데이터 경제 시대, 개인정보 보호 못하면 실패

개인정보 유출 사고, 기업·기관 관리 실패로 인해 발생

최소권한 원칙 강력한 접근통제와 인증 및 인가로 개인정보 보호해야

[데이터넷] 개인정보 유출 사고가 끊임없이 일어나고 있다. 개인정보 유출은 피싱, 보이스피싱을 비롯한 각종 사기사건으로 이어질 수 있으며, 지하시장에서 반복적으로 재판매돼 장기간 피해를 입을 수 있다. 사고가 발생하면 유관기관은 개인이 계정보안에 적극적으로 나설 것을 당부하지만, 개인의 노력으로 기업·기관에서 발생하는 개인정보 유출 사고를 막을 수 없다. 개인정보 유출 사고의 대부분은 관리 책임이 있는 기업·기관의 보안 실패로 인해 발생하기 때문이다.

챗GPT 사용이 늘어나면서 개인정보 보호 문제는 더 위험해졌다. 공격자들은 챗GPT를 이용해 타깃 사용자를 위한 맞춤형 공격을 진행한다. AI를 이용해 목표 조직을 분석하고, 공격목표인 데이터, 시스템에 도달할 수 있는 경로를 찾으며, 첫 번째 침투에 동원할 적당한 사람을 찾는다.

그 사람의 업무, 생활습관, 취미 혹은 SNS 활동을 두루 살펴보면서 맞춤형 공격을 한다. 이직을 생각하고 있다면 링크드인을 통해 스카우트 제안처럼 접근하고, 낚시를 좋아한다면 낚시 관련 뉴스나 동영상, 낚시용품 할인 등으로 유인한다. 업무 관련 관계사 협조요청 메일, 참고자료 송부 등으로 위장하는 것도 AI를 이용해 할 수 있다.

AI를 이용한 개인정보 유출 혹은 악용을 막기 위해 가트너는 ▲설명 가능한 AI ▲프라이버시 보호 ▲AI 모델 운영(ModelOps) ▲AI 애플리케이션 보안이 필요하다며 ‘AI 신뢰, 리스크 및 보안 관리(AI TRiSM)’ 모델을 만들어야 한다고 주장했다.

안전한 마이데이터 위한 정책 마련해야

데이터 경제 시대에 접어들면서 개인정보 보호와 활용은 둘 다 보장돼야 하는 것이 됐다. 데이터를 제대로 활용하지 못하면 극심한 글로벌 경기침체 상황에서 살아남지 못하며, 개인정보를 보호하지 못하면 우리나라는 물론 다른나라로부터 소송과 벌금으로 기업의 생존에 위협을 받게 된다.

대부분 기업이 데이터 보호 노력을 충분히 이행하고 있다고 자신하지 못한다. 보안에 막대한 투자를 하는 글로벌 대기업들도 연이어 개인정보와 기밀정보 유출 사고를 겪고 있다. 빔소프트웨어 조사에서는 랜섬웨어로 조직 전체 데이터가 파괴되거나 암호화 되는 사고를 겪었다는 응답이 39%였으며, 그중 백업 시스템으로 복구한 데이터는 55%에 불과했다.

데이터 유출이나 파괴, 암호화 사고는 랜섬웨어 뿐만 아니라 데이터센터와 클라우드장애, 홍수·화재 등 자연재해, 덮어쓰기·삭제 등 사용자 실수에 의해 발생하기도 한다. 클라우드에 민감 데이터를 암호화 없이 업로드하고 접근권한을 설정하지 않는 실수도 자주 발생한다. 마이크로소프트가 관리하는 애저 블랍 스토리지 설정오류로 전 세계 많은 기업들이 데이터 노출 피해를 입었다는 사실이 지난해 보안 기업에 의해 폭로되기도 했다.

기업·기관은 디지털 트랜스포메이션 환경에 맞는 데이터·개인정보 보호 전략을 새롭게 수립해야 한다. 보호해야 할 데이터를 식별하고 보안 수준에 맞게 분류해 정책을 적용하며, 데이터의 이동을 투명하게 가시화 해야 한다. 데이터의 위치와 보호 상태를 분명하게 파악해야 하며, 최소 권한 원칙에 따라 데이터 접근 권한을 관리해야 한다.

누리아이티는 제로 트러스트 원칙의 데이터 보호를 위해 다음을 검토해야 한다고 설명했다.

● 2단계 인증체계(2FA) 적용

ID/PW 외에 OTP 등을 이용한 2FA를 적용한다. 이 때에도 일정 횟수 이상 인증에 실패하면 지식기반, 소유기반, 특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해 본인임을 입증해야 한다. 또한 제한된 시간 내 일정 횟수 이상 인증 실패하거나 접속오류가 발생할 경우에도 시스템 접속과 사용을 제한해야 한다.

● 악성코드에 의한 우회·원격접속 차단

악성코드를 이용해 원격접속을 위한 계정과 권한을 탈취해 접속하는 것을 막아야 한다. RDP는 사용하지 않는 것이 좋으며, VPN은 접속 전 계정과 권한, 상황을 종합적으로 확인한 후 접속하도록 하고, 접속 후에도 지속적으로 모니터링해 이상행위를 찾아낸다.

● MFA 피로공격 등 MFA 무력화 차단

공격자는 클라이언트 요청을 받아 내부 서버로 전달하는 리버스 프록시 기술을 이용해 2FA나 멀티팩터인증(MFA)을 우회한다. 또 MFA 인증 오류를 계속 발생시켜 본인에게 푸시 알림이 반복해서 발송되도록 해 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 ‘MFA 피로공격’도 사용된다. 이를 막을 수 있는 2FA·MFA를 설계해야 한다.

● 분실·도용·해킹 시 대책

공격자는 온라인 사이트의 비밀번호 찾기 기능을 이용해 계정 비밀번호를 알아내고 개인정보를 탈취한다. 비밀번호는 사용자 본인 스스로 로그인 ID, 특정항목, 2차 인증 등으로 맞으면 새로운 비밀번호를 등록해 사용하게 해야 한다.

이종일 누리아이티 이사는 “2차 인증을 도입했다는 것이 아니라 기술·보안성 등 어떤 2차 인증을 도입했느냐가 중요하다”며 “간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는플러그인 가능한 인증 모듈(PAM)이 대안이 될 수 있다”고 말했다.