올 하반기 정보보호·개인정보 분야는 정부 주요 정책 과제 중 한 꼭지를 차지하는 등 주목도가 높아졌다.
하반기 들어 정부는 포스트 코로나 시대 국가 발전 전략인 '한국판 뉴딜' 주요 과제 중 하나로 보안을 꼽고, 향후 5년간 1조원 가량의 예산을 투자한다고 발표했다.
올초 국회에서 통과된 '데이터 3법'이 8월5일 시행됨에 따라, 개인정보보호위원회도 국무총리 산하 중앙행정기관으로 공식 출범했다. 이를 통해 개인정보 관련 통합 거버넌스가 만들어졌다.
국내 기업·기관을 노린 랜섬웨어·랜섬디도스 공격은 활성화되는 모습을 보였다. 특히 공격을 수행하기 전 내부망 데이터를 탈취한 뒤 이를 빌미로 협박하는 공격 행태가 대세화된 한 해였다.
글로벌 지역에 걸쳐 나타난 사이버공격 중에서는 소프트웨어 업체 솔라윈즈를 통한 공급망 공격이 이슈가 됐다. 미국 주요 국가기관을 포함한 기업·기관 등이 해킹되면서 피해 확산을 막기 위해 보안업계가 바삐 움직였다.
21년간 존속돼온 '공인인증서'란 법적 개념이 사라지게 된 것도 주목을 받았다. 연말 개정 전자서명법이 시행된 때문이다.
■"비대면 서비스 근간은 보안"…'K-사이버방역' 구축 계획 수립
정부는 지난 7월 한국판 뉴딜 종합계획을 발표하면서 수행 과제 중 하나로 'K-사이버방역 체계 구축'을 포함시켰다.
코로나19 확산으로 원격근무, 원격교육 등 개인·기업을 막론하고 비대면 서비스 이용이 늘어났다. K-사이버방역 체계는 이와 관련된 사이버위협으로부터의 보호 기반을 만들기 위한 정책적 투자다.
주요 항목으로는 ▲중소기업의 보안 투자 지원 ▲개인·공공 PC 보안 점검 지원 ▲보안 유망 기업 육성 및 5G 특화 보안 모델 개발 등이 있다.
■개인정보위, '가명정보' 보호·활용 정책 본격 추진
개인정보보호위원회가 개인정보 통합 거버넌스로 출범하게 되면서, 행정안전부, 방송통신위원회, 금융위원회 등으로 분산됐던 개인정보 관련 기능이 통합됐다.
출범 이후 개인정보위는 데이터3법에서 법적 개념으로 추가된 '가명정보'의 분석 및 활용을 위한 체계 마련을 추진했다. 가명정보 처리 가이드라인을 발간하고, 의료?교육 등 민감한 분야에 특화된 가이드라인을 별도 마련했다. 가명정보의 결합을 지원하는 결합전문기관도 지정했다.
개인정보 보호 체계 상의 허점을 보완하기 위한 정책도 추진했다. 개인정보위는 개인정보 유출사고에 대응하기 위한 범정부 체계를 구축하고, 내년 웹사이트 계정정보가 유출됐는지 확인할 수 있는 시스템을 만든다고 밝혔다.
개인정보보호법 전반을 개선하는 개인정보보호법 2차 개정안도 최근 마련, 내년 상반기 국회에 제출한다는 계획이다. 개정안에는 개인정보 유출에 따른 과징금 규모 상향, 마이데이터 사업의 법적 근거인 '개인정보 이동권' 도입 등의 내용이 담겼다.
■'랜섬' 공격 활개…데이터 유출 협박 사례 ↑
하반기에는 암호화한 데이터에 대한 복호화 비용을 요구하는 '랜섬웨어' 공격 및 분산서비스거부(DDoS) 공격으로 시스템을 마비시키겠다며, 금전을 요구하는 '랜섬디도스' 공격 사례들이 이어졌다.
업계에 따르면 지난 광복절 연휴 기간을 전후해 국내 주요 은행이 랜섬 디도스 공격을 받았다. 이후 8월말에는 한국거래소 홈페이지가 디도스 공격으로 일시적인 장애를 겪었다.
공격을 받은 기업·기관들은 공통적으로 암호화폐를 요구하는 해커의 협박 메일을 받은 것으로 알려졌다.
이에 한국인터넷진흥원(KISA)이 주의 권고문을 발표하기도 했다. 권고문에서 KISA는 해킹 그룹인 '팬시 베어'와 '아르마다 콜렉티브'가 국내 금융사와 주요 기업을 대상으로 랜섬디도스 공격을 수행하고 있다고 밝혔다.
최근에는 이랜드그룹이 랜섬웨어 공격을 받아 오프라인 결제망이 마비되는 피해를 입기도 했다. 이랜드그룹을 공격한 해커는 내부망에서 소비자의 신용카드 정보를 탈취했다며, 금전을 지불하지 않을 경우 정보를 외부에 유출하겠다고 협박한 것으로 알려졌다.
보안업계는 이처럼 랜섬웨어와 함께, 데이터를 탈취해 협박 수단으로 사용하는 공격 행태가 점차 늘어날 것으로 전망하고 있다.
■공급망 공격에 보안 회사·美 안보기관도 털렸다
최근 솔라윈즈의 IT 모니터링 솔루션 '오리온'이 악성코드 유포 수단으로 악용되면서, 각국 정부 및 보안업계는 비상 대응에 들어갔다.
이번 사고는 글로벌 보안 기업 파이어아이가 해킹된 사실이 알려지면서 이슈화되기 시작했다. 이번 해킹으로 파이어아이는 자사 모의 해킹 수행 조직인 맨디언트 레드 팀의 모의 해킹 도구도 해커에게 탈취당했다.
이후 미국 연방수사국(FBI), 마이크로소프트(MS) 등과 이번 침해사고를 조사한 결과, 오리온 고객사 중 1만8천곳이 악성코드에 감염된 오리온을 설치한 것으로 나타났다. 특히 이 중에는 미국 핵안보국과 재무부, 국토안보부 등 주요 국가기관들도 포함돼 있었다. MS도 자사 고객사 40여곳 이상이 해킹된 것을 확인했다고 밝혔다.
우리나라도 보안 주의 권고를 내리는 등 신속한 대응에 들어갔다. 다만 오리온 고객사 수가 미국에 비해 상대적으로 적고, 정부기관의 채택률도 낮은 편인 만큼, 해킹 피해 정황은 현재까진 확인되지 않았다.
■'공인' 사라진 인증서 업계, 플랫폼 경쟁 가시화
지난 10일 개정 전자서명법이 시행됨에 따라 기존 공인인증기관들이 발급한 인증서에 부여됐던 법적 우월성이 사라졌다. 이에 따라 기존 공인인증서(현 공동인증서)와 인터넷 포털·이동통신사·핀테크 기업 등이 서비스하는 인증서들이 대등한 위치에서 시장 경쟁을 하게 됐다.
관련기사
- 사이버보안도 '뉴딜'…안전한 비대면 시대 만든다2020.07.16
- '공인인증서→공동인증서'..."헷갈리지 마세요"2020.12.16
- 개인정보 컨트롤타워 '개인정보보호위원회' 5일 공식 출범2020.08.04
- 러시아 해커, 미국 핵안보국·MS도 뚫었다2020.12.18
법이 국회를 통과한 지난 5월말 이후로 시장에서는 보다 간편하고 접근성이 높은 인증서를 채택하려는 움직임이 일고 있다. 보수적인 금융권에서도 카카오페이·패스 인증서를 도입하는 사례가 나타났다. 정부도 간편 인증서 이용 확산을 선도하기 위해 시범사업을 추진, 당장 내년 초 운영될 '연말정산 간소화' 서비스에 도입할 인증서들을 선정했다.
네이버, 카카오, 토스 등 인증서 서비스 사업자들은 시장 경쟁력 향상을 위해 방송통신위원회로부터 본인확인기관 지정 심사 절차도 밟고 있다. 기존 공인인증기관들과 이통사, 금융사 등 본인확인기관 지위를 획득한 기업은 주민등록번호 등 실지명의 정보를 수집, 이용할 수 있어 공공·금융 분야에서의 서비스 공급에 유리할 수 있다.