.gif)
온라인과 오프라인 상에서 벌어지는 3가지 개인정보 위협과 대응방법
개인정보가 노출되는 상황은 어디나 존재...물리적인 접근 또한 주의 필요
[보안뉴스 박은주 기자] 정보의 바닷속 대 해적의 시대, 대 해커의 시대다. 해커는 호시탐탐 개인정보를 노리고 있다. 온라인과 오프라인을 가리지 않고 정보를 모으고 취약점을 악용해 공격한다. 사용자는 한시도 경계를 늦춰선 안된다. 온라인과 오프라인 상의 개인정보를 모두 위협하는 세 가지 타깃과 그에 따른 대응방법을 알아봤다.
[이미지=utoimage]
1. 택배
온라인 : 택배 사칭 스미싱 공격 기승
택배를 사칭한 스미싱 공격은 꾸준히 이어지고 있다. 택배 수요가 늘어나는 기념일이나 휴일을 집중적으로 노린다. 택배회사 혹은 지인을 사칭해 악성 링크가 담긴 메시지를 보내 링크를 클릭하도록 유도한다. 보안 전문 기업 이스트시큐리티가 2023년 2월 말 발표한 ‘1월 스미싱 트렌드 보고서’에서 택배를 키워드로 하는 공격이 65.8%를 차지한 것으로 드러났다. 스미싱 메시지의 링크를 클릭하면 사용자 모르게 악성 앱이 설치되고, 개인정보가 유출된다. 심지어 휴대전화의 제어권이 해커에게 넘어가기도 한다. 피해자는 개인정보 유출에 이어 휴대폰 소액결제 등 경제적 손실을 입을 수 있다.
스미싱 공격을 예방하는 방법은 간단하다. 메시지에 포함된 링크를 클릭하지 않고 삭제하는 것이다. 택배에 관련한 사항은 택배회사 홈페이지를 통해 알아보고, 만일 지인에게 온 링크 또한 재차 확인하는 게 안전하다. 더불어, 스마트폰 보안 설정을 강화해 두면 알 수 없는 출처의 앱 설치를 제한할 수 있다.
오프라인 : 이름, 연락처, 주소 노출로 범죄자의 타깃
현실에서도 택배를 이용한 범죄가 벌어진다. 범죄자들이 범죄를 계획할 때 가정 먼저 살펴보는 것이 택배와 우편이다. 특히, 택배에는 이름, 연락처, 주소가 노출되어 범죄자의 타깃이 되기 일쑤다. 2021년 서울 노원구에서 발생한 세 모녀 살인사건의 피의자도 택배 송장을 이용해 피해자의 주소를 알아냈다. 스토킹, 강도 살인사건 같은 강력 범죄에 택배 송장으로부터 얻은 개인정보가 악용된다. 범죄자는 택배 기사인 척 피해자의 집을 찾아가기도 한다.
한국교통연구원의 ‘물류산업 대국민 인식 조사’에 따르면 물류 서비스의 불편 중 38.4%가 ‘휴대폰 번호. 아파트 비밀번호 등 개인정보가 노출되어 불안하다’고 답했다. 택배 업체에서 개인정보 보호를 위해 개인정보 일부를 가려 표시한다. 그러나 택배사마다 개인정보를 보호하기 위한 방법이 달라 효과적으로 개인정보가 보호된다고 보기 어렵다는 지적이다. 예를 들어 각기 다른 택배회사에서 여러 개의 택배를 받을 때 A 택배사에선 이름을, B 택배사에선 전화번호 일부를 가린다. 두 가지 택배의 정보를 조합하면 온전한 개인정보를 알아낼 수 있다.
택배로 인한 개인정보 유출을 막는 여러 가지 방법이 제시된다. 택배를 받을 때 기입하는 개인정보를 임의로 변경하는 방법이 있다. 안심번호를 사용하면 개인 휴대전화 번호 대신 배송 기간 동안 임시로 사용할 수 있는 번호가 부여된다. 인터넷 커뮤니티에는 혼자 사는 사람이 택배 받을 때 사용하는 이름 리스트도 있다. ‘곽두팔’, ‘마춘재’ 등 어감이 세고 성인 남성으로 유추되는 이름이 정리돼 있다.
택배 송장에 적힌 개인정보를 지우는 아이디어 상품으로 ‘택배 송장 지우개’가 있다. 특수 용액이 담긴 지우개로 송장을 문지르면 내용이 지워진다. 물파스를 사용해도 동일한 효과를 볼 수 있다.
[이미지=utoimage]
2. 문서
온라인 : 문서중앙화 솔루션으로 전자 문서 보호
많은 업무 데이터는 문서로 구성된다. 사업계획서나 설계도면, 계약서 같은 기업 데이터와 고객 정보 등 민감한 개인정보가 담긴다. 코로나19 이후 새로운 환경에서 업무를 처리하게 되면서 직원의 개인 컴퓨터와 네트워크 등에서 다양한 보안 취약점이 발견됐다. 해커는 이러한 빈틈을 공격해 문서에 담긴 정보를 탈취해 간다. 또한, 내부자에 의해 정보가 유출되기도 한다.
이러한 온라인 문서는 문서중앙화 솔루션을 통해 정보 유출을 예방하고 사이버 공격에 대비할 수 있다. 문서중앙화는 문서를 직원 개별 PC가 아닌 회사의 중앙 서버나 스토리지에 저장하는 방식이다. 문서를 회사의 자산으로 취급해 외부 유출을 예방하고 관리자의 승인을 받아야 문서를 열람 및 사용할 수 있다. 기업이 직접 문서를 관리해 보안을 강화하고 내부자에 의한 정보 유출도 방지한다. 여러 보안 기업에서 문서중앙화 솔루션을 해법으로 제시하고 있다.
오프라인 : 버려진 문서 뒤져 개인정보 취득 가능...문서 세단기로 파쇄해야
전자 문서는 삭제되면 흔적이 남지 않는 반면, 현실에서는 버려진 문서 속 정보를 이용해 범죄를 저지른다. 인쇄된 개인정보를 종이의 무게만큼 가볍게 생각해 별도 처리 없이 버려 문제가 발생하는 경우가 많다. 버려진 문서를 뒤져 정보를 획득하고 그 정보를 바탕으로 사이버 범죄를 일으키는 것을 ‘덤스터 다이빙’ 또는 ‘가비지 피킹’이라 한다.
버린 문서를 주워갈까 내내 쓰레기통을 지킬 수 없으니 문서를 원형 그대로 버리지 말아야 한다. 가장 보편적인 방법은 ‘문서 세단기’를 사용하는 것이다. 세단기에 들어간 문서는 가늘게 절단돼 담긴 내용을 파악하기 어렵다. 더 큰 규모의 경우 문서 현장 파쇄 서비스가 있다. 폐기 예정인 문서가 일정량 이상 쌓이면 파쇄 차량이 방문해 문서를 파쇄 및 폐기한다.
개인이 사용할 수 있는 소형 수동 세단기도 있다. 문서를 파쇄해서 버리는 이유는 범죄자가 문서에서 정보를 얻는 것을 어렵게 만들기 위해서다. 최소한 손으로 잘게 찢어서 버리는 게 개인정보 유출을 예방할 수 있는 방법이다.
시민의 개인정보 유출을 예방하고자 지자체가 파쇄서비스를 제공하기도 한다. 성동구청은 2022년 2월부터 디지털저장매체 파기 서비스를 성동구 소재 주민을 상대로 제공해 왔다. 하드디스크, 컴퓨터, 핸드폰 등 민감한 정보가 담긴 저장매체도 완전히 파기할 수 있도록 돕는다. 서비스를 사용한 주민은 “개인정보 유출 걱정이 없어 안심된다”고 말했다.
[이미지=utoimage]
3. 사생활
온라인 : IoT/가전 기업부터 보안을 설계에 반영하는 Security by Design 전략 도입해야
2022년 연말 아파트 월패드 해킹으로 40만 가구의 사생활이 유출되는 사건이 발생했다. 편히 쉬어야 하는 안식처 집마저 감시당하고 있다는 불안에 떨어야 했다. 이렇듯 월패드와 웹캠이 부착된 노트북 등 카메라가 장착된 전자기기를 통해 사생활이 유출될 수 있다. 디지털 성범죄 사건인 N번방 사건의 전 운영자 ‘와치맨’ 전모 씨(39세) 또한 IP 카메라 해킹을 통해 다수의 사생활을 침해한 것으로 밝혀졌다.
그러나 개인 사용자가 전자기기를 열어 패킷을 분석하고 외부 공격을 차단하는 일은 사실상 불가능하다. 사생활 유출을 방지하기 위해 우선 카메라가 부착된 전자기기가 해킹 되면 사생활이 노출될 수 있다는 점을 인지해야 한다. 전자기기를 사용하지 않을 때는 전원을 끄고, 해킹 방지 스티커를 붙여 사생활 노출을 예방할 수 있다. 만일 전자기기를 사용하지 않았는데 위치가 바뀌었거나 카메라 회전이 일어났다면 해킹을 의심해 볼 수 있다.
IoT 기기나 전자기기를 구매하면 기본 설정된 아이디와 비밀번호를 변경하는 것이 필수적이다. 개인정보 보호를 위해 개인적 차원을 넘어 구조적 측면의 개선이 필요하다는 의견이 꾸준히 제기된다. 제조기업부터 보안을 설계에 반영하는 Security by Design 전략을 도입해야 한다는 것이다.
오프라인 : 클린데스크와 잠금설정 등 기본적인 보안수칙 필수
해커는 네트워크나 타인의 PC에 원격으로 침입해 개인정보를 탈취한다. 그러나 개인 사생활 및 개인정보 유출은 온라인상이 아닌 물리적인 접근 또한 주의해야 한다.
사무실 책상 위 무심코 적어놓은 계정정보 등을 통해 개인정보가 유출될 수 있다. 개인정보를 어깨너머로 엿보고 허락 없이 사용하는 방식의 개인정보 유출도 있다. 특히, 여러 사람이 함께 사용하는 공간에서 정보 유출 위험이 크다. 코로나19 이후, 어디에서든 일할 수 있는 원격근무 체제가 확립되면서 개인정보 노출 위험이 더 커졌다. 노출된 장소일수록 더욱 보안에 신경 써야 하며 자리를 비울 때 각별한 주의가 필요하다.
개인정보를 다룰 땐, 아무것도 믿지 않음으로 보안을 유지하는 ‘제로트러스트’ 원칙을 따르는 것이 안전하다. 모든 방면에서 보안을 철저히 지키는 습관이 요구된다. 평소 전자기기의 보안·잠금장치를 설정하고, 책상 위를 깨끗이 해 중요 문서와 정보가 방치된 채로 노출되지 않도록 하는 것이 중요하다. 모니터 엿보기를 방지하기 위해 프라이버시 보호 필름을 사용하는 방법도 있다. 이러한 필름을 사용하면 시야각에 따라 정면에서 보는 사용자를 제외하고 타인은 모니터 화면 내용을 확인할 수 없다.
[박은주 기자(boan5@boannews.com)]
개인정보가 노출되는 상황은 어디나 존재...물리적인 접근 또한 주의 필요
[보안뉴스 박은주 기자] 정보의 바닷속 대 해적의 시대, 대 해커의 시대다. 해커는 호시탐탐 개인정보를 노리고 있다. 온라인과 오프라인을 가리지 않고 정보를 모으고 취약점을 악용해 공격한다. 사용자는 한시도 경계를 늦춰선 안된다. 온라인과 오프라인 상의 개인정보를 모두 위협하는 세 가지 타깃과 그에 따른 대응방법을 알아봤다.
[이미지=utoimage]
1. 택배
온라인 : 택배 사칭 스미싱 공격 기승
택배를 사칭한 스미싱 공격은 꾸준히 이어지고 있다. 택배 수요가 늘어나는 기념일이나 휴일을 집중적으로 노린다. 택배회사 혹은 지인을 사칭해 악성 링크가 담긴 메시지를 보내 링크를 클릭하도록 유도한다. 보안 전문 기업 이스트시큐리티가 2023년 2월 말 발표한 ‘1월 스미싱 트렌드 보고서’에서 택배를 키워드로 하는 공격이 65.8%를 차지한 것으로 드러났다. 스미싱 메시지의 링크를 클릭하면 사용자 모르게 악성 앱이 설치되고, 개인정보가 유출된다. 심지어 휴대전화의 제어권이 해커에게 넘어가기도 한다. 피해자는 개인정보 유출에 이어 휴대폰 소액결제 등 경제적 손실을 입을 수 있다.
스미싱 공격을 예방하는 방법은 간단하다. 메시지에 포함된 링크를 클릭하지 않고 삭제하는 것이다. 택배에 관련한 사항은 택배회사 홈페이지를 통해 알아보고, 만일 지인에게 온 링크 또한 재차 확인하는 게 안전하다. 더불어, 스마트폰 보안 설정을 강화해 두면 알 수 없는 출처의 앱 설치를 제한할 수 있다.
오프라인 : 이름, 연락처, 주소 노출로 범죄자의 타깃
현실에서도 택배를 이용한 범죄가 벌어진다. 범죄자들이 범죄를 계획할 때 가정 먼저 살펴보는 것이 택배와 우편이다. 특히, 택배에는 이름, 연락처, 주소가 노출되어 범죄자의 타깃이 되기 일쑤다. 2021년 서울 노원구에서 발생한 세 모녀 살인사건의 피의자도 택배 송장을 이용해 피해자의 주소를 알아냈다. 스토킹, 강도 살인사건 같은 강력 범죄에 택배 송장으로부터 얻은 개인정보가 악용된다. 범죄자는 택배 기사인 척 피해자의 집을 찾아가기도 한다.
한국교통연구원의 ‘물류산업 대국민 인식 조사’에 따르면 물류 서비스의 불편 중 38.4%가 ‘휴대폰 번호. 아파트 비밀번호 등 개인정보가 노출되어 불안하다’고 답했다. 택배 업체에서 개인정보 보호를 위해 개인정보 일부를 가려 표시한다. 그러나 택배사마다 개인정보를 보호하기 위한 방법이 달라 효과적으로 개인정보가 보호된다고 보기 어렵다는 지적이다. 예를 들어 각기 다른 택배회사에서 여러 개의 택배를 받을 때 A 택배사에선 이름을, B 택배사에선 전화번호 일부를 가린다. 두 가지 택배의 정보를 조합하면 온전한 개인정보를 알아낼 수 있다.
택배로 인한 개인정보 유출을 막는 여러 가지 방법이 제시된다. 택배를 받을 때 기입하는 개인정보를 임의로 변경하는 방법이 있다. 안심번호를 사용하면 개인 휴대전화 번호 대신 배송 기간 동안 임시로 사용할 수 있는 번호가 부여된다. 인터넷 커뮤니티에는 혼자 사는 사람이 택배 받을 때 사용하는 이름 리스트도 있다. ‘곽두팔’, ‘마춘재’ 등 어감이 세고 성인 남성으로 유추되는 이름이 정리돼 있다.
택배 송장에 적힌 개인정보를 지우는 아이디어 상품으로 ‘택배 송장 지우개’가 있다. 특수 용액이 담긴 지우개로 송장을 문지르면 내용이 지워진다. 물파스를 사용해도 동일한 효과를 볼 수 있다.
[이미지=utoimage]
2. 문서
온라인 : 문서중앙화 솔루션으로 전자 문서 보호
많은 업무 데이터는 문서로 구성된다. 사업계획서나 설계도면, 계약서 같은 기업 데이터와 고객 정보 등 민감한 개인정보가 담긴다. 코로나19 이후 새로운 환경에서 업무를 처리하게 되면서 직원의 개인 컴퓨터와 네트워크 등에서 다양한 보안 취약점이 발견됐다. 해커는 이러한 빈틈을 공격해 문서에 담긴 정보를 탈취해 간다. 또한, 내부자에 의해 정보가 유출되기도 한다.
이러한 온라인 문서는 문서중앙화 솔루션을 통해 정보 유출을 예방하고 사이버 공격에 대비할 수 있다. 문서중앙화는 문서를 직원 개별 PC가 아닌 회사의 중앙 서버나 스토리지에 저장하는 방식이다. 문서를 회사의 자산으로 취급해 외부 유출을 예방하고 관리자의 승인을 받아야 문서를 열람 및 사용할 수 있다. 기업이 직접 문서를 관리해 보안을 강화하고 내부자에 의한 정보 유출도 방지한다. 여러 보안 기업에서 문서중앙화 솔루션을 해법으로 제시하고 있다.
오프라인 : 버려진 문서 뒤져 개인정보 취득 가능...문서 세단기로 파쇄해야
전자 문서는 삭제되면 흔적이 남지 않는 반면, 현실에서는 버려진 문서 속 정보를 이용해 범죄를 저지른다. 인쇄된 개인정보를 종이의 무게만큼 가볍게 생각해 별도 처리 없이 버려 문제가 발생하는 경우가 많다. 버려진 문서를 뒤져 정보를 획득하고 그 정보를 바탕으로 사이버 범죄를 일으키는 것을 ‘덤스터 다이빙’ 또는 ‘가비지 피킹’이라 한다.
버린 문서를 주워갈까 내내 쓰레기통을 지킬 수 없으니 문서를 원형 그대로 버리지 말아야 한다. 가장 보편적인 방법은 ‘문서 세단기’를 사용하는 것이다. 세단기에 들어간 문서는 가늘게 절단돼 담긴 내용을 파악하기 어렵다. 더 큰 규모의 경우 문서 현장 파쇄 서비스가 있다. 폐기 예정인 문서가 일정량 이상 쌓이면 파쇄 차량이 방문해 문서를 파쇄 및 폐기한다.
개인이 사용할 수 있는 소형 수동 세단기도 있다. 문서를 파쇄해서 버리는 이유는 범죄자가 문서에서 정보를 얻는 것을 어렵게 만들기 위해서다. 최소한 손으로 잘게 찢어서 버리는 게 개인정보 유출을 예방할 수 있는 방법이다.
시민의 개인정보 유출을 예방하고자 지자체가 파쇄서비스를 제공하기도 한다. 성동구청은 2022년 2월부터 디지털저장매체 파기 서비스를 성동구 소재 주민을 상대로 제공해 왔다. 하드디스크, 컴퓨터, 핸드폰 등 민감한 정보가 담긴 저장매체도 완전히 파기할 수 있도록 돕는다. 서비스를 사용한 주민은 “개인정보 유출 걱정이 없어 안심된다”고 말했다.
[이미지=utoimage]
3. 사생활
온라인 : IoT/가전 기업부터 보안을 설계에 반영하는 Security by Design 전략 도입해야
2022년 연말 아파트 월패드 해킹으로 40만 가구의 사생활이 유출되는 사건이 발생했다. 편히 쉬어야 하는 안식처 집마저 감시당하고 있다는 불안에 떨어야 했다. 이렇듯 월패드와 웹캠이 부착된 노트북 등 카메라가 장착된 전자기기를 통해 사생활이 유출될 수 있다. 디지털 성범죄 사건인 N번방 사건의 전 운영자 ‘와치맨’ 전모 씨(39세) 또한 IP 카메라 해킹을 통해 다수의 사생활을 침해한 것으로 밝혀졌다.
그러나 개인 사용자가 전자기기를 열어 패킷을 분석하고 외부 공격을 차단하는 일은 사실상 불가능하다. 사생활 유출을 방지하기 위해 우선 카메라가 부착된 전자기기가 해킹 되면 사생활이 노출될 수 있다는 점을 인지해야 한다. 전자기기를 사용하지 않을 때는 전원을 끄고, 해킹 방지 스티커를 붙여 사생활 노출을 예방할 수 있다. 만일 전자기기를 사용하지 않았는데 위치가 바뀌었거나 카메라 회전이 일어났다면 해킹을 의심해 볼 수 있다.
IoT 기기나 전자기기를 구매하면 기본 설정된 아이디와 비밀번호를 변경하는 것이 필수적이다. 개인정보 보호를 위해 개인적 차원을 넘어 구조적 측면의 개선이 필요하다는 의견이 꾸준히 제기된다. 제조기업부터 보안을 설계에 반영하는 Security by Design 전략을 도입해야 한다는 것이다.
오프라인 : 클린데스크와 잠금설정 등 기본적인 보안수칙 필수
해커는 네트워크나 타인의 PC에 원격으로 침입해 개인정보를 탈취한다. 그러나 개인 사생활 및 개인정보 유출은 온라인상이 아닌 물리적인 접근 또한 주의해야 한다.
사무실 책상 위 무심코 적어놓은 계정정보 등을 통해 개인정보가 유출될 수 있다. 개인정보를 어깨너머로 엿보고 허락 없이 사용하는 방식의 개인정보 유출도 있다. 특히, 여러 사람이 함께 사용하는 공간에서 정보 유출 위험이 크다. 코로나19 이후, 어디에서든 일할 수 있는 원격근무 체제가 확립되면서 개인정보 노출 위험이 더 커졌다. 노출된 장소일수록 더욱 보안에 신경 써야 하며 자리를 비울 때 각별한 주의가 필요하다.
개인정보를 다룰 땐, 아무것도 믿지 않음으로 보안을 유지하는 ‘제로트러스트’ 원칙을 따르는 것이 안전하다. 모든 방면에서 보안을 철저히 지키는 습관이 요구된다. 평소 전자기기의 보안·잠금장치를 설정하고, 책상 위를 깨끗이 해 중요 문서와 정보가 방치된 채로 노출되지 않도록 하는 것이 중요하다. 모니터 엿보기를 방지하기 위해 프라이버시 보호 필름을 사용하는 방법도 있다. 이러한 필름을 사용하면 시야각에 따라 정면에서 보는 사용자를 제외하고 타인은 모니터 화면 내용을 확인할 수 없다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
