.gif)
SKT 해킹 사태 이후 대국민 경각심 고취는 긍정적
일선 기업...아웃바운드 트래픽은 물론, 내부망 모니터링도 강화해야
국내 범행시 검거율 90%...경찰 믿고 즉시 신고 당부
“여러분의 이름이나 주민등록번호, 휴대폰 번호가 여러분 것이라 생각하시나요? 현실은 그렇지 않습니다. 공용정보가 된지 오래입니다. 늦었지만 개인정보 보호의식 강화에 바로 지금 나서야 합니다.”
PIS FAIR 2025 개막 첫날, 첫번째 기조강연자로 나선 이지용 경찰청 수사국 사이버테러대응과 책임수사관(경감)은 우리나라 개인정보의 취약한 보안 현실을 설명하면서도, 최근 불거진 SK텔레콤 해킹 사태가 오히려 대국민 개인정보 보호인식을 고취시키는데 한 몫할 것으로 기대했다.
▲이지용 경감이 첫 기조강연을 하고 있다. [자료: 보안뉴스]
이 경감은 “피해 인지 이후 개인정보보호법 시행령상엔 72시간내, 정보통신망법상에는 24시간 이내 등 관련 법에 따라 신고 시간이 제각각이다”며 “여러 고려 말고, 상황 발생 인지시 지체 없이 신고해줄 것”을 당부했다.
신고처에 대한 혼선도 논란 거리다. 일단, 관련 법상에는 과기정통부와 한국인터넷진흥원 등에 신고토록 명시돼 있다. 이에 대해 이 경감은 “우리도 주요 피해 사실을 보안뉴스 등 언론을 통해 인지한 뒤 수사에 착수할 때가 많다”며 “해당 법 어디에도 ‘경찰에 신고’라는 조항이 없어 생기는 문제”라고 지적했다.
하지만 과기정통부나 인터넷진흥원 등 관련 법상 신고처에는 조사권만 있고, 수사권은 없다. 따라서 사건 발생시 경찰 신고가 필수다.
이 경감은 “개인정보 침해사고는 최근 들어 해외 침투가 주를 이루고 있다”며 “따라서 전세계를 상대로 한 수사 확대가 필수인데, 이 부분에 있어 한국 경찰의 국제공조 능력은 세계 최고 수준”이라고 말했다. 그러면서 이 경감은 최근 우리 수사관들이 동유럽 현지까지 날라가 해커 조직을 일망타진한 사례를 공개했다.
대다수 개인이나 기업들은 언론 등에 사건 노출을 우려해 신고를 꺼린다. 하지만, 경찰은 신고자 보호를 수사의 최우선 원칙으로 삼고 있다는 게 이 경감의 설명이다.
개인정보 유출사고 발생시, 과태료는 물론 ‘과징금’도 염두해둬야 한다. 이 경감은 “흔히들 3000만원 이하의 과태료만 생각하는데, 이는 빙산의 일각에 불과하다”며 “통상 전체 매출액의 30%까지 부과되는 과징금이 훨씬 무섭고 무겁다”고 강조했다.
▲APT 공격을 통한 개인정보 탈취 [자료: 국수본]
이 경감에 따르면, 기업에서 개인정보 유출 원인은 크게 내부적 요인과 외부적 요인으로 나뉜다. 대표적인 내부적 요인으로는 내부자 소행과 개인정보 주체의 동의 없이 제3자 제공, 메일 동보 발송, 홈페이지 게시판에 개인정보 업로드 등이 있다.
외부적 요인에는 입력값·파라미터 변조나 세션 하이재킹 등 정보통신망 시스템 공격과 스피어 피싱이나 워터링 홀 등 인적 구성원 공격 등이 있다. 해킹의 세부 유형을 나눠보면 원인미상이 절반 이상(51%)을 차지할 정도로 유출 원인 파악이 어렵다는 게 이 경감 설명이다.
▲아웃바운드 트래픽 등에 대한 모니터링 및 로그 보존 정책 강화 [자료: 국수본]
보안 담당자의 행동요령에 대해서도 설명이 이어졌다. 이 경감은 “아웃바운드 트래픽 등에 대한 모니터링과 해당 로그 보존에 만전을 기해야 한다”며 “여기에 내부 방화벽에 대한 관리와 침해 사고 발생시 원본 디스크 및 로그 이미지 백업까지 철저를 기해야 한다”고 당부했다.
[한세희 기자(boan@boannews.com)]
일선 기업...아웃바운드 트래픽은 물론, 내부망 모니터링도 강화해야
국내 범행시 검거율 90%...경찰 믿고 즉시 신고 당부
“여러분의 이름이나 주민등록번호, 휴대폰 번호가 여러분 것이라 생각하시나요? 현실은 그렇지 않습니다. 공용정보가 된지 오래입니다. 늦었지만 개인정보 보호의식 강화에 바로 지금 나서야 합니다.”
PIS FAIR 2025 개막 첫날, 첫번째 기조강연자로 나선 이지용 경찰청 수사국 사이버테러대응과 책임수사관(경감)은 우리나라 개인정보의 취약한 보안 현실을 설명하면서도, 최근 불거진 SK텔레콤 해킹 사태가 오히려 대국민 개인정보 보호인식을 고취시키는데 한 몫할 것으로 기대했다.
▲이지용 경감이 첫 기조강연을 하고 있다. [자료: 보안뉴스]
이 경감은 “피해 인지 이후 개인정보보호법 시행령상엔 72시간내, 정보통신망법상에는 24시간 이내 등 관련 법에 따라 신고 시간이 제각각이다”며 “여러 고려 말고, 상황 발생 인지시 지체 없이 신고해줄 것”을 당부했다.
신고처에 대한 혼선도 논란 거리다. 일단, 관련 법상에는 과기정통부와 한국인터넷진흥원 등에 신고토록 명시돼 있다. 이에 대해 이 경감은 “우리도 주요 피해 사실을 보안뉴스 등 언론을 통해 인지한 뒤 수사에 착수할 때가 많다”며 “해당 법 어디에도 ‘경찰에 신고’라는 조항이 없어 생기는 문제”라고 지적했다.
하지만 과기정통부나 인터넷진흥원 등 관련 법상 신고처에는 조사권만 있고, 수사권은 없다. 따라서 사건 발생시 경찰 신고가 필수다.
이 경감은 “개인정보 침해사고는 최근 들어 해외 침투가 주를 이루고 있다”며 “따라서 전세계를 상대로 한 수사 확대가 필수인데, 이 부분에 있어 한국 경찰의 국제공조 능력은 세계 최고 수준”이라고 말했다. 그러면서 이 경감은 최근 우리 수사관들이 동유럽 현지까지 날라가 해커 조직을 일망타진한 사례를 공개했다.
대다수 개인이나 기업들은 언론 등에 사건 노출을 우려해 신고를 꺼린다. 하지만, 경찰은 신고자 보호를 수사의 최우선 원칙으로 삼고 있다는 게 이 경감의 설명이다.
개인정보 유출사고 발생시, 과태료는 물론 ‘과징금’도 염두해둬야 한다. 이 경감은 “흔히들 3000만원 이하의 과태료만 생각하는데, 이는 빙산의 일각에 불과하다”며 “통상 전체 매출액의 30%까지 부과되는 과징금이 훨씬 무섭고 무겁다”고 강조했다.
▲APT 공격을 통한 개인정보 탈취 [자료: 국수본]
이 경감에 따르면, 기업에서 개인정보 유출 원인은 크게 내부적 요인과 외부적 요인으로 나뉜다. 대표적인 내부적 요인으로는 내부자 소행과 개인정보 주체의 동의 없이 제3자 제공, 메일 동보 발송, 홈페이지 게시판에 개인정보 업로드 등이 있다.
외부적 요인에는 입력값·파라미터 변조나 세션 하이재킹 등 정보통신망 시스템 공격과 스피어 피싱이나 워터링 홀 등 인적 구성원 공격 등이 있다. 해킹의 세부 유형을 나눠보면 원인미상이 절반 이상(51%)을 차지할 정도로 유출 원인 파악이 어렵다는 게 이 경감 설명이다.
▲아웃바운드 트래픽 등에 대한 모니터링 및 로그 보존 정책 강화 [자료: 국수본]
보안 담당자의 행동요령에 대해서도 설명이 이어졌다. 이 경감은 “아웃바운드 트래픽 등에 대한 모니터링과 해당 로그 보존에 만전을 기해야 한다”며 “여기에 내부 방화벽에 대한 관리와 침해 사고 발생시 원본 디스크 및 로그 이미지 백업까지 철저를 기해야 한다”고 당부했다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(1).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
