최근 2년 새 초대형 유출 사고 집중…"대형업체 겨냥 공격 늘어"
"데이터 암호화·접근권한 통제 등 기본 보안 원칙부터 지켜야"
(서울=연합뉴스) 차민지 기자 = 쿠팡 3천756만명, SK텔레콤 2천324만명, 티빙 1천953만명.
최근 개인정보 유출 사고는 한 번 발생하면 수천만 명이 피해를 보는 초대형 사고로 대형화하는 추세다.
정보화 시대에 기업들이 쇼핑과 콘텐츠, 통신 등 다양한 서비스를 제공하면서 한 기업에 축적되는 개인정보의 양과 종류도 크게 늘었다.
이에 따라 명의도용과 피싱 등 2차 피해 우려도 커지고 있어 기업들의 정보보호 투자와 관리체계 강화가 필요하다는 지적이 나온다.
[강민지 제작] 일러스트
28일 보안업계에 따르면 가장 최근 대규모 개인정보 유출 사고가 발생한 곳은 온라인동영상서비스(OTT) 티빙이다.
이정헌 더불어민주당 의원이 개인정보보호위원회와 과학기술정보통신부로부터 제출받은 자료에 따르면 티빙 개인정보 유출 피해 규모는 현재까지 1천953만명으로 확인됐다.
이는 정부가 초기 발표한 잠정치인 1천300만명보다 650만명 이상 늘어난 규모로, 티빙의 유료 가입자 수(약 500만명)는 물론 월간활성이용자(MAU·5월 기준 882만명)를 크게 웃돈다.
유출된 정보에는 아이디(ID)와 이름, 생년월일, 비밀번호, 환불 계좌번호, 연계정보(CI), 중복가입확인정보(DI) 등이 포함됐다.
특히 최근 2년 사이 초대형 개인정보 유출 사고가 집중되고 있다.
개인정보위 제재 기준으로 역대 유출 규모 상위 사례 5개를 보면 1∼3위인 쿠팡(3천756만명), SK텔레콤(2천324만명), 인크루트(728만명) 모두 최근 2년 사이 유출 사실이 확인된 사례다.
[김선영 제작] 일러스트
보안업계에서는 유출 규모가 대형화되는 배경으로 랜섬웨어 확산과 대형 개인정보 수탁사를 노린 공격이 증가하고 있는 점을 꼽는다.
실제로 개인정보위와 한국인터넷진흥원(KISA)에 따르면 지난해 접수된 개인정보 유출 신고 447건 가운데 276건(61.7%)이 해킹으로 발생했다.
염흥열 순천향대 정보보호학과 교수는 "개인정보가 불법 거래 시장에서 금전적 가치를 갖게 되면서 공격 동기도 커졌고, 공격자들도 다양한 도구를 활용해 역할을 분담하는 등 조직화하고 있다"며 "대부분의 서비스가 디지털로 전환되면서 공격할 수 있는 영역도 크게 넓어진 상황"이라고 진단했다.
황석진 동국대 국제정보보호대학원 교수는 "많은 기업이 다양한 개인정보를 보유하고 있어 여러 곳에서 탈취한 정보를 결합하면 활용 가치가 훨씬 커진다"며 "해커 입장에서는 종합선물세트나 마찬가지"라고 지적했다.
그러면서 "과거에는 해커가 직접 공격할 취약점을 찾아야 했는데 이제는 인공지능(AI)이 다 찾아주고 있다"며 "정보보호의 기본인 데이터 암호화와 접근권한 통제 등 (원칙을) 제대로 지키지 않으면 개인정보 유출 사고는 계속 발생할 수밖에 없다"고 말했다.
예방 중심의 개인정보보호 체계를 강화해야 한다는 지적도 나온다.
최경진 가천대 법학과 교수는 "정부는 '기본으로서의 개인정보보호'가 현장에서 실천되도록 예방조치를 강화하는 정책을 추진해야 한다"며 "기업도 개인정보보호를 기본 원칙으로 삼고 이를 꾸준히 실천할 수 있는 거버넌스와 내부 관리체계를 마련해야 한다"고 말했다.
개인정보위는 '예방 중심 개인정보 관리체계 전환계획'을 발표하고 개인정보 처리 실태와 취약요인을 지속해서 점검하고 있다.
chacha@yna.co.kr