신시웨이 | 데이터베이스 보안 전문 기업 - PR

‘개인정보 유출사고’ 및 '개인정보 노출 사고', 매년 뉴스 헤드라인에서 자주 볼 수 있는 문구입니다. 매년 발생하는 개인정보의 유출과 노출은 비슷해보이지만 서로 다른 개념입니다.

개인정보 유출?

개인정보 유출이란 법령이나 개인정보를 운용하는 법인, 단체, 개인 등이 개인정보에 대한 통제를 상실하거나 권한 없는 자의 접근을 허용한 것을 말합니다. 개인정보 유출은 개인정보보호법에서 정의하고 있으며 개인정보를 유출했을 경우 형사처벌대상에 해당합니다.

개인정보보호법에 따르면 개인정보 유출은 다음중 하나에 해당하는 경우입니다.

1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우

2. 개인정보가 저장된 데이터베이스 등 개인정보 처리 시스템에 정상적인 권한이 없는 자가 접근한 경우

3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우

4. 기타 권한이 없는 자에게 개인정보가 전달된 경우

최근 발생한 개인정보 유출 사고로는 2022년 3월 16일, 명품쇼핑몰 발란(BALAAN)에서는 허가되지 않은 외부 접속자가 비정상적 방식으로 회원정보에 접근하여 이메일, 전화번호, 생년월일 등 고객의 개인정보가 유출된 발란 측에서는 유사 침해가 발생하지 않도록 침입방지 시스템을 추가 도입하고 유출 시 2차 피해 최소화를 위해 24시간 모니터링을 진행하였다고 알렸으나 한달 뒤인 4월에 추가 해킹피해가 발생하여 보안상의 취약점이 드러났습니다. 이외에도 제주항공 탑승객 결제정보 유출 사건(2021.03), 서울대 병원 환자 및 직원의 개인정보 유출 사건(2021.07), 밀리의 서재 회원정보 유출 사건(2022.06) 등 기업의 주요 데이터인 고객의 개인정보가 유출되는 사고가 발생하였습니다.

개인정보 노출?

반면 개인정보의 노출이란 해커등에 의해 개인정보가 외부로 빠져나가 공개되는 상태이며, 타인의 고의가 아닌 개인정보 소유자 스스로의 실수로 인해 노출되는 경우도 있습니다. 개인정보 노출은 유출과는 다르게 법적으로 정의되어있지 않으며, 형사처벌대상 또한 아닙니다.

개인정보의 노출 사례로는 2021년 10월 쿠팡에서 약31만명의 개인정보가 노출된 사례가 있습니다. 쿠팡 앱의 상품 주문 후 확인 단계에서 본인이 아닌 다른 사람의 이름과 주소가 일부 노출되는 사고가 약 1시간동안 발생하였고, 쿠팡 측에서는 앱 개선작업중에 발생한 사고로 즉시 필요한 보안조치를 마쳤다고 밝혔습니다.

코로나 이후 증가한 개인정보 유·노출 사고

이처럼 코로나19가 발생한 2020년 이후로 온라인 상에서의 활동이 증가함에 따라 기업에서의 주요 데이터 및 개인정보 유·노출 사고는 국내외로 끊이지 않고 발생하였습니다. 개인정보보호위원회와 한국인터넷진흥원(KISA)이 발간한 ‘2021년 개인정보 보호 실태 조사’에서 44.3%의 1년간 국민이 개인정보 침해를 경험한 것으로 나타났습니다. 또한 IBM시큐리티에서 전 세계 500개 이상의 기업 및 조직에서 발생한 데이터 유출사례를 분석한 발표한 ‘2021년 데이터 유출 비용 보고서’에 따르면 기업들은 데이터 유출 사고로 평균 약 49억원의 손실을 본 것으로 나타났습니다. 특히 랜섬웨어 공격으로 인한 피해액이 약 53억원으로 다른 해킹 피해보다 큰 것으로 나타났습니다. 특히 코로나 기간 동안 증가한 재택근무와 클라우드로의 전환과 같은 근무방식에 적절한 보안 수준이 아직 갖춰지지 않아 사이버 사고에 대응하지 못한 것으로 발표하였습니다.

기업의 해결 방안은?

이처럼 개인정보의 유·노출 사고는 대기업, 중견기업 등 기업의 규모에 관계없이 발생하고 있습니다.기업들은 주요 데이터 및 정보를 보호하기 위해 허가된 사용자만 데이터에 접근을 허용하는 접근제어, 주요 정보 암호화 등의 조치가 필요합니다. 신시웨이의 접근제어 솔루션 페트라(PETRA)는 감사로그 통합관리, 보안정책 중앙관리, 감사로깅, 보안관리자 계정별 권한분리 등의 기능을 통해 기업에 효과적인 보안체제를 구축할 수 있도록 합니다. 또한 신시웨이의 암호화 솔루션(PETRA CIPHER)는 인증받은 암호화 모듈, 중복 암호화 방지 등의 기술로 데이터와 파일을 암호화하여 주요 정보를 안전하게 보호합니다. 기업에서는 이와 같은 접근제어 및 암호화 솔루션을 통해 기업의 주요 데이터 및 고객의 개인정보를 안전하게 보호할 수 있을 것이며, 유·노출사고를 방지할 수 있을 것입니다. 이처럼 주요 데이터를 보호하기 위한 사전 조치도 중요하지만, 사고가 발생했을 경우 유출 사실에 대한 고지 및 적절한 구제 방안 등과 같은 사후 조치 또한 적극적으로 진행되어야 할 때입니다.

출처 및 참고자료

개인정보보호보법

개인정보보호위원회

PREV
만 34세 이하라면 가입하자! 청년 우대형 청약통장
2022-07-20
NEXT
기업 보안을 위한 필수사항, DRM과 암호화
2022-07-27

PREV	만 34세 이하라면 가입하자! 청년 우대형 청약통장 2022-07-20

NEXT	기업 보안을 위한 필수사항, DRM과 암호화 2022-07-27

List