지난해 실제 자산 피해를 동반했던 국내 암호화폐 거래소 해킹 사고가 올해도 이어질 것이란 관측이 나왔다.
19일 소만사(대표 김대환)는 이같은 내용을 포함해 2017년 국내외 발생한 보안사고와 세계 각지에서 시행되는 규제를 바탕으로 개인정보보호 이슈를 10가지로 정리해 발표했다.
소만사가 꼽은 국내이슈 5가지는 ▲암호화폐 거래소 해킹 ▲3천300만건의 개인정보를 가진 범죄자 1명의 PC ▲해킹과 내부자의 고의유출에 초점을 맞춘 KISA 개인정보 유출사고 분석 ▲소상공인과 대리점의 개인정보 관리문제 ▲북한발 랜섬웨어 공격 확대다.
또 회사가 꼽은 해외이슈 5가지는 ▲유럽 GDPR 시행 ▲중국 네트워크 안전법 시행 ▲미국 뉴욕 NYCRR500 시행 ▲야후 30억명 개인정보 유출사고 ▲미국 신용평가기관 에퀴팩스 개인정보 유출사고다.
소만사는 “2017년은 글로벌 개인정보보호 법규의 변화가 일어났던 해”라며 “2018년에는 유럽, 미국, 중국 개인정보 관련법규 개정에 따른 국내 기업의 대응방향이 주된 관심사가 될 것”이라고 밝혔다.
■국내이슈 5가지 "거래소 해킹·내부정보 유출·개인정보 불법처리"
첫째, 암호화폐 거래소 유빗은 2017년 4월 해킹 피해로 비트코인 3천800여개를 도난당하고 12월 재차 해킹을 당해 거래 중단 및 파산절차 진행을 선언했다. 유빗은 전체 자산 17%인 약 170억원 규모 손실을 입었다. 또 빗썸은 2017년 6월 해킹을 당하고 개인정보를 유출해 방송통신위원회로부터 과징금 4천350만원, 과태료 1천500만원, 책임자 징계권고 등 행정처분을 받았다.
소만사는 "금융회사보다 보안관련 규제가 상대적으로 느슨한 만큼 보안이 취약한 비트코인 거래소는 2018년에도 해커들의 공격대상이 될 가능성이 높다"고 내다봤다.
둘째, 인천지방경찰청 사이버수사대는 2017년 7월 인터넷을 통해 개인정보를 거래하려다 검거된 20대 용의자의 노트북 컴퓨터에서 3천300만건의 개인정보가 발견됐다. 용의자는 당시 국내 투자선물회사 유진투자선물과 학술논문 사이트 디비피아 등 20개 업체 개인정보를 해킹해 저장한 혐의를 받았다.
셋째, 2017년 8월 한국인터넷진흥원에 따르면 2014~2016년 발생한 개인정보 유출사고의 원인 비중은 해킹 공격(59%)이 가장 컸고 내부직원 및 관리자 부주의로 인한 유출(14.6%)이 다음으로 컸다.
소만사는 "내부자의 고객정보 오남용은 기업에 대한 신뢰와 이미지에 큰 타격을 줄 수 있기 때문에 철저한 유출통제 관리가 필요하다"며 "인터넷을 통해 내부 개인정보 유출이 빈번해 대책이 요구된다"고 지적했다.
넷째, 2017년 12월 방통위는 통신사 영업점 가운데 개인정보 1천700만건을 제때 파기하지 않아 정보통신망 이용촉진 및 정보 보호 등에 관한 법률 및 시행령을 위반한 24개 업체에 과태료 3억4천만원 부과 및 시정조치 명령을 내렸다. 개인정보를 무기한 보유하거나 불법수집하는 등 정도가 심하다고 판단된 통신사 영업점 8개사 대상 조사결과는 대검찰청 개인정보범죄 합동수사단에 넘기기로 했다.
다섯째, 2017년 5월 랜섬웨어 워너크라이가 전세계를 강타했다. 공격자는 마이크로소프트 윈도 취약점을 이용해 최소 23만대의 컴퓨터를 감염시키고 저장된 파일과 자료를 볼모삼아 돈을 요구했다. 이후 미국 국토안보부는 공격 배후로 북한을 지목했다.
소만사는 "캐나다, 뉴질랜드, 일본 등이 미국의 결론에 동조했고 영국 외무부도 공식적으로 랜섬웨어 공격의 배후로 북한을 지목하며 악의적인 사이버 활동을 용납하지 않을 것이라고 경고했다"며 "랜섬웨어 피해를 줄이려면 정기적인 백업과 백업서버의 분리 보관이 이루어져야 한다"고 강조했다.
■해외이슈 5가지 "유럽 GDPR·중국 네트워크보안법·미국 금융IT 데이터보안규제 강화"
첫째, 유럽연합이 2018년 5월 25일부터 개인정보보호지침을 대신하는 일반개인정보보호규정(GDPR)을 시행한다. GDPR 위반 기업은 세계 연매출 4% 또는 2천만 유로 중 더 높은 금액을 과징금으로 물게 된다. EU에 사업장이 없더라도 EU 거주 정보 주체에게 서비스를 제공하는 기업들 또한 GDPR 적용을 받는다.
소만사는 "GDPR은 빅데이터 분석을 통한 가치 창출을 위해 규제를 완화해 가명처리를 취한 경우 개인정보를 동의 없이 처리할 수 있다"고 설명했다.
둘째, 중국 정부는 2017년 6월 1일 최초로 사이버보안을 종합적으로 다루는 새로운 네트워크 보안법을 시행했다. 법은 네트워크 설비 시설 보안, 네트워크 운영 보안, 네트워크 데이터 보안, 네트워크 정보 보안 관련 내용을 포함했다.
소만사는 "법에 따라 중국 내에서 수집한 개인정보는 중국 내에 저장해야 하며, 2018년 12월부터는 국외반출이 제한된다"며 "위반시 과징금, 구류 외에 사업정지까지 받을 수 있어 중국에 진출한 국내기업들의 철저한 준비가 필요하다"고 조언했다.
셋째, 미국 뉴욕주는 2017년 3월 1일 금융기관들의 사이버 보안사고 예방과 고객정보 보호를 위한 사이버 보안 규정 'NYCRR 500'을 시행했다. 뉴욕 소재 모든 금융기관이 적용 대상이다. 기존 금융IT보안 규제와 달리 데이터 중심 보안 체계구축을 위한 조항(유출통제, 파기, 접근통제, 암호화 등)을 포함하고 있다.
관련기사
- 암호화폐 거래소, 어떤 보안대책 필요한가2018.01.20
- KISA, 암호화폐 거래소 사이버보안 대응역량 지원2018.01.20
- 암호화폐, 해킹에 안전?…유빗은 왜 당했나2018.01.20
- 암호화폐 거래소 '유빗' 해킹…피해자 원금 회수 어려워2018.01.20
넷째, 지난 2013년에 계정 유출을 일으킨 야후(현 Oath) 해킹 사고 피해규모가 당초 알려진 것의 3배인 30억명인것으로 2017년 10월 드러났다. 야후가 보유한 텀블러, 판타지 스포츠, 플리커 등의 이용자 계정이 유출 피해 대상에 포함돼 있었다.
다섯째, 미국 신용평가기관인 에퀴팩스(Equifax)가 해킹을 당해 미국인 1억4천300만명의 개인신용정보가 유출됐다. 유출 정보 항목에 이름, 주소, 생년월일, 이메일뿐아니라 사회 보장 번호, 운전면허 번호 등이 포함됐다. 이 여파로 에퀴팩스 주가가 폭락했고, 최고정보책임자(CIO), 최고보안책임자(CSO), 최고경영자(CEO)가 자리에서 물러났다.
