"'마이데이터' 출시 전 IT인프라 취약점 종합 진단해야"

라온화이트햇, 보안 위협 시나리오·대응책 제시

컴퓨팅입력 :2021/05/21 12:59    수정: 2021/05/21 13:19

국내 보안 기업 라온시큐어의 자회사 라온화이트햇(대표 이정아)은 오는 8월 마이데이터 시장 개막을 앞두고 마이데이터 서비스와 관련해 발생 가능한 보안 위협 시나리오및 대책을 21일 소개했다.

금융위원회가 은행 및 핀테크 등 28개사에 대한 본인신용정보관리업(마이데이터)을 허가하고, 보건복지부가 ‘마이 헬스웨이 추진위원회’ 발족을 시작으로 의료 분야 마이데이터 생태계 조성을 위한 논의를 시작하는 등 국내 마이데이터 시장이 본격적으로 열리고 있다. 금융, 의료, 교육 등 다양한 분야에서 보다 혁신적인 개인 맞춤형 서비스가 등장할 것이란 전망이 나온다.

그러나 마이데이터 서비스가 광범위하고 민감한 개인정보를 토대로 하기 때문에 이를 관리 및 이동하는 과정에서 정보가 유출되거나 오∙남용될 경우, 그 피해 규모나 사회적인 파급 효과가 클 수 있어 보안에 대한 우려가 높아지고 있다.

라온화이트햇은 마이데이터 서비스와 관련해 발생 가능한 대표적인 보안 위협 시나리오 세 가지를 제시했다.

먼저 금융자산 내역, 거래 정보나 의료 데이터 등 민감한 개인정보가 집중 및 융합돼 있는 데이터베이스(DB)와 서버 등 마이데이터 사업자의 IT 인프라가 각종 고도화된 사이버 범죄의 표적이 될 수 있다고 지적했다. 마이데이터 서비스 출시를 앞두고 보안 취약점을 방치할 경우 이같은 공격에 피해를 입을 수 있다는 설명이다.

사이버공격으로 유출된 개인정보가 암호화되지 않으면 공격자에 의해 데이터 재식별이 가능해질 수 있다는 점도 짚었다. 개인정보의 대규모 유출 및 악용으로 이어져 사회적, 경제적으로 막대한 피해를 초래할 수 있다는 것.

공격자가 피싱이나 스미싱 등을 통해 마이데이터 서비스를 가장한 웹 페이지나 모바일 앱을 배포하고 이용자들이 이를 설치하도록 유도할 수도 있다. 가짜 웹사이트나 모바일 앱에서 이용자가 인증정보를 입력하면 공격자는 이를 탈취해 금융 자산을 몰래 가로채거나 또다른 사이버 범죄에 정보를 악용할 수도 있다.

마이데이터 시대 보안 위협과 대책(출처=라온화이트햇)

라온화이트햇은 전문적이고 객관적인 취약점 진단 및 개인정보 전송 과정에서의 본인인증 절차 강화, 인증 정보에 대한 빈틈없는 보안 관리, 개인정보 전송 및 저장 시의 안전한 암호화와 비식별화 적용이 필수라고 당부했다.

관련기사

마이데이터 서비스 사용자 개인 차원에서의 보안 수칙 준수도 병행돼야 한다. 사업자가 마이데이터 서비스 사용자에 대한 보안 교육을 강화하고, 개인이 정기적으로 모바일 백신 검사를 진행하고 의심스러운 메시지나 링크 접속은 피해야 한다는 조언이다.

이정아 라온화이트햇 대표는 “국내 마이데이터 시장이 본격적으로 열리게 되면서 관련 서비스를 겨냥한 각종 사이버 공격 또한 크게 증가할 것으로 예상된다”며 “마이데이터 서비스 사업자들의 종합적인 보안 대책 마련과 이용자 개인의 보안 의식 강화, 그리고 민간과 공공기관의 마이데이터 보안 관련 정보 공유와 협력 확대를 통해 사업자와 서비스 이용자 모두가 안심하고 혜택을 누릴 수 있는 안전한 마이데이터 시장 환경을 구축할 수 있다”고 말했다.