[3줄 요약]
1. 생활 패턴 유추도 가능한데 암호화 의무 대상 아냐
2. 암호화 확대 적용 기업에 인센티브 제공 등 대책 필요
3. “암호화 인한 속도 지연 과거 대비 크게 개선”
[보안뉴스 강현주 기자] 이번 쿠팡 사고로 유출된 개인정보들은 정밀화된 피싱 등의 위험성이 있음에도 현재 암호화 의무 대상은 아니다. 이에 따라 암호화 대상 확대를 위한 기업 인센티브 등 대책이 마련돼야 한다는 목소리가 커진다.
2일 보안 및 유통 업계에 따르면, 이커머스를 비롯한 수많은 기업들이 이름, 주소, 전화번호, 이메일, 구매내역 등의 정보를 암호화하지 않고 있다. 쿠팡 사고로 유출된 것과 같은 유형의 정보들이다.
이 정보들은 법적으로 암호화 의무 대상이 아니기 때문에 기업이 리소스를 들여 자율적으로 암호화하기란 현실적으로 쉽지 않은 실정이다.
▲쿠팡 이용자 3370만명의 개인정보가 유출됐다. [자료: 연합]
개인정보 조합 무서운데… ‘결제정보’ 아니라 암호화 안 해도 돼
각각 개별 데이터만으로는 크게 위험으로 다가 오지 않을 수 있다. 하지만 여러 정보들이 조합되면 고도화된 피싱의 타깃이 될 수 있고, 심할 경우 물리적 위험에도 처할 수 있다.
구매 내역 정보를 통해 생활 패턴과 가족 구성원 등을 유추할 수 있어 범행 성공율을 높이는 정밀 타깃이 가능하다. 이를 이름과 주소, 연락처와 결합하면 실질적 생활 위험으로 연결될 수 있다.
또 다른 사이트에서 신용카드 번호와 이메일 등이 노출됐다면, 데이터를 조합해 결제정보 주인까지 특정할 수 있는 ‘재식별 공격’도 가능하다.
이러한 위험에도 이번에 쿠팡에서 유출된 이름, 주소, 이메일, 전화번호, 일부 구매내역 등의 정보는 법적으로 암호화 대상이 아니다. 법이 규정하는 건강정보, 정치신념 등의 ‘민감정보’도, 주민등록번호 등 ‘고유식별정보’도, 신용카드 번호와 같은 결제정보도 아니기 때문이다.
법조계 전문가 A씨는 “건강 이력이나 정치적 신념 같은 법으로 규정하는 ‘민감 정보’와 주민등록번호 등 고유식별정보 등이 유출됐을 때는 법적으로 가중 사유에 해당되는데, 이번 쿠팡사고로 유출된 정보들은 가중 사유에 해당하지 않는 정보들”이라며 “결제정보에도 해당하지 않아 암호화 의무화 대상이 아니다”라고 설명했다.
이어 “가령 영양제 반복 구매 같은 패턴으로 건강 정보를 유추해낼 수도 있겠지만, 의사 처방약이 아니므로 정확도가 떨어질 수 있고, 영양제가 본인용인지 타인용인지도 알 수 없어 법적 민감 정보’라 해석하기엔 무리가 있다”고 말했다.
“암호화 확대 기업에 과징금 감경 등 인센티브 필요”
정부는 쿠팡 사고로 정보가 유출된 이용자들에게 스미싱, 보이스피싱 등 2차 피해에 각별히 주의하라고 거듭 당부하고 있다.
하지만 개인의 노력만으로는 범죄의 근본적 예방이 어려워 정책적 지원이 뒷받침돼야 한다는 게 중론이다.
보안 전문가들 사이에서는 ‘암호화’ 대상 정보의 확대가 필요하다는 목소리가 나온다. 기업 자율에만 의존하기 보다는 동기부여책이 마련돼야 한다는 지적이다. 의무가 아닌 이상 인센티브 없이는 우선순위에서 밀리는 것이 현실이기 때문이다.
유통 분야 보안 담당자 C씨는 “결제정보 같은 암호화 의무 대상 외 정보도 유출되면 위험성이 있다고 판단해 암호화 필요성을 느끼고 여러 번 추진을 시도했었다”며 “하지만 IT 부서에서 우선순위에서 밀리다 보니 자꾸 미뤄지고 실행이 쉽지 않다”고 밝혔다.
한국개인정보보호책임자협의회장을 맡고 있는 염흥열 순천향대학교 명예교수는 “암호화를 통해 보안을 강화한다면, 암호화 의무 대상이 아닌 정보를 암호화한 기업에게 사고가 생겼을 때 과징금 감경 등 인센티브를 주는 동기부여책 등 정책적 지원이 필요할 것”이라고 조언했다.
”미국은 암호화 정보 ‘유출’로 안봐”
법조계 전문가 A씨는 “기업마다 상황이 다르기 때문에 당장 법으로 암호화 의무 대상을 확대하기엔 무리가 있고 많은 사회적 논의가 필요하다”이라며 “인센티브 강화책이 필요하며, 해외 사례를 참고할 수 있을 것”이라고 말했다.
그는 “미국의 경우 암호화된 정보는 해킹 사고 등으로 노출이 돼도 ‘유출’로 여기지 않는데, 우리나라는 암호화된 정보라도 유출로 보고 있다”며 “해외 사례 같은 감경책 등을 도입해 기업들에게 암호화 확대 자발성을 높일 수 있을 것”이라고 설명했다.
암호화를 하면 서비스 속도가 느려진다는 우려가 제기되곤 한다. 하지만 기술 발달로 과거에 비해 속도 저하가 많이 개선됐다는 게 전문가들 의견이다.
보안 솔루션 기업을 운영했던 화이트햇 해커 B씨는 “암호화를 하면 속도가 느려진다는 것은 과거의 얘기로, 현재 기술은 크게 개선됐다”며 “애플 같은 회사는 모든 개인정보를 암호화 하고 있다”고 말했다.
유통 분야 보안 담당자 C씨도 “암호화로 인한 속도 저하는 예전에 비해 많이 개선됐고, 큰 차이가 아니다”며 “설령 아직 속도 저하 우려가 남아 있다 해도, 기술적으로 해결 노력을 해서 보안을 더 강화하는 게 소비자와 기업 모두를 위해 맞는 방향”이라고 강조했다.
[강현주 기자(jjoo@boannews.com)]
1. 생활 패턴 유추도 가능한데 암호화 의무 대상 아냐
2. 암호화 확대 적용 기업에 인센티브 제공 등 대책 필요
3. “암호화 인한 속도 지연 과거 대비 크게 개선”
[보안뉴스 강현주 기자] 이번 쿠팡 사고로 유출된 개인정보들은 정밀화된 피싱 등의 위험성이 있음에도 현재 암호화 의무 대상은 아니다. 이에 따라 암호화 대상 확대를 위한 기업 인센티브 등 대책이 마련돼야 한다는 목소리가 커진다.
2일 보안 및 유통 업계에 따르면, 이커머스를 비롯한 수많은 기업들이 이름, 주소, 전화번호, 이메일, 구매내역 등의 정보를 암호화하지 않고 있다. 쿠팡 사고로 유출된 것과 같은 유형의 정보들이다.
이 정보들은 법적으로 암호화 의무 대상이 아니기 때문에 기업이 리소스를 들여 자율적으로 암호화하기란 현실적으로 쉽지 않은 실정이다.
▲쿠팡 이용자 3370만명의 개인정보가 유출됐다. [자료: 연합]
개인정보 조합 무서운데… ‘결제정보’ 아니라 암호화 안 해도 돼
각각 개별 데이터만으로는 크게 위험으로 다가 오지 않을 수 있다. 하지만 여러 정보들이 조합되면 고도화된 피싱의 타깃이 될 수 있고, 심할 경우 물리적 위험에도 처할 수 있다.
구매 내역 정보를 통해 생활 패턴과 가족 구성원 등을 유추할 수 있어 범행 성공율을 높이는 정밀 타깃이 가능하다. 이를 이름과 주소, 연락처와 결합하면 실질적 생활 위험으로 연결될 수 있다.
또 다른 사이트에서 신용카드 번호와 이메일 등이 노출됐다면, 데이터를 조합해 결제정보 주인까지 특정할 수 있는 ‘재식별 공격’도 가능하다.
이러한 위험에도 이번에 쿠팡에서 유출된 이름, 주소, 이메일, 전화번호, 일부 구매내역 등의 정보는 법적으로 암호화 대상이 아니다. 법이 규정하는 건강정보, 정치신념 등의 ‘민감정보’도, 주민등록번호 등 ‘고유식별정보’도, 신용카드 번호와 같은 결제정보도 아니기 때문이다.
법조계 전문가 A씨는 “건강 이력이나 정치적 신념 같은 법으로 규정하는 ‘민감 정보’와 주민등록번호 등 고유식별정보 등이 유출됐을 때는 법적으로 가중 사유에 해당되는데, 이번 쿠팡사고로 유출된 정보들은 가중 사유에 해당하지 않는 정보들”이라며 “결제정보에도 해당하지 않아 암호화 의무화 대상이 아니다”라고 설명했다.
이어 “가령 영양제 반복 구매 같은 패턴으로 건강 정보를 유추해낼 수도 있겠지만, 의사 처방약이 아니므로 정확도가 떨어질 수 있고, 영양제가 본인용인지 타인용인지도 알 수 없어 법적 민감 정보’라 해석하기엔 무리가 있다”고 말했다.
“암호화 확대 기업에 과징금 감경 등 인센티브 필요”
정부는 쿠팡 사고로 정보가 유출된 이용자들에게 스미싱, 보이스피싱 등 2차 피해에 각별히 주의하라고 거듭 당부하고 있다.
하지만 개인의 노력만으로는 범죄의 근본적 예방이 어려워 정책적 지원이 뒷받침돼야 한다는 게 중론이다.
보안 전문가들 사이에서는 ‘암호화’ 대상 정보의 확대가 필요하다는 목소리가 나온다. 기업 자율에만 의존하기 보다는 동기부여책이 마련돼야 한다는 지적이다. 의무가 아닌 이상 인센티브 없이는 우선순위에서 밀리는 것이 현실이기 때문이다.
유통 분야 보안 담당자 C씨는 “결제정보 같은 암호화 의무 대상 외 정보도 유출되면 위험성이 있다고 판단해 암호화 필요성을 느끼고 여러 번 추진을 시도했었다”며 “하지만 IT 부서에서 우선순위에서 밀리다 보니 자꾸 미뤄지고 실행이 쉽지 않다”고 밝혔다.
한국개인정보보호책임자협의회장을 맡고 있는 염흥열 순천향대학교 명예교수는 “암호화를 통해 보안을 강화한다면, 암호화 의무 대상이 아닌 정보를 암호화한 기업에게 사고가 생겼을 때 과징금 감경 등 인센티브를 주는 동기부여책 등 정책적 지원이 필요할 것”이라고 조언했다.
”미국은 암호화 정보 ‘유출’로 안봐”
법조계 전문가 A씨는 “기업마다 상황이 다르기 때문에 당장 법으로 암호화 의무 대상을 확대하기엔 무리가 있고 많은 사회적 논의가 필요하다”이라며 “인센티브 강화책이 필요하며, 해외 사례를 참고할 수 있을 것”이라고 말했다.
그는 “미국의 경우 암호화된 정보는 해킹 사고 등으로 노출이 돼도 ‘유출’로 여기지 않는데, 우리나라는 암호화된 정보라도 유출로 보고 있다”며 “해외 사례 같은 감경책 등을 도입해 기업들에게 암호화 확대 자발성을 높일 수 있을 것”이라고 설명했다.
암호화를 하면 서비스 속도가 느려진다는 우려가 제기되곤 한다. 하지만 기술 발달로 과거에 비해 속도 저하가 많이 개선됐다는 게 전문가들 의견이다.
보안 솔루션 기업을 운영했던 화이트햇 해커 B씨는 “암호화를 하면 속도가 느려진다는 것은 과거의 얘기로, 현재 기술은 크게 개선됐다”며 “애플 같은 회사는 모든 개인정보를 암호화 하고 있다”고 말했다.
유통 분야 보안 담당자 C씨도 “암호화로 인한 속도 저하는 예전에 비해 많이 개선됐고, 큰 차이가 아니다”며 “설령 아직 속도 저하 우려가 남아 있다 해도, 기술적으로 해결 노력을 해서 보안을 더 강화하는 게 소비자와 기업 모두를 위해 맞는 방향”이라고 강조했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
