개인정보보호위원회와 한국인터넷진흥원은 2024년에 신고된 개인정보 유출 사고를 분석하여, 원인별 예방책을 담은 「2024년 개인정보 유출 신고 동향 및 예방 방법」을 발간했다.
2024년에 있었던 개인정보 유출 신고는 총 307건으로, 전년도(318건)와 비슷한 양상을 보였다. 굳이 따지자면 오히려 줄어들었다고 할 수 있겠다.
전년도 보다 비중이 다소 높아지긴 했는데, 역시나 유출의 가장 큰 원인이 되는 것은 해킹이다. 여기서 원인 미상이라는 것이 대폭 늘어난 게 참 흥미롭다. 원인 미상이라는 것은 사실 어떤 사건이건, 있어서는 안되는 일이다. 원인을 모르면, 또 당한다는 것은 당연하기 때문이다. 그렇다면 왜 원인 미상일까? 원인이라는 것은 가장 단순하게 생각한다면, 로그에서 그 정보를 알아낼 수 있을 것이다. 그렇다면, 원인 미상이라는 것은 로그 관리가 제대로 되지 않았다는 이야기가 될 수도 있다. 예를 들어, 로그를 최대 6개월마다 보관하고, 기간이 경과한 것은 삭제하는데, 공격자가 그 기간인 6개월 이전에 공격을 했다는 것일 수 있다. 공격이 진행되고 있음에도 1년 내내 모르는 경우가 적지 않다는 것을 생각한다면, 충분히 합리적인 추측일 것이다.
해킹의 세부 유형으로 들어가면, 원인미상이 87건으로 절반을 차지한다. 해킹을 당한 건 알겠는데, 어떤 경로로 공격이 진행되었는지를 모른다는 것이다. 이것도 결국엔 로그 관리와 이어지는 부분일 것이다. 평소 이상한 로그를 확인하지 못한 것일 가능성이 높다. 짐작컨대, 원인미상에 포함된 공격들은 아마 그림의 우측에 표기된 공격들이 대부분일 것이다.
업무 과실로 들어가게 되면, 개인정보 파일을 게시한 문제가 27건으로 압도적인 1위를 기록하였다. 결국 이 모든 것은 개인정보에 대해 안일한 생각을 갖고 있기 때문일 것이다. 무엇이 개인정보이고, 무엇이 개인정보파일이고, 그것들을 전송하더라도 어떤 방식으로 해야하는지에 대한 이해가 부족한 탓일 것이다.
사실 업무과실은 결국 인식 제고를 위한 교육이 주된 방향성이 맞을 것이고, 그외에 해킹에 관해서는 새로운 정책이나 기타 보호조치를 마련해야 할 것이다. 크리데션 스터핑을 방지하기 위한 아이디/비밀번호 반복 대입행위를 탐지·차단하는 보호조치 마련, SQL 인젝션 관련공격을 탐지·차단할 수 있는 정책 설정 등이 있을 것이다.
'보안 > 뉴스' 카테고리의 다른 글
| 개인정보보호위원회, 개인정보를 목적 외로 이용한 ㈜우리카드에 과징금 134억 5,100만 원 부과 (1) | 2025.04.01 |
|---|---|
| 개보위, 개인정보 손해배상책임보장제도 합리화 방안 발표 (0) | 2025.03.31 |
| 2025 NIST 비밀번호 가이드라인의 주요 업데이트 (0) | 2025.03.19 |
| 개인정보위, 24년 개인정보 처리방침 평가 결과 공개 (0) | 2025.03.18 |
| GPT를 현명하게 이용하는 법 (0) | 2025.03.04 |