지난 콘텐츠에서는 관리자의 실수로 인한 개인정보 유출 사례와 파일 업로드 시 개인정보 유출을 예방하는 방법에 관해 알아보았습니다. 이번 글에서는 외부 해킹에 의한 개인정보 유출 사례와 내부자에 의한 유출 사례를 살펴보겠습니다.
두 번째 사례 : 외부로부터 해킹에 의한 개인 정보 유출
얼마 전, 유명 브랜드의 홈페이지 고객의 개인정보가 보관돼 있던 데이터베이스에 외부 해킹 공격이 발생해 고객정보가 일부 유출된 사건이 있었습니다. 이와 비슷한 사례로 대학병원의 홈페이지 해킹으로 인해 환자정보가 대량으로 유출된 사건도 있었죠.
또한 그룹의 사회공헌 활동을 위해 운영하는 홈페이지가 외부자의 해킹에 의해 사회적 기업 회원과 그룹 구성원 회원의 성명, 연락처, 이메일 주소가 유출된 사례도 있었습니다.
위 사례들 모두 외부자에 의해 홈페이지의 데이터베이스가 해킹되어 개인정보가 유출된 경우인데요. 이미 유출된 정보만 가지고도 새로운 계정을 생성하거나 각종 금융범죄에 악용할 수 있습니다. 그렇기 때문에 2차 피해가 발생하지 않도록 적절한 예방조치가 필요하죠. 대외에 노출된 개인정보처리시스템을 운영하는데 있어, 기업에서는 각종 보안위협에 대해 각별한 주의를 기울여야 합니다.
특히, 이러한 사고를 예방하기 위해서는 기업 스스로 취약점을 주기적으로 점검해야 합니다. 또한 개인정보처리시스템에 대한 불법적인 접근이 발생하지 않도록 하고, 안전조치 의무를 준수하고 있는지 상시 점검해야 하죠. 새로운 개인정보처리시스템을 오픈하기 전에는 개인정보 및 웹/서버 취약점을 점검해 추후 발생할 수 있는 위험을 예방해야 합니다.
세 번째 사례 : 내부자에 의한 고의 개인 정보 유출
협력업체 직원이 USB를 통해 임직원의 개인정보 수 천만 건을 유출해 대출업자에게 판매한 사례가 있습니다. 이와 비슷한 사건으로 퇴사한 직원이 악의를 품고 서버데이터를 몰래 가져가 이직한 회사에서 마케팅에 활용한 사례도 있죠. 또한, 불법적으로 흥신소에서 받은 주민번호와 이름을 회사의 고객정보시스템에 입력해 고객의 더 많은 개인정보를 불법으로 수집한 사례도 있었습니다.
이와 같이 내부자의 실수에 의한 사고와는 달리, 내부자가 의도적으로 유출한 경우에는 가치있는 데이터가 무엇이고, 그것이 어디에 저장돼 있는지 잘 알고 있기 때문에 피해는 커질 수밖에 없습니다.
따라서 기업에서는 이와 같은 사고가 재발하지 않도록 원인을 분석하고 적절한 대응 방법을 마련해야 합니다. 무엇보다도 기업에서는 주기적인 모니터링을 통해 누가 중요한 정보에 접근해 어떠한 행위를 하는지 파악하고 분석해야 합니다. 더 나아가 의도적으로 사용자의 유출 행위가 확인된 경우, 분석한 결과를 토대로 해당 직원에 대해 인사 조치나 법적 절차가 진행될 수 있도록 하는 프로세스가 필요합니다.
내부자로 인해 개인정보를 비롯한 기업의 중요 정보가 유출될 경우, 단 한 번의 유출만으로도 기업의 신뢰도에 심각한 영향을 줄 뿐만 아니라 천문학적 규모의 손해 비용이 발생할 수 있습니다. 따라서 기업의 각별한 주의가 필요합니다.
지금까지 주요 개인정보 유출 사례를 통해 어떻게 개인정보를 보호해야 하는지 알아보았습니다. 지금도 계속해서 새로운 보안위협들이 발생하고 있는데요. 새로운 보안위협에 대해 기업의 지속적인 분석과 대응이 이뤄질 수 있도록 노력해야 합니다.
[출처]
https://www.sedaily.com/NewsVIew/22MF60N4CR
https://www.boannews.com/media/view.asp?idx=98929
https://www.boannews.com/media/view.asp?idx=101925&kind=1&search=title&find=%BB%FE%B3%DA
https://m.blog.naver.com/skinfosec2000/221505344120
https://blog.lgcns.com/2359?category=604440
https://blog.naver.com/best_somansa/221085394371
글 ㅣ LG CNS 사이버시큐리티팀 배수연 책임