[투데이e코노믹 = 이지혜 기자] 디지털 플랫폼이 늘어나면서 개인정보 유출 규모와 위험성도 커지고 있다. 특히 클라우드 보안의 중요성이 주목받는다.
다수의 디지털 플랫폼 기업은 회원의 개인정보를 수집, 활용하고 있다.
실제로 과학기술정보통신부가 올해 3월 발표한 ‘2020년 정보보호 실태조사’에 따르면 네트워크에 연결된 컴퓨터를 보유한 9000개 업체 중 51.6%는 고객의 개인정보를 온라인 또는 오프라인으로 수집하는 것으로 나타났다. 전년 수집률(39.5%) 대비 12.1%p 증가했다. 이용률은 역시 49.9%로 전년(38.4%) 대비 11.5%p 증가했다.
온라인으로 개인정보를 수집하는 사업체(전체의 22.1%) 중 75.1%는 홈페이지 회원가입을 통해 개인정보를 수집하고, 30.9%는 이메일, 12.1%는 타사업체로부터 개인정보를 제공받는다고 응답했다.
수집 및 이용 목적은 ‘고객상담 회원관리’가 79.0%로 가장 높았고, ▲고객 본인인증 및 성인인증(34.8%) ▲홍보‧마케팅‧행사 운영에 활용(27.7%) ▲결제(21.9%) ▲아이디‧패스워드 찾기(17.2%) ▲고객의 특성 및 구매 행태 분석(12.3%) 순으로 뒤를 이었다.
다만 해킹이나 관리 소홀로 고객 개인정보가 대량 유출되는 사고가 잇따라 벌어지고 있다. 특히 클라우드 서비스를 이용하는 과정에서 개인정보를 유출하는 사례가 이어졌다.
개인정보보호위원회는 지난달 29일 아마존 클라우드 서비스(AWS)를 사용하는 ▲야놀자 ▲스타일쉐어 ▲집꾸미기 ▲스퀘어랩 등 4개 사업자가 개인정보 보호 법규를 어겼다면서 1억 8530만 원의 과징금·8300만 원의 과태료를 부과하고 시정명령, 공표와 같은 시정 조치를 내렸다.
유출된 개인정보는 야놀자 5만 2132건, 스퀘어랩 41만 9028건, 집꾸미기 18만 3323건이다.
이들 사업자는 모두 AWS 관리자 접근권한을 주소(IP)로 제한하지 않아 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영했다. 이 때문에 개인정보가 유출되거나 제 3자가 정보를 열람하는 사고가 나기도 했다.
데이팅 앱 ‘골드스푼’도 지난 12일 해킹 피해를 입으면서 회원 아이디, 이름, 생년월일, 전화번호 등 개인정보가 유출됐다. 특히 이 앱은 ‘상위1%용 데이팅 앱’을 표방하면서 회원들의 자산을 인증할 수 있는 각종 서류를 요구한 바 있다. 이 자료들도 유출됐다.
골드스푼은 공지를 통해 이번 사고는 최근 발생한 AWS 관련 사이버공격과 동일한 방식으로 공격이 이뤄졌다고 밝혔다. 여기서 언급된 AWS 관련 사이버 공격은 앞서 야놀자 등 4개 업체의 사례를 말하는 것으로, 골드스푼 역시 클라우드 이용 시 접근권한을 제대로 제한하지 않은 것으로 유추된다.
IT 시장조사연구 기업인 가트너는 2022년까지 일어나는 클라우드 보안 문제의 95% 이상은 고객의 잘못에서 기인할 것이라고 전망한 바 있다.
이신희 IT 컨설턴트는 28일 본지에 “기업이 클라우드 전환 시에 가장 신경 써야 할 것은 기능이나 속도보다는 보안이다. 클라우드 컴퓨팅의 근본적인 속성인 자원공유와 가상화는 여러 방면에서 기업 IT환경에 유연성과 확장성을 제공하는 반면 전통적인 보안 기술에 익숙한 기업들에게 새로운 과제를 제시하기 때문”이라고 강조했다.
이 컨설턴트는 “기업의 모든 데이터는 기존에 데이터센터라는 물리적 서버(군)에 머물러 있는 정적인 상태였으나, 이것을 소프트웨어적으로 가상화하고 여러 서비스 수요자들에게 자원을 공유한다는 것은 새로운 보안의 취약점이 도출되며 그만큼 새로운 기술과 운영 노하우를 요구한다는 의미”라고 설명했다.
그러면서 “기업의 클라우드 보안은 기술적 측면보다 관리적 측면에서 접근을 하는 것이 더 효과적일 수 있다”면서 “이미 클라우드 서비스 기업들은 최첨단 보안체계를 제공하고 있으며 그 기능들이 점점 발전하고 있다. 기업은 이러한 기술을 잘 이해하고 적제적소에 활용하는 것만으로도 많은 보안문제를 해결할 수 있다”고 조언했다.
덧붙여 “보안보다 서비스 성능이나 비즈니스 이익만을 우선시하는 풍조도 개선되어야 하며, 비즈니스 전략과 클라우드의 기술이 서로 시너지를 일으킬 수 있도록 전사적인 측면의 노력도 필요하다”고 말했다.
비밀번호 관리 소홀 등 실수로 개인정보 유출되는 사례도
지난 26일에는 온라인 쇼핑 플랫폼 쿠팡의 애플리케이션(앱)에서 회원 31만 명의 정보가 노출되는 사고가 벌어졌다. 오후 2시께부터 약 1시간 동안 쿠팡 앱의 상품 주문 후 확인 단계에서 본인이 아닌 사람의 이름과 주소가 노출됐다.
쿠팡은 앱 개발자가 배송지 표기관련 개선작업 중 사고가 발생했다고 설명하면서 노출을 인지한 즉시 보안조치를 마쳤다고 밝혔다. 개인정보위원회는 쿠팡이 개인정보보호법을 어긴 사실이 있는지 조사에 착수했다.
또 개인정보위는 27일 전체회의를 열고 샤넬코리아(유) 등 9개 사업자의 개인정보 보호 법규 위반행위에 대한 제재처분 심의를 의결했다.
▲샤넬코리아 ▲천재교과서 ▲천재교육 ▲지지옥션 ▲크라운컴퍼니(유) ▲핸디코리아 ▲박코치소리영어훈련소 ▲에이치제이컬쳐 ▲디어유 등 9개 사업자의 개인정보보호 법규 위반행위에 대해 총 10억 3407만 원의 과징금과 1억 220만 원의 과태료 부과, 시정명령, 공표 등 시정조치가 내려졌다.
이중 샤넬코리아는 개인정보처리시스템에 접속할 수 있는 관리자 계정의 비밀번호를 누구나 매우 쉽게 추측할 수 있도록 설정하는 등 보호에 필요한 조치를 다 하지 않아 9개 제휴사의 온라인 장터를 통해 화장품을 구매한 이용자 8만 1654명의 개인정보를 유출하는 사고를 낸 바 있다.
개인정보위, 클라우드 서비스 이용 사업자 대상 홍보 - 플랫폼 대상 조사 등 실시
개인정보위원회는 최근 클라우드 서비스가 광범위하게 이용되는 상황에서 기초적인 설정 문제로 개인정보 유출 사고가 발생하는 상황과 관련, 클라우드 서비스 이용 사업자가 관리자 접근 권한을 엄격히 제한하는 등 개인정보 보호조치를 이행할 수 있도록 홍보에 나설 계획이다.
더불어 개인정보위는 지난 8월 비대면 활성화로 늘어나는 개인정보 침해 우려에 대해 배달대행 등 각종 플랫폼 업체를 대상으로 개인정보 오남용, 유출 등을 확인하는 조사를 실시할 계획이라고 밝힌 바 있다.
한편 일각에서는 기업이 개인정보 관리에 더욱 신경쓸 수 있도록 처벌을 강화해야 한다는 목소리도 나온다.
개인정보위는 '위반행위에 관련한 매출액 3% 이하'를 '전체 매출액 3% 이하'로 변경하는 개인정보보호법 개정안을 추진 중이다. 다만 산업계는 이같은 방침이 과도하다면서 반대하고 있다.
