개인 정보 유출의 원인, 대표적 사례, 방지하는 방법

개인 정보 유출의 원인, 대표적 사례, 방지하는 방법

개인정보는 어떻게 유출될까?

1위는 웹사이트 운영자의 실수

실제 피해사례에서 내부 보안관리 소홀로 유출된 경우가 해킹보다 많아
게시판이나 댓글 등으로 개인정보 노출되지 않게 관리 필요
이미지, 문서 등 첨부파일 역시 개인정보 탐지 설루션으로 대응해야

흔히 개인정보 유출사고는 외부 공격자의 해킹에 의해 발생한다고 생각하기 쉽다. 하지만, 기업이 실제로 우려하는 가장 큰 유출 요인은 관리상의 실수로 인한 유출이다. 국가통계포털(KOSIS)에 따르면, 과학기술정보통신부가 발표한 2019년 정보보호 실태조사에서 ‘우려하는 개인정보 유출요인(2가지)’를 묻는 질문에 ‘관리 실수로 인한 유출(74%)’이 가장 높은 응답 비율을 차지했고, ‘외부로부터 해킹(64.1%)’이 뒤를 이었다. 이 밖에 응답은 ‘내부자에 의한 고의 유출(42.8%)’, ‘아웃소싱 업체에 의한 유출(10.8%)’ 등이다.

▲우려하는 개인정보 유출요인과 실제 유출사고 경로[자료=과학기술정보통신부]

 

 

 

 

 

또한, ‘개인정보 침해사고 경험 유형(복수응답)’ 설문조사에서도 이와 유사한 결과가 나타났다. 개인정보 처리자가 개인정보를 무단으로 수집해 마케팅 목적으로 이용한 경우가 46.4%로 가장 많았으며, 내부의 보안 관리 소홀로 개인정보가 유출된 경우가 40.1%로 뒤를 이었다. 외부의 해킹으로 인해 개인정보가 유출된 경우는 23.2%로 나타났다. 정리하면 해킹은 개인정보 유출 요인 중 하나지만, 관리 실수, 내부자의 고의, 협력업체를 통한 유출 역시 침해사고의 주요 원인이다.

기업, 기관 등의 홈페이지 게시판을 통해 개인정보가 노출되는 것은 대표적인 관리 부주의로 인한 사고 사례다. 개인정보보호위원회에 따르면 지난 2019년, 공공분야 홈페이지에서 개인정보 노출을 탐지 및 삭제한 건수는 875건이며, 민간부문에서는 1만 2,615건에 이른다.

실제 사고사례를 보면 소방안전본부가 119 구급대 이용현황을 담은 통계자료를 공개하는 과정에서 이용한 시민의 이름, 주소, 성별, 생년월일 등의 정보를 포함해 게시한 바 있다. 또, 한 구청 홈페이지에서는 신분증이나 등본 등의 스캔본을 웹 서버에 암호화하지 않고 보관하다가 URL을 직접 입력한 사용자에 의해 발견되기도 했다. 이러한 사례 모두 단순한 실수나 관리 미흡 등 사소한 실수가 원인이지만, 이렇게 노출된 정보는 보이스피싱 등 금융범죄에 악용돼 더 큰 피해를 일으킬 수 있다. 특히, 웹 크롤러 등을 이용하면 사이버 공격자는 큰 수고 없이 웹 사이트에 노출된 개인정보를 수집할 수 있다.

개인정보처리자는 홈페이지에서 처리하는 개인정보의 처리방법 및 종류 등에 따라 정보주체의 개인정보가 침해받을 가능성과 그 위험성을 고려해 이를 안전하게 관리해야 한다. 따라서 홈페이지를 운영하는 기관·기업에서는 내부 직원 교육을 통한 인식 제고와 함께 홈페이지 상 개인정보 작성 시 주의 안내, 지속적인 노출 모니터링 실시 등 각별한 주의가 필요하다. 특히, 정보통신서비스 제공자 등에 대해서는 일반 개인정보처리자와 구분해 개인정보 보호법 제39조의 10에서 노출된 개인정보의 삭제·차단 의무조치를 규정하고 있다

▲실수로 노출된 개인정보 사례[자료=개인정보보호위원회]

그렇다면, 기업과 기관은 웹 사이트를 통한 개인정보 노출을 어떻게 예방할 수 있을까? 우선 웹 사이트 운영자는 공지사항이나 정보공개 등의 게시물을 등록할 때 개인정보에 대한 비식별 조치가 제대로 이뤄졌는지 확인해야 한다. 반대로 서비스 이용자가 게시판에 자신의 개인정보를 등록하는 경우도 있다. 가령, 민원이나 서비스 문의 등을 위해 게시판을 이용하면서 자신도 모르게 이름, 나이, 주소, 휴대전화 번호, 이메일 주소 등을 공개할 수 있다.

이러한 사례를 예방하기 위해서는 웹 사이트 운영·관리자가 마스킹 등의 방법을 통해 최소한의 개인정보만 노출하도록 해야 하며, 부득이 개인정보를 적시해야 하는 경우 해당 게시글 및 댓글을 비공개로 전환하는 것이 좋다. 또한, 서비스 이용자가 스스로 개인정보를 노출할 가능성을 줄이기 위해서 개인정보처리자는 이러한 경우가 발생하지 않도록 개인정보 기재의 위험성을 안내하고, 문의나 민원 같은 내용을 타인이 볼 수 없도록 비공개 게시판으로 운영하는 등의 조치를 취해야 한다.

엑셀이나 워드 등 게시물에 문서 파일을 첨부했을 때 해당 파일에 개인정보가 제대로 마스킹됐는지 확인해야 한다. 엑셀 파일의 경우 열이나 행을 숨겼을 때 육안으로는 개인정보가 포함돼 있지 않았다고 판단할 수 있으나, 숨긴 행·열을 다시 보이도록 표시하면 숨어있는 개인정보가 나타날 수 있어 이를 잘 확인해야 한다. 또한, 함수를 이용해 주민등록번호나 전화번호를 다른 문자로 치환했을 경우, 겉으로는 마스킹이 된 것처럼 보일 수 있지만, 원본 데이터는 실제 개인정보를 참조해 보관하고 있다. 함수를 이용한 마스킹은 인쇄물에서는 유용하지만, 파일을 직접 업로드하는 경우에는 부적절하기 때문에 게시물에 첨부 시 엑셀 원본이 아닌 PDF 출력 등을 통해 게시하는 것이 좋다.

워드나 한글 등의 워드 프로세서는 객체연결삽입(OLE) 등의 기능을 이용해 다른 형태의 파일을 참조해 본문에 넣는 것이 가능하다. 이 경우에도 삽입된 객체가 개인정보를 포함하고 있지는 않은지 잘 확인해야 한다.

이미지 파일 역시 주의해야 한다. 문서 파일의 경우 검색 기능을 통해 개인정보가 포함돼 있지 않은지 확인할 수 있는 반면, 이미지는 OCR 기능이 없다면 이를 확인하기 쉽지 않다. 특히, 최근에는 비대면으로 업무를 처리하는 과정에서 각종 서식을 스캔해 제출하는 경우가 많기 때문에 더욱 주의를 기울여야 한다.

 

 

 

 

 

▲이미지를 통한 개인정보 노출 사례[자료=개인정보보호위원회]

이러한 사고사례는 대부분 사람의 사소한 실수에서 비롯되며, 수많은 문서를 처리해야 하는 운영자 입장에서는 노출 여부를 세밀하게 파악하기 어려운 것도 현실이다. 이에 개인정보 필터링 설루션을 도입하는 것 역시 좋은 방법이다. 개인정보 필터링 설루션은 게시판, 첨부파일, DB 및 웹 서버 등에서 개인정보가 포함돼 있는지 자동으로 파악해 노출을 차단할 수 있다.

더욱이 최근에는 이미지 파일로 인한 개인정보 노출 사례도 증가하고 있는 만큼, 이미지에 포함된 개인정보 유형을 OCR 기반으로 탐지해 운영자에게 알려주고, 필요할 경우 자동으로 필터링하는 솔루션 역시 구축하는 것이 좋다.

 

최근 개인정보 유출 사례 모음

 

1. LG유플러스, 29만 명의 고객 개인정보 유출

* 유출 항목은 고객번호, 성명, 우편번호, 주소,  생년월일, 전화번호, 암호화된 주민번호,  가입자 고유식별번호(IMSI), 고객정보 변경, 시간, 단말모델명, 이메일, 암호화된 비밀번호, 가입일, 유심번호, IMEI, MAC주소, 웹아이디,  이용상품명 등으로 광범위

2. 토스, 보험설계사 13만 명에게 개인정보를 1건당 69,000원에 판매

3. 전남경찰청 사이버범죄수사대, 정보통신망

이용 촉진 및 정보보호에 관한 법률 위반 등  혐의로 A씨 등 7명을 구속하고 5명을 불구속 입건

* 이들은 해킹 의뢰 채널을 운영하며 경제 전문 언론사, 결혼정보업체 등 385개 웹사이트에서 약 700만 건의 고객 정보를 빼내 건당 100만 ∼ 500만 원을 받고 해킹 범죄를 수행

4. 드라마앤컴퍼니, SK텔레콤, 한국연구재단 등에서도 개인정보가 유출되었으며,  인터파크 지마켓에서는 유출된 계정정보로 로그인 시도 및 결제 시도가 있었다는 피해가  발생

5. 참좋은여행, 고객 개인정보 1만 건 이상 해커에 의해 유출

* 이름 생년월일 전화번호 성별 이메일 등 총 5가지 항목 유출

6. 경기도교육청 서버 해킹으로 전국 15개 시도교육청에서 전국연합학력평가에 응시한 고2 학생 30여만 명의 시험 성적, 소속 학교,  이름, 성별 등 유출

 

개인정보 유출을 방지하는 방법

 

개인정보 유출을 방지하기 위해 다음과 같은 방법들을 고려해 볼 수 있다.

  1. 강력한 비밀번호 사용 : 온 라인 계정에 강력한 비밀번호를 설정한다.

비밀번호는 영문 대소문자, 숫자, 특수문자를 혼합하여 길고 복잡하게 만들어야 한다. 또한 동일한 비밀번호를 여러 사이트에 사용하지 않도록 주의한다.

  2. 이중인증(2FA)을 사용하여 추가적인 보안계층을 설정한다. 이를 통해 로그인 시 추가적인 인증단계가 필요하므로 계정에 무단접근을 방지 할 수 있다.

  3. 개인정보 공개에 주의 : 소셜미디어와 같은 공개적인 플랫폼에서 개인정보를 제한하는 것이 중요하다. 생일, 주소, 전화번호 등의 개인정보를 공개하지 않도록 유의한다.

  4. 보안소프트웨어 사용 : 신뢰할 수 있는 안티바이러스 및 방화벽 소프트웨어를 설치하고 최신 보안 업데이트를 유지. 이는 컴퓨터를 악성 소프트웨어나 해킹으로부터 보호하는데 도움을 줄 수 있다.

  5. 정보공유에 대한 신중함 : 개인정보를 요청하는 전화나 이메일에 대해서는 신중해야 한다. 해당 기관의 직원임을 확인하기 위해 별도의 조치를 취하거나 직접 연락하여 확인하는 것도 좋다.

  6. 개인정보보호법 준수 : 개인정보 보호에 대한 법률과 규정을 준수한다. 조직 또는 기업에서는 개인정보 보호에 대한 정책을 수립하고, 직원들에게 교육을 제공하여 개인정보 유출을 예방할 수 있도록 한다.

  7. 안전한 파일 및 데이터 저장 : 개인정보를 저장하는 경우 안전한 방법으로 보호되는 저장매체를 사용한다. 이를 위해 암호화된 드라이브나 클라우드 서비스를 활용할 수 있다.

 

개인정보 유출은 심각한 문제이므로 개인정보 보호에 대한 조치를 항상 유념한다. 이러한 방법들을 사용하여 개인 정보보호에 효과적으로 대처할 수 있다.