반복되는 개인정보 유출, 이용자 피해만 늘어

국내외 기업에서 끊이지 않고 발생하는 개인정보 유출로 이용자 피해가 우려되고 있다.

개인정보의 중요성과 유출 시 위험성은 알려졌지만, 이를 규제하기 위한 충분한 방안이 마련돼 있지 않아 보안 사고가 반복된다는 지적이다.

24일 관련 업계에 따르면 해킹 조직이 기업화 되고 인공지능(AI)을 활용한 발전된 사이버공격이 늘어나고 있는 만큼 개인정보 보호를 위한 새로운 방안이 필요하다는 지적이 나오고 있다.

개인정보보호위원회(이하 개인정보위)에 따르면 2021년 141건이었던 개인정보 유출 신고 수가 올해는 1월에만 51건에 달할 정도로 증가했다.

엘지유플러스가 68억 원, 한국맥도날드가 6억 9천만 원의 과징금을 지불했으며, 이 밖에도 수많은 국내외 기업들이 목록에 올랐다.

목록에 오른 기업 중 일부는 수년간 연달아 목록에 오르는 등 보안 시스템에 문제가 있음을 지적받았음에도 개선이 이뤄지지 않았다. 고객 개인정보가 외부 공격에 유출될 우려가 있다는 것을 알고 있음에도 방치하고 있었던 셈이다.

개인정보 유출에 주로 사용된 공격은 크리덴셜 스터핑 기법이다. 이 기법은 이용자가 여러 앱에서 동일 아이디와 비밀번호를 사용하는 것을 노린 방식이다.

자동화 봇 등을 이용해 외부에서 확보한 대규모 인증정보를 반복해 대입하며 로그인을 시도한다. 시도 과정 중 로그인에 성공한 계정을 발견하면 더 많은 내부 데이터를 탈취하거나, 계정을 도용할 수 있다. 기업 네트워크의 경우 악성코드 등을 심어 랜섬웨어 등의 공격도 가능하다.

크리덴셜 스터핑은 ‘초기 침투 전문 브로커’(IAB, 일명, 인포스틸러)의 등장으로 급격하게 늘고 있는 공격방법이다. IAB로부터 아이디와 패스워드, 해킹툴만 구입하면 바로 시도할 수 있을 정도로 구조가 간단하기 때문이다. 방화벽 등 기본적인 보안 시스템을 우회할 수 있어 다각화된 보안 환경을 갖추지 못한 기업은 공격을 감지하지도 못하고 개인정보가 유출될 우려도 있다.

하지만 이런 크리덴셜 스터핑 형태의 공격들은 이미 수년 전부터 유행했고 기술적인 대응 방법이 마련돼 있다. 그럼에도 반복해서 개인정보 유출을 허용하고 있다는 점에서 기업들의 개인정보 보호에 대한 의지가 부족하다는 지적이 나오고 있다.

한 업계 관계자는 ‘한 기업은 크리덴셜 스터핑 공격으로 개인정보 유출 피해가 발생한 후 수년 후 동일한 공격에 같은 피해가 발생했다”며 “긴 유예기간이 있었음에도 아무런 변화가 없었던 것은 아무래도 안이한 생각이 있었던 것 같다”고 지적했다.

개인정보위는 과징금 기준을 관련 매출에서 전체 매출액으로 상향 조정하는 등 개인정보 보호에 대한 기업의 경각심을 높이기 위해 노력 중이다.

관련 업계에서는 현재 정부부처에서 논의 중인 제로트러스트 도입을 가속화하고 개인정보 보호에 대한 기업의 책임을 더욱 강화할 것을 제안했다.

제로트러스트는 네트워크가 이미 침해된 것으로 간주하고 정보 시스템 등에 대한 모든 접속 요청을 신뢰하지 않고 계속 검증하는 보안개념을 기본으로 한다. 생체인증, 모바일 인증 등 다양한 인증 서비스를 동시에 사용하는 다중인증(MFA)과 사용자의 접근 권한과 경로를 항상 파악하는 모니터링 시스템을 연계한 통합 보안 시스템을 구축한다.