“총체적 개인정보 관리 부실 골프존, 75억 과징금 부과”
적법한 AI 학습 데이터 확보 어려워···불법 수집·유출 방지 대책 필수
암호화·키관리·접근통제 기술 필수···PQC 준비해 양자시대 대비해야
지난해 대규모 개인정보 유출 사고를 일으킨 골프존이 75억원의 과징금, 540만원의 과태료를 부과받았다.
지난해 6800억원의 매출을 올린 골프존이 전 직원이 사용하는 파일서버에 고객 주민번호를 포함한 다량의 개인정보가 저장·공유되고 있다는 사실조차 인지하지 못했으며, 개인정보 파일이 보관돼 있는 파일서버에 대한 주기적 점검도 미흡했던 것으로 알려졌다.
또한 VPN을 도입하면서 ID/PW만으로 외부에서 내부 업무망에 접속할 수 있게 했으며, 불필요한 원격접속을 허용했다. 주민등록번호 등을 암호화하지 않고 파일서버에 저장·보관하고 있었으며, 보유기간이 경과된 38만여명의 개인정보를 파기하지 않는 등 개인정보 관리 체계가 총체적으로 부실했던 것으로 알려진다.
강화되는 개인정보보호법에도 유출사고 끝 없어
개인정보보호법이 강화되고 있지만, 개인정보 유출 사고는 끊임없이 발생한다. 공격자는 중요정보를 유출해 지하시장에서 판매하거나 이를 공개한다고 협박한다. 유출된 개인정보에는 주민등록번호, 계좌번호, 비밀번호 등 개인에게 큰 피해를 입힐 수 있는 정보가 포함된다. 기업·기관의 중요 시스템에 접속할 수 있는 계정정보와 각종 크리덴셜도 유출된다. 이러한 정보는 기업·기관 타깃 공격의 초기 액세스를 위해 사용된다. 액세스 정보를 입수한 공격자는 공격에 필요한 시간을 크게 줄일 수 있다.
공격자의 침투를 막기 위한 다양한 기술이 도입되고 있지만, 공격자는 보안시스템과 정책을 우회하며, 사용자를 속여 정상 사용자로 위장해 침투하고, 파트너 및 공급망을 이용한 침투도 진행한다. 세계적인 아이덴티티 서비스 기업조차 해킹당하고 있으며, 이 기업의 고객이 사고 후 잇달아 공격당하고 있다는 소식도 들린다.
데이터 현지화, DSPM 통해 지속적 보호 필요
개인정보·민감정보 유출로 인한 피해를 막기 위해 세계 각국 정부는 데이터 주권을 강화하는 규제를 만들고 있다. 클라우드 등 분산된 디지털 환경에서 중요 데이터에 대한 통제력을 강화하고자 한다. 그런데 이러한 규제로 인해 데이터에 대한 공격표면이 늘어난다는 문제도 있다. 다국적 기업은 데이터 주권을 강제하는 규제 준수를 위해 해당 국가·지역에 데이터를 호스팅하며, 이동이 자유롭지 못하다. 중앙통제가 약한 분산된 데이터는 관리와 보호가 쉽지 않아 공격당하기 쉬워진다.
가트너는 이 점을 지적하면서 데이터 보안 태세 관리(DSPM)가 필수라고 강조한다. DSPM은 저장, 이동 중 데이터가 적합한 보안 정책에 따라 보호되고 있는지 지속적으로 관리하고, 사용되는 국가와 지역의 규제준수 요건을 만족하면서 중앙 보호 정책이 적용되고 있는지 확인한다. 또한 현지 기업의 서비스를 이용하거나 공급망 파트너 접근을 허용할 때에도 반드시 보안 상황에 맞는 정책이 적용, 운영되고 보호되는지 확인해야 한다.
권한 사용자 데이터 유출도 막아야
개인정보·민감정보 보호의 어려움을 더하는 원인 중 하나로 AI가 꼽힌다. 더 나은 AI를 위해 더 많은 데이터를 학습해야 하는데, 부적절하거나 불법적으로 수집한 데이터를 학습했을 때 법적인 문제가 발생할 수 있으며, AI 신뢰 문제도 제기될 수 있다.
자사 데이터가 불법적인 AI 학습에 이용되거나, AI가 민감 데이터를 공개하는 일을 막기 위해서는 데이터에 대한 강력한 보안이 필요하다. 데이터를 식별하고 중요도에 따라 정책을 적용하며, 지속적으로 리스크를 평가해 데이터 보호 정책이 제대로 이뤄지고 있는지 가시성을 제공할 수 있어야 한다.
다큐레이 DRM…DLP·DRM·랜섬웨어 방어 등 통합
블루문소프트는 데이터 보호를 위한 모든 기능을 통합한 ‘다큐레이 올인원 정보보호 플랫폼’을 제공한다. 이 제품은 DLP, DRM, 랜섬웨어 방어 등을 통합했으며, 보안 기능을 지속적으로 확장시키고 있다.
기사 출처 : 데이터넷(https://www.datanet.co.kr/news/articleView.html?idxno=193540)
—
다큐레이 DRM은 문서암호화, 감사, 추척을 위한 문서/도면/개인정보보호 시스템으로 기업의 정보를 안전하게 보호하고 파일 이력관리를 통해 편리한 감사기능을 제공합니다. 랜섬웨어 차단부터 다중협박 대응 및 파일 복구까지 한 번에 해결 가능한 제로트러스트 랜섬웨어 솔루션입니다. 랜섬웨어부터 내부자에 의한 기업의 정보 유출에 대해 고민이시라면 다큐레이 DRM을 잘 아는 (주)피플러스와 상의하시기 바랍니다.