김주영 한국인터넷진흥원(KISA) 개인정보안전활용본부장
정부·기업·개인 공동대응에 협력을
계정보안 강화…유출여부 확인하길
인공지능(AI)을 중심으로 한 디지털 대항해 시대가 도래한 가운데, 우리의 삶 역시 새로운 전환점을 맞이하고 있다. 쇼핑과 OTT(온라인 동영상 서비스) 등 다양한 산업에서 AI를 통해 개인 맞춤형 서비스를 제공하고, 이용자는 AI가 생성하고 추천한 서비스를 이용하는 데 제법 익숙해졌다. 그렇다면 기술의 발달로 인한 혜택은 이용자만 누리는 것일까? 애석하게도 개인정보를 노리는 해커에게도 유리한 상황을 만들었다.
지난해 개인정보 유출 신고 318건 중, 해커 공격으로 인한 유출이 절반(약 48%)에 이른다. 하지만 이것은 단지 시작에 불과하다. 우리의 개인정보를 노리는 해커는 기술 발달과 함께 수법 또한 고도화하고 있으며, 자동화된 도구로 무분별한 공격을 끊임없이 시도하고 있다.
특히, 한번 유출된 개인정보는 단순한 일회성 피해에 더해, 범죄에 악용되거나 금전적 피해를 유발하는 N차 피해를 야기한다. 실제로 이미 탈취한 사용자의 계정 정보(아이디, 패스워드)를 악용해 다양한 웹사이트에 불법 접속을 시도하는 크리덴셜 스터핑(Credential Stuffing) 공격이 지난해 급증했다. 대부분의 이용자가 동일한 계정 정보를 사용한다는 특성을 이용해 불법적으로 수집한 계정 정보를 여러 웹사이트에 대입해 이용자의 권한을 노린 것이다.
기업이 이러한 공격에 속수무책으로 당하지 않으려면 유출 사고 주원인에 대한 기술적·관리적 안전 조치를 사전점검하고 개선하는 등 해커에게 뚫리지 않기 위한 방어선을 구축하는 것이 그 무엇보다 중요하다.
주요 방안으로는 서버 및 보안장비에 접속을 시도하는 데이터를 분석해 임계치를 설정하거나, 비정상적으로 접속을 시도하는 IP(인터텟 프로토콜)를 차단하는 등의 기술적 조치가 필요하다. 또한, 기업은 해커가 자동화된 도구로 무차별적 로그인 시도하는 것을 예방하기 위해 일정 횟수 이상 로그인 실패 시 로그인 절차에 2차 인증수단과 캡차(Captcha) 등을 추가 적용함으로써 인증을 강화할 수 있다.
정부도 국가 전반의 개인정보 보호수준 제고에 매진하고 있다. 2023년 9월 개정 시행된 개인정보 보호법에서 보호수준 평가제도와 처리방침 평가제도를 도입해 공공, 민간에서의 개인정보 관리 강화를 도모했다. 또한, 온오프라인 사업자가 다르게 적용받던 기준을 일원화해 사업자의 혼선을 방지했으며, 과징금 부과 기준을 강화해 개인정보를 처리하는 사업자가 자발적으로 노력할 수 있는 환경을 조성했다.
그렇다면 개인정보 유출 피해가 발생한 국민을 어떻게 보호할 수 있을까? 한국인터넷진흥원(KISA)은 2021년 11월부터 ‘털린 내 정보 찾기 서비스‘를 운영하고 있다. 국민 누구나 이 서비스를 통해 본인의 계정 정보(아이디, 패스워드)가 다크웹 등 음성화 사이트에 유출된 계정 정보와 일치하는지 여부를 확인할 수 있다. 이를 통해 지난해까지 국민 10만여 명이 계정 정보 유출 여부를 발견하고 조치를 취했다.
이 외에도 일상 속에서 ‘웹사이트 회원탈퇴 서비스’를 통해 자신의 개인정보를 안전하게 지킬 수 있다. 사용하지 않는 서비스는 회원 탈퇴하거나, 포털 클라우드 등을 로그인할 때는 반드시 2단계 인증을 이용하는 것이 중요하다.
인류 문명의 흐름을 바꾼 15세기 대항해 시대처럼, 우리는 또 한번 AI 등 디지털 신(新)기술과 함께 새로운 디지털 대항해 시대를 열어가고 있다. 물론 대항해 시대는 식민지 등 어두운 이면을 남기기도 하였다. 우리 역시 해커에 의한 개인정보 유출 등 각종 부작용을 낳지 않도록 정부를 비롯한 기업, 국민 모두가 개인정보 보호에 대한 중요성을 인식하고 이를 실천할 수 있도록 지속적으로 노력해야 할 것이다. 인류사에 중요한 업적을 남길 디지털 대항해 시대에 안전하고 신뢰할 수 있는 디지털 신대륙을 개척하며 순항할 수 있길 기대한다.