올 상반기 해커들이 사이버공격에 고도화된 전략을 활용하면서 각국 기관, 기업 및 사회 인프라로도 해킹 피해가 확산되는 사례가 빈번하게 등장했다. 동시에 개인정보 분야에서는 가명정보가 작년 법적 개념으로 도입된 이후, 산업적 활용을 활성화하기 위한 기반 마련이 추진됐다.
작년 말 소프트웨어(SW) 개발사 솔라윈즈에 침투한 해커가 고객사인 기업·기관을 해킹한 공급망 공격이 막대한 피해를 낳은 데 이어 올초 마이크로소프트(MS) 익스체인지 서버 취약점 공격이 전세계로 퍼져나가는 등 대규모 공급망 공격 사례가 또 등장했다. 피해자의 데이터를 암호화한 뒤 복호화 비용을 요구하는 랜섬웨어 공격도 피해자를 압박하기 위한 다른 수법들이 병행돼 이전보다 금전을 지불하는 경우가 늘어나는 추세다.
신용정보 외 다른 개인정보로도 '마이데이터' 사업을 확산하기 위한 법제 개선이 추진되는 가운데, 우리나라 기업이 유럽 시민의 정보를 국내로 이전해 처리할 수 있게 되는 유럽 일반 개인정보보호법(GDPR) 적정성 결정 협상도 연내 완료될 가능성이 관측됐다. 이에 따라 하반기에는 개인정보를 데이터로서 활용하는 사례가 확산될 것으로 전망된다. 챗봇 '이루다' 관련 개인정보 불법 활용 논란도 결과적으로 인공지능(AI) 분야 개인정보 규제 기틀을 다지는 계기가 됐다.
■똑똑해진 해킹…정부, 긴급 보안 점검·대응 추진
MS는 익스체인지 서버 취약점 공격을 지난 3월 발표했다. 이는 그 동안 알려지지 않았던 '제로데이' 취약점을 악용한 사례로, 공격자가 원격으로 서버를 제어할 수 있게 한다.
MS는 이 공격이 중국 정부를 배후에 둔 것으로 추정되는 해킹 그룹 '하프늄'의 소행이라는 분석을 발표하고 보안 업데이트도 함께 배포했다. 그러나 감염 피해가 계속 확산됐다. MS 익스체인지 서버가 메일 서비스를 사용하는 광범위한 기업, 기관에서 쓰이고 있기 때문이다. 이후 하프늄 외 다른 공격자들도 보안 패치가 되지 않은 곳들을 노리면서 보안업계에서는 미국에서만 3만곳, 전세계적으로는 수십만곳이 이 공격의 영향을 받았다는 분석도 등장했다.
상반기에는 사이버공격 유형 중 랜섬웨어 공격 피해가 두드러졌다. 해외에선 송유관, 도축장, 보건 서비스, 보험사 등 다양한 분야에서 랜섬웨어 사고가 나타났다. 국내도 마찬가지로 피해 사례가 증가했다. 지난 2018년 기준 랜섬웨어 침해 신고 건수가 22건을 기록한 데 반해 올해는 상반기까지 65건 이상이 접수됐다.
정부기관과 업계는 랜섬웨어 피해가 증가한 이유로 해킹 전략이 고도화된 점을 꼽는다. 상대적으로 보안 수준이 우수한 대기업 내부망을 노리는 대신, 보안에 투자할 여력이 부족한 중소기업이 개발한 기업용 SW의 취약점을 찾아 대기업 침투 경로로 활용하는 사례가 잇따르고 있다. 랜섬웨어 공격의 경우 금전 갈취를 위한 전략이 더욱 다양해졌다. 데이터 유출 협박이나 분산서비스거부(DDoS) 공격, 피해 기업의 고객 압박 등의 행태가 관찰되고 있다.
최근 정부는 특히 에너지 시설에 대한 해킹 예방에 힘쓰고 있다. 정부는 에너지 시설을 정보통신기반보호법 상 주요정보통신기반시설로 지정하는 절차를 추진 중이다. 주요정보통신기반시설로 지정되면 매년 정보보호 대책을 수립하고 이행 여부를 점검받게 된다. 공공기관의 사이버보안을 담당하는 국가정보원은 최근 가스, 상수도 분야의 정보통신 기반시설을 대상으로 해킹 대비 특별 점검을 마쳤으며 전력 분야에 대해서도 점검을 이달 중 실시할 예정이다.
■내 카톡 대화 그대로 내뱉는 챗봇? '이루다' 등장에 AI 업계 시끌
작년 말 등장한 AI 챗봇 '이루다'는 실제 사람과 흡사하게 답변을 내놓아 주목을 받았다. 그러나 개발사인 스캐터랩이 자사의 다른 앱 서비스에서 수집한 카카오톡 대화 데이터를 이루다의 발화 데이터베이스(DB)에 활용한 사실이 알려지면서 논란이 불거졌다.
스캐터랩은 자사 앱 서비스 이용 약관에 신규 서비스 개발을 목적으로 이용자가 제공한 데이터를 활용할 수 있다고 명시, 개인정보 이용 동의를 받은 것으로 간주했다는 입장이었다. 그러나 이는 이용자들이 충분히 예상할 수 있는 활용 범위가 아니라는 지적이 이어졌다. 문제가 된 앱 서비스 '연애의 과학', '텍스트앳' 이용자들은 공동소송인단을 구성해 스캐터랩을 상대로 손해배상 청구 소송을 제기한 상태다.
개인정보보호위원회는 몇 달 간의 조사 과정을 거쳐 지난 4월 말 스캐터랩에 대해 개인정보보호법 위반에 따른 제재로 과징금 5천550만원, 과태료 4천780만원을 부과했다. 스캐터랩의 이용자 개인정보 보호 조치가 미비했다는 판단에서다. 스캐터랩이 카카오톡 대화 데이터에서 개인정보 삭제 및 암호화 조치를 전혀 하지 않았고, 개인정보 이용 동의를 얻는 과정도 위법했다고 봤다.
이루다의 경우 위법행위가 확인돼 제재를 받았으나, AI 기술을 활용하는 산업계에서는 장기적인 관점에서 바람직한 개인정보 활용 방식을 구체화해야 한다는 목소리가 나왔다. 현행법만으로는 AI를 개발, 활용하는 데 있어 규제 리스크 해소 방법을 명확히 알기 어렵다는 이유에서다. 방대한 데이터가 지속적으로 투입돼야 하는 AI의 기술 특성상 개인정보 활용은 필수적인데, 이에 대한 규제가 모호한 채로 남아있게 된다면 산업 성장을 저해할 것이라는 지적이다.
이에 개인정보위는 이후 AI 기반 제품 및 서비스에 대한 기업의 개인정보 활용을 지원하기 위해 'AI 개인정보보호 자율점검표'를 지난 5월말 공개했다. AI 설계, 개발, 운영 과정에서 준수해야 할 사항들을 기업이 자율적으로 점검할 수 있도록 한 안내서다. 아울러 AI 개발 기업을 대상으로 현장 컨설팅 등을 진행해 개인정보 규제를 원활히 준수할 수 있도록 지원한다는 방침을 밝혔다.
■개인정보법 개정 움직임…코로나로 막혔던 GDPR 협상도 8부 능선 넘겨
개인정보위는 개인정보보호법 2차 개정을 추진 중이다. 연초 발표한 올해 업무계획에 2차 개정안을 언급했다. 2차 개정안은 개인정보보호법 위반에 따른 과징금 산정 기준 상향, 마이데이터 사업의 법적 근거인 개인정보 전송 요구권 도입, 자동화된 의사결정에 대한 대응권 마련 등의 내용을 담고 있다. 이후 공청회와 입법예고 등의 절차를 거쳐 2차 개정안에 대한 법제처 심사 단계를 밟고 있는 상태다.
당초 희망했던 국회 제출 시점인 상반기를 넘기게 됐지만, 하반기에 개정안이 국회에 제출될 경우 법안 통과가 무난할 것이라는 게 정부 예측이다. 의원 발의 개인정보보호법 개정안들 다수가 정부안과 유사한 편이라는 게 판단의 근거다.
지난 2017년부터 진행돼온 EU GDPR 적정성 평가 협상에서도 진전이 나타났다. 지난 3월말 협상의 8부 능선으로 여겨지는 '초기결정'이 완료된 것.
관련기사
- 랜섬웨어 활개…"돈낸 곳 중 80%는 또 뜯겨"2021.06.18
- 보안 '비상'인데도…규제 강화가 꼭 기업 옥죄기일까2021.06.17
- [기자수첩] 데이터 경제 준비에 찬물 끼얹은 '이루다'2021.01.15
- "한국식 개인정보 관리 체계로는 GDPR 못 지킨다"2021.04.25
적정성 평가의 최대 걸림돌이었던 개인정보 감독 기구의 독립성 부재 문제는 작년 초 '데이터 3법'의 통과로 해소됐다. 이후 법안 시행 시점에 맞춰 통합 개인정보위가 출범했지만, 협상이 진전되지 못했다. 유럽 현지에서 코로나19가 급속히 확산됨에 따라 협상 업무가 마비된 탓이다.
이후 시간이 흐르면서 코로나19 상황이 다소 진정세를 보이면서 지난달 EU 집행위원회는 우리나라에 대해 GDPR 적정성 결정서 초안을 발표했다. 정부는 남은 후속 절차들을 거쳐 연내 GDPR 적정성 결정이 마무리될 것으로 예상하고 있다.