외부칼럼 >

[특별기고] 개인정보 유출을 막는 길/노병규 방송통신위원회 정보보호 PM

[특별기고] 개인정보 유출을 막는 길/노병규 방송통신위원회 정보보호 PM

지난해 초까지만해도 '디도스(DDoS·분산서비스 거부)'라는 단어가 일반 국민에게는 전문적인 용어로 인식돼 설명을 하는데 애를 먹었지만 1년이 지난 올해는 대부분의 국민이 아는 단어가 됐다.

 그만큼 지난해엔 정보보호 분야에서는 많은 사건이 일어난 해였다는 사실이 입증된 것이다.

 지난해에는 3·4 디도스 사건부터 시작해 금융·포털·게임·정부 등 대상을 가리지 않고 여러 분야에서 동시다발적으로 피해가 발생했다.

 특히 피해자가 해킹 사실을 알아채지 못하도록 특정 대상을 목표로 삼아 장기적으로 공격하는 '지능형 타깃 지속 공격(APT·Advanced Persistent Threat)'이라는 새로운 해킹 방법이 출현해 그 피해가 이전과는 다르게 규모가 커진 것도 특징이다. 이러한 해킹의 결과는 대규모 개인정보의 유출로 이어졌다.

 실질적으로 한국인터넷진흥원의 '인터넷 침해사고 동향 및 분석 월보'에 따르면 지난해 11월까지의 연간 월평균 신고 건수가 전년도 1494건에 비해 21% 이상 증가한 1810건으로 집계돼 해킹 위협이 점차 증가하는 것으로 나타났다.

 또 피해 유형별로는 개인(70.7%)과 기업(28.8%)이 신고 건수의 대부분을 차지하고 있어 여전히 정보보호 취약지대로 머물러 있음을 알 수 있다. DDoS 공격 평균 트래픽도 2009년 2기가 바이트(GB)에서 2010년 14GB로 7배나 증가해 네트워크 대역폭 증가율보다 더 빠른 공격이 이뤄지고 있음을 알 수 있다.

 이러한 새로운 해킹 동향과 더불어 2012년에는 망의 융합에 따른 복잡성, 소셜네트워크서비스(SNS)로 통칭되는 신규 인터넷 서비스의 활성화, 2000만대에 이르는 스마트폰 보급은 높은 성능과 다양성으로 인해 피해 확산이 더욱 클 것으로 예상돼 주의가 요망된다.

 지난 2011년 8월 한 통신사의 일시적 트래픽 폭증으로 인한 데이터망 불통사태 사례는 의도적이지 않더라도 한 곳의 피해가 망 또는 서비스 융합에 의해 전국적인 피해로 쉽게 확대될 수 있음을 보여주는 사례다.

 또한 메신저를 이용한 피싱, SNS를 이용해 단축 U +RL을 활용한 악성코드 유포 사이트 접근 유도 등도 기존과는 차별된 새로운 위협이다.

 이러한 위협은 기존 정보보호 프로그램이나 장비들에 의존하는 기존 체계로는 방어가 힘든 것이 특징이다. 따라서 이에 대응하기 위해서는 개인 사용자, 기업, 정부 차원에서 유기적, 계층적으로 대응하는 것이 절대적으로 필요하다. 어느 한 부분에서의 사소한 결점이 전체의 결점으로 나타나는 것이 정보보호의 특성이기 때문이다.

 개인 사용자 입장에서는 비밀번호 관리나 백신 업데이트를 통해 기존 대응력을 높일 수 있다. 그러나 신규 인터넷 서비스는 개인정보 유출이 본인의 적극적인 자유 의지에 의해 이뤄지는 만큼 서비스에 대한 이해도를 높이고 사용해야 한다.

 특히 본인의 스마트폰에 검증되지 않은 무분별한 앱 설치 등을 자제해 자기 정보는 스스로 지킨다는 자세가 필요하다.

 기업 차원에서는 우선적으로 해킹에 대응할 전문인력 및 예산을 확보하여 자체적인 정보보호 체계를 운영할 수 있는 역량을 갖춰야 한다. 또한 개인정보의 경우 대규모 유출은 기업자산 유무형의 손실로 직결될 수 있으므로 이에 대한 기술적 대책을 수립해야 한다. 특히 불필요한 개인정보는 폐기하고 최소한 필요한 개인정보도 암호화 등의 조치를 취하는 것이 필요하다.

 정부 차원에서는 정보보호와 관련한 투자 확대, 기술 개발 유도, 인력 양성뿐 아니라 새로운 서비스에 걸맞은 새로운 정책들을 제시해야 한다.


 최근 방송통신위원회의 주민번호 수집 단계적 폐지와 인터넷 실명제 재검토 정책 등 안전한 사이버 환경 구축을 위한 대응책은 이러한 사고를 줄일 수 있는 정책으로 평가된다. 또한 급속도로 변하고 있는 신규 서비스의 특성을 분석해 이에 대응할 수 있는 법적·제도적 장치와 선제적 관련 연구를 서둘러야 할 것이다.

※ 본면의 외부원고는 본지의 편집방향과 일치하지 않을 수도 있습니다.