재미있는 보안 이야기

개인정보 유출 사례, 미리 알고 똑똑하게 대비하기!



2021년 서울대학교병원 환자 81만여 명과 직원 1만 7천 명, 총 83만 여명의 개인정보가 유출되었던 적이 있었습니다. 국내 사이버테러수사대 조사에 따르면 북한 해커조직이 서울대학교병원을 이용하는 많은 유력인사의 정보를 확보하기 위해 서울대학교병원 내 개인정보를 빼낸 것으로 밝혀졌습니다. 해당 사건 이후 서울대학교병원은 안전조치 의무 위반으로 7000만 원 상당의 과징금을 물게 됐습니다. 조사에 참여한 사이버테러수사대는 “의료분야 외 다른 산업분야에도 개인정보 탈취 위협이 계속될 것”이라고 전망했는데 실제로 국내에서는 기업 임직원과 고객 정보를 노린 개인정보 유출 사고가 계속해서 발생하고 있습니다.


국내 개인정보 유출 사례




1. 국토교통부 개인정보 관리 소홀로 과징금 2,500만 원 처분

2023년 5월 10일 국토교통부(이하 국토부)는 개인정보보호법 제24조 3항을 위반해 과징금 2,500만 원을 내게 됐습니다.  국토부는 건축 행정 시스템을 수정하는 과정에서 해당 시스템에 등록된 개인들의 주민등록번호를 무더기로 유출시켰다고 합니다. 개인정보위원회에 따르면 주민등록번호와 같은 고유 식별 정보를 처리하는 경우 해당 고유식별 정보가 분실이나 유출, 위·변조되지 않도록 암호화해야 하는데 국토부는 이를 지키지 않아 과징금을 물게 된 것입니다. 



2. LG U+ 이용 고객 개인정보 29만 건 유출

올해 초 LG U+ 이용 고객 29만 명의 개인정보가 해킹으로 인해 유출됐습니다. 개인별로 차이가 있지만 성명, 생년월일, 전화번호 등, 중요한 정보까지 포함되어 있었죠. 심지어 29만 명 중 18만 명은 현재 유플러스 이용 고객이지만 11만 명은 해지 고객 데이터라고 합니다. 이에 LG U+는 정보보호 조직과 투자를 확대하는 등 사이버 보안에 힘쓰겠다고 밝혔습니다.



3. 명품 플랫폼 스타트업 발란, 고객 개인정보 유출

2015년에 설립된 온라인 럭셔리 플랫폼 스타트업 발란도 해킹으로 인해 고객 정보를 탈취 당했습니다. 2022년 3월, 4월 두 차례에 걸쳐 약 162만 건의 개인정보가 유출됐는데요. 유출된 정보에는 고객 이름, 주소, 전화번호 등 민감한 정보가 포함되어 있었습니다. 심지어 소셜 로그인 기능 오류로 다른 이용자에게 해당 고객의 개인정보가 노출되는 사고도 있었다고 합니다.조사 결과, 발란은 개인정보 처리 시스템에 접근하는 IP 주소를 제한하지 않았고 미사용 관리자 계정도 삭제하지 않은 것으로 밝혀졌습니다. 해커는 미사용 관리자 계정을 해킹해 고객 개인정보를 유출한 것입니다. 이 외에도 2022년 6월 전자책 서비스 밀리의 서재는 해킹 공격으로 1만 건이 넘는 회원 정보를 유출시켰고, 온라인 여행 플랫폼 '여기어때'에서는 2017년 사이버 공격으로 예약정보 324만 건, 7만 8000명 상당의 회원정보가 유출됐다고 합니다. 


개인정보 유출 사고, 왜 자꾸 일어날까?

개인정보 유출 사고 66% ‘안전조치 미흡’


한국인터넷진흥원(KISA)에 따르면 2022년 개인정보 위반 사례 중 안전조치 의무 위반 행위가 66%로 가장 높다고 합니다. 유출통지(16%), 개인정보 미파기(10%), 개인정보 활용 동의(9%), 개인정보 열람(2%)보다 훨씬 높은 비중을 차지하고 있습니다. 안전조치 의무 위반 유형 중 높은 비율을 차지하는 행위는 개인정보 문서를 저장·전송 시 암호화(25%) 하지 않는 것과 접속기록을 보관·점검(22%) 하지 않는 것입니다. 이런 경우 누가 언제 문서를 유출했는지 알 수 없고 외부에서도 쉽게 개인정보를 확인할 수 있습니다. 그다음으로는 공개·유출 방지 조치(19%), 접근 권한 관리 (15%), 안전한 접속·인증수단 마련(13%), 시스템 설치·운영(6%) 하지 않는 것입니다. 안전한 조치 방안과 시스템 구축이 마련되어 있지 않으면 누구나 쉽게 개인정보 데이터에 접근할 수 있습니다. 


그래서 개인정보위원회는 기업이 개인정보를 안전하게 처리할 수 있도록 ‘개인정보 안전성 확보 조치 기준‘을 제시했습니다. 개인정보 암호화와 접속기록을 보관할 수 있는 방안을 마련하고 유출 사고 대응 계획을 수립해야하는 등을 담은 기준입니다. 조치 기준에 제시된 사항을 소홀히해 개인정보 도난, 유출, 위변조, 훼손 사고를 만든 기업에게는 법적 제재를 가하고 있습니다. 하지만 안전성 확보 조치 기준에 맞는 장치를 하나하나 마련하기도 힘들고, 매일 개인정보가 포함된 수많은 문서를 모니터링 하는 것도 쉽지 않습니다. 


그래서 다수의 국내 공공, 금융, 의료 기관과 기관은 마크애니의 개인정보 보호 솔루션을 도입 했습니다. 국내외 개인정보보호법에 따라 설계된 시스템으로 번거로운 개인정보 처리를 안전하고 간편하게 할 수 있기 때문입니다. 솔루션을 통해 PC에 저장된 모든 파일 실시간으로 검사해 개인정보(이름, 주민번호, 성별, 연락처, 카드번호)의 패턴을 탐지하여 검출해 낼 수 있습니다. 문서에서 개인정보가 검출되면 알림을 통해 실시간으로 대응할 수 있습니다. 

[개인정보 유출Privacy SAFER 구성도 ©마크애니]


또한, 개인정보보호법에 따라 개인정보가 검출된 PC 문서를 자동으로 암호화합니다. 오프라인에서도 개인정보 유출을 방지할 수 있도록 인쇄 전 개인정보가 검출된 문서는 관리자에게 승인을 받아야만 프린트할 수 있도록 했습니다. 그리고 출력물에서는 개인정보가 전부 모자이크 처리가 되어 나옵니다. 이를 통해 개인정보 유출을 원천 차단할 수 있습니다. 개인정보뿐만 아니라 기업 대외비 보호를 위해 활용할 수도 있습니다. 중요 키워드 지정 검색 기능을 활용해 기밀, 일급 등 사내에서 활용하는 대외비 용어를 등록해 외부 유출이 불가한 파일을 쉽게 찾을 수 있습니다.  개인정보, 대외비 등 중요 정보가 담긴 문서 열람은 직급별, 부서별로 관리할 수 있습니다. 마크애니 프라이버시 세이퍼는 개인정보보호법을 근거로 개발돼 개인정보 안전성 확보 조치 기준에 적합한 솔루션으로, 개인정보를 안전하게 관리하고 외부 유출을 원천 차단하는 개인정보 보안 필수 솔루션입니다.


개인정보 보호장치를 마련하는 것은 이제 기업의 선택이 아닌 필수 의무입니다. 고객, 임직원 등 무분별하게 쌓이는 다량의 개인정보를 개인정보 보안 솔루션으로 안전하게 관리해 개인정보 유출에 똑똑하게 대응하시길 바랍니다. 

Social Media Links

솔루션 소개

둘러보기

마크애니


(주)마크애니  서울시 중구 퇴계로 286 쌍림빌딩 13층  

(+82) 02-2262-5222ㅣ 사업자 등록번호 : 101-81-47345 

Copyright © 2023. MarkAny. All Rights Reserved.

솔루션 소개

둘러보기

고객지원

Social Media Links

(주)마크애니  서울시 중구 퇴계로 286 쌍림빌딩 13층 ㅣ 
(+82) 02-2262-5222 ㅣ 사업자 등록번호 : 101-81-47345 

Copyright © 2023. MarkAny. All Rights Reserved.