강화하고 있으나, 개인정보 취급 기업 및 기관 관계자들의 개인정보보호 인식을 높이는 것이 시급
  • 주요 동향
    • 개인정보유출사고 건수가 지속적으로 늘고 있으며, 개인정보 보호를 위한 범국가적인 적극적인 대처가 필요한 상황
    • 2011년 9월 개인정보보호법 시행 이후 안전행정부에 접수된 개인정보유출신고 건수는 2012년 8건(84만 8,000명), 2013년 6건(238만 6,000명), 2014년 7월 기준 34건(9,873만 4,000명)으로 전년 대비 5배 이상 증가(안전행정위원회 박남춘 의원)
    • 2014년 1월 개인정보 대량유출 사태2) 이후 7월까지 추가로 확보된 개인정보 유출 건수가 총 31건, 1,514만 8,000명에 달하는 것으로 조사됨
    • 유출원인으로는 개인정보처리기관의 홈페이지 해킹과 내부직원의 유출이 대부분을 차지
    • 개인정보유출사고 신고 건수가 2004년에 비해 10배 이상 증가(미래창조과학방송통신위원회 최민희 의원)
    • 개인정보유출 관련 피해신고 및 상담 진행 건수는 2004년 1만 7,569건에서 2014년 17만 7,736건으로 증가(미래창조과학부, 방송통신위원회 자료 분석)
    • 개인정보 침해신고 및 상담이 큰 폭으로 증가한 것은 개인정보 유출 사고 이후 해당 정보들이 실제로 도용된 경우가 많다는 증거로 해석
    • 따라서, 개인정보 유출 기관에 대한 처벌도 중요하지만 유출된 정보로 인한 피해를 최소화하기 위해 신속한 조치가 필요
    • 고객의 개인정보를 이익을 위한 수단이 아니라 적극적인 보호 대상으로서의 인식 전환이 필요
    • 개인정보 악용 사례 : 2012년 한 대형마트에서는 직원이 고객을 위한 경품행사를 조작해 외제차를 빼돌린 것으로 알려진 사건을 조사하는 과정에서 고객 개인정보를 마케팅 용도로 판매한 사실이 드러남
    • 고객 개인정보는 건당 1,000원에서 2,000원씩 다수의 보험회사에 판매된 것으로 알려졌으며 그 금액은 수십억 원에 이를 것으로 추정 (전자신문, 2014. 9. 29)
    • 개인정보 보호를 주관하는 정부기관들을 중심으로 개인정보유출에 대한 법률 및 규제 강화가 필요
    • 공정거래위원회 : 온라인쇼핑몰 이용자의 개인정보 유출 피해를 막기 위해 소비자에게 제품을 판매하기 전에 개인정보의 수집을 제한하는 방향으로 ‘전자상거래 표준약관’을 개정, 제품 배송 시에만 기본적인 정보 요구가 가능
    • 한국인증산업발전협의회 : 2014년 9월 22일부터 금융거래 등에 쓰이는 공인인증서의 비밀번호를 기존 8개에서 10개로 확대하고 숫자, 영문, 특수문자를 포함하는 방식으로 변경
    • 안전행정부 : 개인정보 유출에 대한 손해배상 및 처벌 강화, 범죄수익 몰수·추징, 유출 주민등록번호 변경 허용 검토 등 개선방안을 포함한 ‘개인정보보호 정상화 대책’을 추진 중
  • 시사점
    • 개인정보를 취급하는 기업 및 기관들을 대상으로 관리감독 체계 강화, 개인정보유출 관련 범죄 가중처벌 등을 통해 개인정보 인식 강화 노력이 필요
    • 개인정보 유출사고의 대부분이 허술한 보안 시스템의 홈페이지 해킹 또는 내부 직원을 통해 발생하고 있어 보안 시스템 기준 강화 및 관리감독 체계 구축 필요
    • 기업 관계자들의 개인정보보호 인식 수준 제고를 위해 개인정보 유출 사건 및 범죄에 대한 법적 책임 수준을 높여 기업 스스로가 개인정보보호 체계를 강화하도록 유도하는 것이 중요
    • 2) 2014년 1월에 KB국민은행, NH농협, 롯데카드 등 3대 카드사들을 관리하는 외부인력이 대량의 고객 개인정보를 유출한 사건
  • 나. 웨어러블 디바이스 보안
    • 카스퍼스키랩·시만텍 : 웨어러블 디바이스의 확산으로 민감한 개인 정보의 유출 및 악용 사례가 증가할 것을 우려
    • 최근 출시된 구글글래스나 갤럭시기어 등 웨어러블 디바이스들이 보안에 취약해 해킹 및 루팅 등을 통한 악용 사례가 나타날 전망
    • 향후 사물인터넷 환경 구축 시 웨어러블 디바이스들의 네트워크 접속이 늘어나 보안 위협은 더욱 커질 전망
  • 시장 및 기업 동향
    • 카스퍼스키랩 : 구글글래스 및 갤럭시기어 등 웨어러블 디바이스의 보안사고 가능성 지적
    • 웨어러블 디바이스는 스마트폰이나 태블릿보다 비교적 단순하고 편리한 방법으로 네트워크 접속이 가능하고 스마트폰 못지않은 컴퓨팅 능력을 갖추고 있어 다양한 보안 위협 발생 가능성이 높음
    • 구글글래스의 경우 네트워크 연결 방식을 악용한 중간자(Man in the middle : MiTM) 공격3)에 노출될 위험이 높음
    • 구글글래스로 웹 서핑하는 방법은 데이터 네트워크 연결 방식과 블루투스 및 와이파이를 이용하는 방식이 있음. 두 개의 시스템 상호 연계 시 네트워크 벡터 공격인 중간자 공격에 노출이 용이
    • 카스퍼스키랩 자체 실험 결과 구글글래스와 인터넷 연결 시 트래픽이 암호화되어 있지 않아 간단한 해킹에도 취약한 상황
    • 삼성 갤럭시기어의 경우 내장된 카메라 기능 및 스마트워치 기능 등을 통해 악용될 가능성 존재
    • 갤럭시기어의 카메라 기능은 사용 시 큰 소리가 나도록 설정되어 있지만 루팅4) 시 무음으로 사용이 가능해 프라이버시 침해가 우려
    • 스마트폰에서 갤럭시기어로 앱을 전송할 수 있는 기능이 포함되어 있는데, 앱 설치 시 백그라운드로 작동해 악성 앱을 몰래 설치하는 등 악용될 가능성이 있음
    • 시만텍 : 신체 상태나 활동량을 사용자가 셀프 트래킹할 수 있는 웨어러블 디바이스와 애플리케이션의 보안 강화가 필요
    • IoT 기술이 접목된 웨어러블 디바이스로 개인 심박수나 혈압과 같은 건강 상태는 물론 감정상태까지 실시간으로 측정 및 분석하는 자가 측정은 심각한 프라이버시 문제를 야기할 수 있어 보안이 필수적인 분야
    • 위치추적, 데이터의 비암호화, 프라이버시 정책 부재, 의도하지 않은 데이터 유출 등과 같은 웨어러블 디바이스에서의 보안 위협에 대한 철저한 대비가 필요
  • 시사점
    • 시간과 장소의 구애 없이 네트워크에 접속이 가능한 사물인터넷(IoT) 환경에서의 웨어러블 디바이스에 대한 보안 위협은 더욱 증가할 전망
    • 웨어러블 디바이스를 통해 온라인 서핑 시, 데이터의 유출로 인한 사용자의 프라이버시 침해 및 특수 범죄의 대상 가능성 상존
    • 건강상태 셀프 트래킹, 금융 결제 등의 과정에서 해킹 등에 의해 웨어러블 디바이스 착용자의 위치, 관심사, 건강 상태, 구매내역 등 핵심 정보가 실시간으로 유출될 가능성이 높아 위험성이 더욱 커질 전망
    • 웨어러블 디바이스를 통한 심각한 보안 사고를 방지하기 위해서는 제조업체, 네트워크 사업자, 정부 등 이해관계자들의 보안 강화 노력이 필요
    • 제조업체 및 네트워크 사업자 : 웨어러블 디바이스와 IoT 네트워크 환경에서 적용 가능한 민감한 개인 정보의 암호화 기술 개발 및 적용이 필요
    • 정부 : 웨어러블 디바이스 및 IoT 관련 보안 가이드라인을 제시하고 프라이버시 관련 법률적 규제에 대한 검토가 필요
    • 3) 중간자 공격 : 통신을 연결하는 단말과 서버 사이에 네트워크 통신을 조작하여 내용을 조작하여 통신 내용을 빼내거나 조작하는 공격 기법
    • 4) 안드로이드폰의 운영체제를 해킹해 관리자의 권한은 얻는 행위로 운영체제가 지원하지 않는 기능을 추가하거나 지원하는 기능의 삭제가 가능