개인정보보호 침해는 내부자 유출 및 악성코드, 피싱, 파밍과 같은 외부자 공격으로 분류하며, 관리적/ 물리적/ 기술적 보호조치로 대응할 수 있습니다. 이 문서에서는 여러 침해사례, 공격유형에 대한 대응 방법에 대해서 자세히 알아보겠습니다
개인정보보호 유형
개인정보 보호를 위한 조치는 세부적으로 다음과 같이 관리적, 물리적, 기술적 측면으로 나누어 대응할 수 있습니다.
이전 글에서 관리적 보호 측면의 개인정보 보호의 대상과 가이드라인을 알아보았습니다. 이외에도 정보보호를 위해 다음과 같은 물리적, 기술적인 보호조치가 수반되어야 합니다.
관리적 보호 | 물리적 보호 | 기술적 보호 |
법률 및 가이드라인을 통한 관리측면의 정보보호 방안 | 접근통제 시스템의 설치 및 운영을 통해 물리적인 통제기준을 마련 | 네트워크 접근제어, 데이터 암호화, 익명화를 통한 개인정보의 기술적 통제 |
– OECD 가이드라인- 개인정보보호법 | – 출입통제장치- 물리적 망분리 | – 개인정보 익명화- 암호화 기술 |
물리적 보호는 비인가자의 접근을 물리적으로 통제하고 유무선 네트워크를 통한 유출을 막기 위해 물리적으로 망을 분리하는 등의 조치를 시행합니다. 다만, 이런 망분리는 비용이 크므로 사회기반 시설과 같은 중요시설에만 이뤄집니다.
기술적 보호의 경우 일반 기업이나 학교, 병원 같은 대규모 조직에서 비교적 간편하게 행할 수 있습니다. 가령, DLP, DRM과 같은 보안 솔루션을 적용하면 만에 하나 유출이 되더라도 피해 범위를 최소화 할 수 있습니다.
개인정보보호 침해사례
아래 그래프는 증가추세에 있는 우리나라 개인정보 침해 상담 건수를 나타내는 건수 입니다.
침해의 유형은 개인정보보호 가이드라인의 오해 및 내부자의 의도적 유출 사례도 있지만, 악의적인 의도를 가진 공격자에 의한 유출도 큰 비중을 차지합니다.
내부자 유출사례
- B시 공무원이 시립묘지 연고자 6,499명의 개인정보를 장묘업체에 유출
- A정유사 정보관리 담당자가 개인정보 판매 목적으로 고객정보 1,125만 건 유출
- C 교육청 장학사가 교육의원에 출마한 후배를 위해 관내 교직원 3,000명의 전화번호 이름을 유출
개인정보보호 공격유형
최근 2021년에 페이스북에서 5억 3,300만 명에 달하는 사용자 개인정보 유출 해킹에 의해 발생하여 큰 이슈가 된적이 있습니다.
공격유형 | 설명 |
APT 공격 | 특정 타깃을 두고 지능적이고 지속해서 취약점에 대한 공격을 지속하는 방식 |
파밍(Pharming) | 도메인의 탈취나 유사 도메인으로 가장하여 사용자의 접속을 유도하여 개인정보를 탈취하는 방식 |
악성코드 | 이메일의 첨부코드 또는 파밍된 사이트의 링크클릭등을 유도하여 사용자 디바이스에 악성코드를 심어 개인정보를 유출 |
피싱 | 위의 공격으로 취득한 개인정보를 이용한 2차 공격으로 금품요구, 입금 등을 요구하는 행위 |
Zero Day Attack | 아직 Patch 되지 않은 보안취약점을 이용하여 서버의 관리자 권한 등을 취득하여 개인정보를 대량 취득 |
애플리케이션 취약점 | OWASP에 보고된 인젝션, XSS, 무차별 대입공격 등의 취약점을 이용하여 서버에 침입하여 각종 주요 정보를 탈취 |
악성코드
이 중에서도 대표적으로 가장 흔한 공격방식은 악성코드를 통해 개인의 PC 및 스마트폰 등을 감염시키고 원하는 정보를 탈취하는 방식입니다. 악성코드에 관한 내용은 다음의 이전 글을 참고 바랍니다.
대응방법
악성코드 감염 예방을 위해 AhnLab의 무료 안티 바이러스 백신을 설치하거나, 또는 랜섬웨어 같은 악성코드에 이미 감염되었다면 KISA 랜섬웨어 복구 프로그램을 이용해 보는 것도 좋겠습니다. KISA에서는 2021년 부터 유행한 아래의 랜섬웨어 무료복구 툴을 제공하고 있습니다.
- Hive
- Ragnar
- DoppelPaymer
- Darkside REvil
- Sodinokibi
- Djvu
- LooCipher
복구 전 유의사항
복구를 시도하기 전에 다음 사항을 꼭 유의하시기 바랍니다.
- 감염된 PC에 연결된 저장장치 및 네트워크 연결을 끊는다. (다른 컴퓨터 확산금지)
- 이때 복구 프로그램은 별도의 USB에 저장하여 사용한다.
- 복구대상 파일은 복구 전 꼭 백업을 실시한다. (데이터 파손가능성)
마치며
이상으로 개인정보보호의 유형과 침해사례 및 공격유형 등에 대해 알아보았습니다. 만약 이런 조치 등에도 개인정보가 유출되었다면 암호화 조치를 취하거나 애초에 외부에 노출되지 않도록 방어기술도 중요합니다.
이에 대해서 이어지는 글에서 자세히 살펴보도록 하겠습니다.