개인정보 유출 사례, 미리 알고 똑똑하게 대비하자!

목차

  • 국내 개인정보 유출 사례
  • 개인정보 유출 사고, 왜 자꾸 일어날까?
  • 개인정보 보호를 위한 탁월한 안전장치
          마크애니 Privacy SAFER

지난주, 2년 전 발생했던 서울대학교병원 해킹 사건의 배후가 북한인 것으로 밝혀져 국내에 큰 충격을 안겼어요.

2021년 서울대학교병원 환자 81만여 명과 직원 1만 7천 명, 총 83만 여명의 개인정보가 유출됐는데요. 국내 사이버테러수사대 조사에 따르면 북한 해커조직이 서울대학교병원을 이용하는 많은 유력인사의 정보를 확보하기 위해 서울대학교병원 내 개인정보를 빼낸 것으로 밝혀졌죠. 해당 사건 이후 서울대학교병원은 안전조치 의무 위반으로 7000만 원 상당의 과징금을 물게 됐고요.

 

조사에 참여한 사이버테러수사대는 “의료분야 외 다른 산업분야에도 개인정보 탈취 위협이 계속될 것”이라고 전망했는데요. 실제로 국내에서는 기업 임직원과 고객 정보를 노린 개인정보 유출 사고가 계속해서 발생하고 있어요.

국내 개인정보 유출 사례

개인정보침해사례
©마크애니
1. 국토교통부 개인정보 관리 소홀로 과징금 2500만 원 처분

2023년 5월 10일 국토교통부(이하 국토부)는 개인정보보호법 제24조 3항을 위반해 과징금 2500만 원을 내게 됐어요. 국토부는 건축 행정 시스템을 수정하는 과정에서 해당 시스템에 등록된 개인들의 주민등록번호를 무더기로 유출시켰어요. 개인정보위원회에 따르면 주민등록번호와 같은 고유식별 정보를 처리하는 경우 해당 고유식별 정보가 분실이나 유출, 위·변조되지 않도록 암호화해야 하는데 국토부는 이를 지키지 않아 과징금을 물게 된 것이죠.

 

2. LG U+ 이용 고객 개인정보 29만 건 유출

올해 초 LG U+ 이용 고객 29만 명의 개인정보가 해킹으로 인해 유출됐어요. 개인별로 차이가 있지만 성명, 생년월일, 전화번호 등 중요한 정보까지 포함되어 있었죠. 심지어 29만 명 중 18만 명은 현재 유플러스 이용 고객이지만 11만 명은 해지 고객 데이터라고 해요. 이에 LG U+는 정보보호 조직과 투자를 확대하는 등 사이버 보안에 힘쓰겠다고 밝혔죠.

 

3. 명품 플랫폼 스타트업 발란, 고객 개인정보 유출

2015년에 설립된 온라인 럭셔리 플랫폼 스타트업 발란도 해킹으로 인해 고객 정보를 탈취당했어요. 2022년 3월, 4월 두 차례에 걸쳐 약 162만 건의 개인정보가 유출됐는데요. 유출된 정보에는 고객 이름, 주소, 전화번호 등 민감한 정보가 포함되어 있었죠. 심지어 소셜 로그인 기능 오류로 다른 이용자에게 해당 고객의 개인정보가 노출되는 사고도 있었고요.

조사 결과, 발란은 개인정보 처리 시스템에 접근하는 IP 주소를 제한하지 않았고 미사용 관리자 계정도 삭제하지 않은 것으로 밝혀졌어요. 해커는 미사용 관리자 계정을 해킹해 고객 개인정보를 유출한 것이죠.

 

이 외에도 2022년 6월 전자책 서비스 밀리의 서재는 해킹 공격으로 1만 건이 넘는 회원 정보를 유출시켰고, 온라인 여행 플랫폼 여기어때에서는 2017년 사이버 공격으로 예약정보 324만 건, 7만 8000명 상당의 회원정보가 유출됐죠.

개인정보 유출 사고, 왜 자꾸 일어날까?

개인정보 유출 사고 66% ‘안전조치 미흡’
개인정보 침해사례
©마크애니

한국인터넷진흥원(KISA)에 따르면 2022년 개인정보 위반 사례 중 안전조치 의무 위반 행위가 66%로 가장 높다고 해요. 유출통지(16%), 개인정보 미파기(10%), 개인정보 활용 동의(9%), 개인정보 열람(2%)보다 훨씬 높은 비중을 차지하고 있죠.

 

안전조치 의무 위반 유형 중 높은 비율을 차지하는 행위는 개인정보 문서를 저장·전송 시 암호화(25%) 하지 않는 것과 접속기록을 보관·점검(22%) 하지 않는 것이에요. 이런 경우 누가 언제 문서를 유출했는지 알 수 없고 외부에서도 쉽게 개인정보를 확인할 수 있어요.

 

그다음으로는 공개·유출 방지 조치(19%), 접근 권한 관리 (15%), 안전한 접속·인증수단 마련(13%), 시스템 설치·운영(6%) 하지 않는 것인데요. 안전한 조치 방안과 시스템 구축이 마련되어 있지 않으면 누구나 쉽게 개인정보 데이터에 접근할 수 있죠.

 

그래서 개인정보위원회는 기업이 개인정보를 안전하게 처리할 수 있도록 ‘개인정보 안전성 확보 조치 기준‘을 제시했어요. 개인정보 암호화와 접속기록을 보관할 수 있는 방안을 마련하고 유출 사고 대응 계획을 수립해야하는 등을 담은 기준이죠. 조치 기준에 제시된 사항을 소홀히해 개인정보 도난, 유출, 위변조, 훼손 사고를 만든 기업에게는 법적 제재를 가하고 있고요.

 

하지만 안전성 확보 조치 기준에 맞는 장치를 하나하나 마련하기도 힘들고, 매일 개인정보가 포함된 수많은 문서를 모니터링 하는 것도 쉽지 않죠.

개인정보 보호를 위한 탁월한 안전장치,

마크애니 Privacy SAFER

개인정보 보호
©마크애니

그래서 다수의 국내 공공, 금융, 의료 기관과 기관은 마크애니 프라이버시 세이퍼(Privacy SAFER)를 도입했어요. 국내외 개인정보보호법에 따라 설계된 시스템으로 번거로운 개인정보 처리를 안전하고 간편하게 할 수 있기 때문이죠.

 

프라이버시 세이퍼는 PC에 저장된 모든 파일 실시간으로 검사해 개인정보를 검출해요. 이름, 주민번호, 성별, 연락처, 카드번호 등 다양한 형태의 개인정보 패턴을 탐지하죠. 문서에서 개인정보가 검출되면 알림을 통해 실시간으로 대응할 수 있죠.

개인정보 유출
Privacy SAFER 구성도 ©마크애니

개인정보보호법에 따라 개인정보가 검출된 PC 문서를 자동으로 암호화해요. 오프라인에서도 개인정보 유출을 방지할 수 있도록 인쇄 전 개인정보가 검출된 문서는 관리자에게 승인을 받아야만 프린트할 수 있도록 했죠. 그리고 출력물에서는 개인정보가 전부 모자이크 처리가 되어 나와요. 이를 통해 개인정보 유출을 원천 차단할 수 있죠.

개인정보뿐만 아니라 기업 대외비 보호를 위해 활용할 수도 있어요. 중요 키워드 지정 검색 기능을 활용해 기밀, 일급 등 사내에서 활용하는 대외비 용어를 등록해 외부 유출이 불가한 파일을 쉽게 찾을 수 있죠. 개인정보, 대외비 등 중요 정보가 담긴 문서 열람은 직급별, 부서별로 관리할 수 있어요. 마크애니 프라이버시 세이퍼는 개인정보보호법을 근거로 개발돼 개인정보 안전성 확보 조치 기준에 적합한 솔루션으로, 개인정보를 안전하게 관리하고 외부 유출을 원천 차단하는 개인정보 보안 필수 솔루션입니다.

개인정보 보호장치를 마련하는 것은 이제 기업의 선택이 아닌 필수 의무예요.

고객, 임직원 등 무분별하게 쌓이는 다량의 개인정보를 개인정보 보안 솔루션으로 안전하게 관리해 개인정보 유에 똑똑하게 대응하시길 바랍니다.

출처

해커들은 왜 ‘스타트업’ 노리나?, 주간현대, 23-05-12

개인정보유출 66% `안전장치 미흡`, 디지털타임스, 23-05-07

온라인 쇼핑몰 ‘발란’ 고객 개인정보 유출로 과징금 5억, 보안뉴스, 22-08-10

LG유플러스 개인정보 유출사고로 되짚어본 LG그룹 해킹사건 일지, 보안뉴스, 23-02-16

서울대병원·국토교통부 등에 공공기관 최초 개인정보보호법 위반 과징금 부과, 데일리시큐, 23-05-12

Edit, photos: 김미소

관련기사 더보기

지식 블로그 리스트 보기