[이슈칼럼] 개인정보 유출, 모두 막을 수 있다

2024-11-06 13:22
  • 카카오톡
  • 네이버 블로그
  • url
교육 분야 개인정보 유출 사례 중 74.9%가 담당자의 부주의 때문
인바운드 차단과 아웃바운드 차단만 잘하면 개인정보 유출 막을 수 있어


[보안뉴스= 최복희 엘세븐시큐리티 대표] 2024년 국정감사 자료에 따른 교육 분야의 개인정보 유출 사례를 분석해보면 ‘개인정보 취급담당자의 부주의’로 개인정보가 유출된 사고가 191회로 전체 254회의 74.9%를 차지하고 있다. 그러나 이런 부분은 매우 간단히 차단할 수 있음에도 불구하고 유출됐다는 것이 매우 안타까운 일이다.


[이미지=gettyimagesbank]

이것은 단지 교육 분야에서의 개인정보 유출 사례이지만 모든 분야로 확대한다면 훨씬 더 많은 개인정보 유출 사례가 지금도 일어나고 있다고 볼 수 있다. 이런 부분에 있어서 개인정보 유출을 쉽게 차단할 수 있는 방법에 대해 알아보자.

개인정보 유출 통계 자료를 보면 해킹이나 악성코드에 의한 유출이 아니고 이메일과 홈페이지를 통한 개인정보 유출이 유출 사례의 절반 정도 되는 것 같다. 이메일이나 홈페이지를 통한 개인정보 유출은 대부분 관리자나 내부 직원의 실수로 인해서 유출되는 사례가 거의 다라고 볼 수 있다. 이는 시스템을 운영하는 담당자가 이메일 보안 솔루션이나 홈페이지 개인정보 유출 차단 솔루션만 제대로 갖추었어도 모두 차단할 수 있었다.

개인정보 유출 사례에 대해 하나씩 분석해보자. 홈페이지. 게시판을 통해 유출되는 개인정보는 대부분 내부 직원의 실수로 인해 유출되는 사례가 대부분이다. 일반 시민들은 이제는 개인정보 보호에 대한 인식이 생겨 개인정보가 있는 파일을 게시판에 올리는 일은 거의 없어졌다.

지난해와 올해의 개인정보 유출 사례만 보아도 모두 관리자의 실수로 인한 유출 사고다. 그러면 이런 것을 막기 위해서는 어떻게 해야 할까? 매우 간단하다. 전국의 모든 기관에 홈페이지 개인정보차단 솔루션이 설치되어 있는데, 이 제품의 다운로드 차단 기능만 제대로 작동한다면 모두 차단할 수 있다. 다운로드 차단 혹은 아웃바운드 차단이라고도 말하는데, 2022년과 2023년도 개인정보 수준 진단 평가 항목에 ‘구글을 통한 개인정보 유출을 막아야 하고, 아웃바운드 차단을 해야 된다’고 되어 있다

그러나 수준 진단 평가를 받으면서도 이 항목이 무슨 뜻인지를 이해하지 못했고, 개인정보차단 시스템을 운영하는 담당자조차도 이것이 얼마나 중요한지를 모르고 있는 것이 대부분이다. 다운로드 차단이 안 되면서도 개인정보 수준 진단 평가를 높게 받은 기관도 많다. 더 큰 문제는 2024년도에 수준 진단 항목에서 이 항목이 아예 빠져버렸다는 사실이다.


▲인바운드 차단과 아웃바운드 차단[자료=엘세븐시큐리티]

개인정보를 차단하는 방법에는 두 가지가 있다. 하나는 업로드 차단(인바운드 차단)이라고 하는데, 사용자가 게시판에 글을 올릴 때 개인정보가 있다면 팝업을 통해 차단하는 방법이다. 모든 제품이 이 방법을 사용하고 있다.

이것보다 더 중요한 두 번째 방법은 다운로드 차단, 즉 아웃바운드 차단이다. 사용자가 게시판의 글을 클릭했을 때 전송될 첨부파일에서 개인정보가 있는지 없는지를 검사하고 개인정보가 없는 경우에만 사용자에게 전송을 해주는 방법이다. 이처럼 다운로드 차단이 되어야만 개인정보 유출을 완벽히 차단할 수 있다.

엘세븐시큐리티는 이 방법이 매우 중요하다고 2006년부터 외치고 있다. 그러나 시스템을 도입하는 기관에서는 이것의 중요성에 대하여 아직도 모르고 있다. 매우 안타까운 일이다. 이에 다운로드 차단이 왜 중요한지를 다시 한번 설명해 보고자 한다.

사용자들은 외부망을 통해 게시판에 글을 쓴다. 그러나 기관의 내부 운영자나 담당자들은 외부망을 통해 글을 쓰는 것이 아니라 WAS 서버에 직접 글을 등록하게 된다. 이럴 경우 개인정보 유출 차단 솔루션이 있다고 해도 탐지할 방법이 없다. 그러나 사용자가 게시판에 올라온 글을 클릭했을 때 다운로드 차단이 된다면 담당자가 실수로 올린 개인정보가 포함된 글이 있다고 하더라도 개인정보차단 솔루션에서 모두 차단이 된다. 이 방법이 되어야만 개인정보 유출을 완벽히 차단할 수 있는 것이다. 물론 문서 내의 텍스트와 이미지까지도 모두 차단을 해야만 한다. 처리량이 많아서 이미지와 텍스트에 대해 개인정보를 차단하면서도 홈페이지 속도를 떨어뜨리지 않아야 함은 기본이다.


▲게시판 개인정보차단 방법[자료=엘세븐시큐리티]

그러면 왜 이 방법을 사용하지 않는 것일까? 이것은 개발사에도 문제가 있고, 담당자도 정확히 알 필요가 있다고 생각한다.

다운로드 차단, 즉 아웃바운드 차단을 하게 되면 개인정보차단 솔루션의 처리량이 매우 커져야 한다. 또 이미지에 담긴 개인정보를 다운로드 시에 차단하려면 장비의 처리량이 더 커져야 한다. 이런 문제로 인해 개인정보차단 솔루션의 개발사에서는 난색을 표명할 수밖에 없다. 그리고 담당자가 잘 모르면 그냥 업로드 차단만 세팅하고 만다. 담당자가 다운로드 차단을 요청한다고 해도 장비의 처리량이 적다면 홈페이지 속도가 매우 떨어질 수밖에 없다. 결국은 민원이 발생하기에 장비를 도입하고도 다운로드 차단을 뺄 수밖에 없는 것이 현실이다.

이러다 보니 개인정보 유출은 계속 나올 수밖에 없다. 개인정보차단 솔루션을 개발하는 개발사는 아웃바운드 차단이 되도록 세팅을 해야 하고 텍스트와 이미지까지도 모두 차단할 수 있는 성능의 제품으로 고객에게 제안하는 것이 개발사의 기본적인 마인드라고 생각한다. 모든 제품이 다운로드 차단이 되어 있다면 홈페이지를 통한 개인정보의 유출은 사라졌을 것이다.

다시 한번 기관의 담당자도 개인정보를 완벽히 막겠다는 목표를 가지고 제품 도입 시에 다운로드 차단이 되고 처리량이 큰 제품의 도입으로 안정적인 웹 서비스를 운영했으면 한다.


▲이메일 개인정보 유출 방지[자료=엘세븐시큐리티]

두 번째는 이메일을 통한 개인정보 유출 사고 대응방안이다. 이메일을 통해 최근 개인정보 유출 사고가 자주 발생했다. 그 이유는 내부 직원들이 개인정보가 포함된 문서를 실수로 이메일에 첨부해 전송하는 때도 있기 때문이다. 아무리 교육을 많이 해도 내부 직원의 잠깐 실수로 인해 개인정보 유출은 계속 발생할 수밖에 없다. 이것을 차단하는 방법은 어떤 것이 있을까?

매우 간단하다. 매일 서버와 연동해 내부 직원이 메일을 보낼 때 개인정보가 있는지 없는지를 탐지하면 된다. 메일 서버와 개인정보 탐지 솔루션이 서로 연동해 외부로 메일 발송 시 먼저 개인정보 유무를 탐지하면 된다. 물론 메일의 본문이나 첨부파일까지도 모두 검사해야 하고, 첨부파일 내의 텍스트와 이미지까지도 모두 검사해 개인정보가 없을 때만 외부로 전송하도록 하면 된다.

현재 외부로 보내는 메일에서 메일의 본문과 첨부파일, 첨부파일 내의 텍스트와 이미지까지도 개인정보를 탐지하고 외부로 전송하는 기관은 거의 없다. 이런 메일 보안 시스템을 통해 개인정보뿐만 아니라 대외비, 산업기밀 문서까지도 쉽게 유출되고 있는 것이다. 메일 시스템과 연동해 개인정보 및 중요정보 탐지를 할 수 있는 시스템을 구축한다면 간단히 해결할 수 있다.

세 번째로는 망연계를 통한 개인정보 유출이 우려되고 있다. 최근 망분리에 대한 규제가 완화되고 물리적인 망분리뿐만 아니라 논리적인 망분리도 허용되는 상황이다. 그러면 내부에서 외부로 파일을 전송시 개인정보나 대외비, 중요정보를 망연계 솔루션에서 탐지하지 않는다면, 개인정보나 대외비 정보는 언제나 외부로 나갈 수밖에 없다. 망분리 규제가 완화되면 완화될수록 개인정보나 대외비 정보의 유출 사례는 훨씬 많아질 것이다.

그러나 유출이 되어도 어느 정보가 어떻게 유출이 되었는지를 알 방법은 하나도 없다. 탐지를 하지 않기 때문이다. 따라서 내부망에 있는 망연계 솔루션과 개인정보 탐지 솔루션이 서로 연동해 사용자가 내부에 있는 망연계 솔루션을 통해 외부로 파일 전송시, 개인정보나 대외비가 있는지 없는지를 탐지하고 개인정보가 있을 경우에는 결재 시스템을 통해 전송하거나 사후 감사 시스템을 적용한다면 개인정보 유출은 막을 수 있다. 논리적인 망분리 역시 마찬가지다. 분리된 망에서 다른 망으로 전송시 반드시 개인정보가 있는지 없는지를 탐지해 전송해야만 개인정보 유출을 막을 수 있다.

엘세븐시큐리티는 문서 내의 텍스트에 대한 개인정보 보호뿐만 아니라 이미지에 대한 개인정보 보호도 매우 중요하다고 강조하고 있다. 개인정보 보호는 계속 강화되고 있다. 개인정보 보호가 가장 잘 되어 있을 것 같은 금융기관조차도 이미지에 대한 보안은 거의 안 되어 있다. 이것도 큰 문제이다.

누구나 금융기관이라고 하면 개인정보 보호가 가장 잘 돼 있을 거라고 생각을 하지만 이미지에 대한 개인정보 보안은 거의 되어 있는 기관이 없다. 이메일을 통한 개인정보 유출도 그렇고, 망연계를 통한 개인정보 유출이나 내부 포탈 시스템을 통한 개인정보 유출도 이미지에 대한 탐지는 거의 하지 않고 관심이 없었다. 그러나 이제는 기술의 발달과 개인정보 보호가 계속 강화되고 있기에, 금융기관도 개인정보 보호에 대한 마인드를 바꿔야 하고 이미지에 대한 개인정보 보호도 추가되어야 한다.

이미지에 대한 개인정보 보호는 매우 어려운 일이다. 100% 차단할 수는 없다. 왜냐하면 손으로 쓴 수기체나 원본의 이미지 화질이 매우 안 좋은 경우에는 개인정보를 판별하기가 쉽지 않기 때문이다. 이런 한계가 있긴 하지만 그래도 솔루션을 통해 어느 정도 차단할 수 있다면 무조건 해야 한다고 본다. 인공지능 기술의 발달로 이미지에서 문자를 추출하는 OCR 성능이 계속 향상되고 있다. 이로 인해 이미지에 대한 개인정보 탐지 능력은 점점 향상되고 있다.

2024년 초에 개인정보 비식별화 가이드라인이 발표됐다. 개인정보가 포함된 문서라고 하더라도 데이터 활용을 위해 가명화나 마스킹 등의 비식별화를 거친 후 유통이 가능해졌다. 비식별화의 한 부분인 개인정보 마스킹은 인공지능 기반의 문서 양식 학습과 OCR을 통해 가능하다. 또한 마스킹이 자동으로 안 될 만큼 원본의 화질이 안 좋은 경우에는 수동 마스킹을 통해 사람이 마스킹한다면 데이터의 안전한 보관이 가능하다.

의외로 현재 기관에서는 그림판이나 PDF 에디터 프로그램 등 수동으로 문서들을 일일이 사람이 마스킹해 문서를 보관하는 일이 많다. 이럴 경우 개인 PC에도 개인정보 문서가 보관되기에 개인정보 유출 우려가 있다. 웹 기반의 개인정보 마스킹 시스템을 통해 간단히 드래그만 함으로써 개인정보를 마스킹히고 보관하는 것이 더욱 효율적이다.

어떤 이미지에서도 100% 개인정보를 탐지해낼 수는 없지만, 이미지에 대한 탐지율이 좋은 보안 솔루션을 탑재해 개인정보 유출을 최대한 막는 것이 중요하고, 이렇게 해야만 개인정보 유출을 어느 정도 막아낼 수 있다고 본다. 직원들 교육으로만 개인정보 유출을 다 막아낼 수 있는 없기에 적합한 솔루션을 통해 개인정보 유출을 막는 것이 그나마 간단한 방법이라고 본다.

텍스트 기반 보안 기술은 업계 전반에 걸쳐 거의 동등한 수준에 도달했지만, 엘세븐시큐리티는 이미지 속 개인정보 보호 분야에서는 선두주자다. 이미지 내 개인정보의 실시간 탐지 및 차단 능력은 타의 추종을 불허하며, 고객의 신뢰와 인정을 받고 있다. 이런 기술을 바탕으로 다양한 보안 솔루션과 연동해 개인정보 유출을 완벽히 차단할 수 있는 전문기업으로 인정을 받고 있고, 시장 확대로 매년 크게 성장해 나가고 있다.
[글_ 최복희 엘세븐시큐리티 대표]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기