안녕하세요
오늘은 2020년에 일어났던 보안 이슈 7가지에 대해서 정리해 볼게요
1. 데이터 3법 시행
빅데이터 시대가 도래하면서 데이터 3법 개정안이 올해 2월 4일 공포되어 6개월 후인 8월 5일 데이터3법이 시행됐습니다
가명 처리된 정보는 정보주체의 동의 없이 제3자 제공이 가능해졌습니다
개인정보 이동권이 확대되어 마이 데이터 사업자, 마이 페이먼트 사업이 활성화될 것으로 보이고요
이와 함께 개인을 식별할 목적으로 가명 정보를 처리할 경우 전체 매출의 3%를 과징금으로 부과하는 처벌규정이 신설되었습니다
4차 산업혁명 시대에 신사업 육성을 위해서는 데이터의 이용이 필수인 만큼 그동안 데이터 활용에 어려움을 겪어왔던 기업들은 향후
개인정보 활용 사업에 있어서 큰 변화를 가져올 것이라고 생각됩니다
아직까지 개인정보 활용에 대한 불법 유출, 오납용, 사칭 및 사기 등 보안상 이슈들이 해소되지 않은 것들이 많지만
앞으로 법적, 제도적인 보완이 필요하고 데이터 활용과 보호의 균형점을 찾아가야 할 것으로 보입니다.
2. 클라우드 보안
클라우드 시장 규모가 세계적으로 19년엔 2,278억 달러 -> 2020년 2,664억 달러로 17% 성장한 것으로 예측되는데요
클라우드 보안업체 Armor에 따르면 한 해 동안 클라우드 서비스 대상 공격이 약 7억 회에 달할 정도로 많이 일어난다고 합니다
클라우드 관련 주요 사고 사례를 아래 표를 보시면
대부분 휴먼에러가 많은데요
사실 사람이 일일이 다 관리하기 힘든 것이 사실입니다
클라우드 대상 공격은 지속적이고 고도화되고 있습니다
가상화 취약점 악용 공격, API 대상 공격 등 클라우드에 특화된 공격이 클라우드 대상으로 확대 및 다양화될 전망입니다
클라우드의 사고 발생 시 책임은 클라우드 서비스 제공자와 기업이 범위를 나누어 책임을 집니다
이것은 공통 책임 모델(Shared Responsibility Model) 이라고 부릅니다
클라우드 보안을 위한 체크리스트나 시스템 적인 방안들이 많이 나와서 해소돼야 할 부분으로 보입니다.
3. 페이스북 67억 과징금 부과
개인정보보호위원회에서 페이스북에 67억의 과징금을 부과하고 형사 고발했습니다
페이스북은 6년간 330만 건 이상의 개인정보를 정보주체 동의 없이 제3자 제공하여 과징금 76억을 부과받았습니다
조사 결과 지난 2012년부터 6년 동안 위반행위가 이어졌다고 알려져 있습니다
4. n번방 사건과 개인정보 오남용
2020년 사회적 공분을 산 N번방 사건에서 사회복무요원이 금전 이익을 목적으로 업무용 공공 시스템에 접속하여 개인정보를 조회, 악용한
사건이 발생했습니다
개인정보를 유출해 이를 사건의 주범에게 넘겨주어 성착취 협박에 악용한 것으로 알려져 공공기관의 데이터베이스 접근 권한 관리 소홀이
사회적 문제로 되었습니다
해당 사건은 권한자에 의한 개인정보유출사고가 적지 않고 악용 위험이 높다는 것을 확인하는 계기가 되었으며
6월 행안부와 병무청은 ‘민원인 개인정보 관리 개선방안’을 통해 사회복무요원이 민원인 개인정보 유출할 경우 최대 징역 5년 엄벌에 처해질
것을 발표했습니다
이번 사건으로 시스템에 대한 사용자별 권한 관리와 계정 정보 공유 금지 등 보안관리 체계를 수립하고 사용자의 보안 의식 제고를 위한 교육
이 이루어지길 바랍니다.
5. 인공지능(AI), 바이오 정보 위험 증대
인공지능 기술을 사용한 사이버 공격 고도화가 우려되고 있습니다
딥 페이크는 딥러닝과 페이크를 합성한 신조어입니다
현실의 영상이나 음성, 화상의 일부를 가공해 가짜 정보를 함께 넣어 마치 진짜처럼 꾸며 상대방을 속이는 방법으로 거기에 딥 러닝 기술이
들어가 마치 진짜처럼 표현이 가능해졌습니다
유명한 사례로 2016년부터 시작된 오바마 딥 페이크 영상입니다
이렇게 만들어진 딥 페이크 영상이 정치에 악용될 때 큰 문제를 야기합니다
사람들의 신뢰가 중요한 정치계에선 이런 가짜 영상들을 사람들이 접하게 되면 정치인들의 신뢰성을 떨어 뜨릴 수 있다는 게 이유입니다
인공지능을 악용한 공격은 고도화가 지속되고 있고 시스템 내 취약점을 자동으로 분석하여 공격하거나, 진위여부 파악이 어려운 피싱 메일
등 인공지능을 악용한 공격이 더욱 고도화될 전망입니다
인공지능, 학습 데이트 조작, 악의적 샘플 삽입 등 공격에 대한 대응 방안 마련이 필요합니다
현재 중국 알리페이에서는 딥 페이크를 탐지하는 방안 알고리즘을 적용 중이라고 밝혔습니다.
6. 코로나19 언택트 재택근무 원격 제어 프로그램 공격
2020년 상반기부터 시작된 코로나 19 사태로 인해 각종 정보보안 위협도 크게 증가했습니다
'covid19', 'coronavirus' 등의 코로나19 키워드를 가진 웹사이트들이 대량으로 생겨났고, 공공기관을 사칭해 코로나 관련 정보 공유라고
사칭하는 악성코드 실행, 다운 유도 공격이 늘어났습니다
또한 온라인 쇼핑 증가로 택배 배송 안내 문자, 긴급재난지원금 관련 문자를 사칭한 스미싱 역시 등장하고 있습니다
코로나 19로 인해 감영병 예방을 위한 사회적 거리두기의 일환으로 재택근무도 많이 늘어나고 있는데요 철저한 준비가 없이 달라진 근무
환경에 보안관리 체계가 다소 약화된 틈을 노려 보안 위협이 증가했습니다
사용자 계정을 탈취하거나 시스템 루트 권한을 뺏기 위한 소셜 엔지니어링 공격이 이어지고, 회사 공지사항이나 이력서를 가장한 APT 공격
역시 증가했습니다
재택근무 중 발생할 수 있는 여러 보안 위협에 대응하기 위해서는 시스템 접근 통제, 사용자 접근 및 작업 행위 모니터링 등을 강화해야 할 것입니다.
또한 요즘 스마트폰으로 얼굴인식과 지문인식 등 바이오인증이 확대되고 있는데요
바이오정보에 대한 공격도 증가할 전망입니다
전자금융거래에서도 모바일 비중이 빠르게 증가하고 있고 바이오 인증이 주된 인증 방법으로 자리매김하고 있습니다
지문, 얼굴 등 바이오정보가 암호화되지 않은 상태로 외부에 노출되어 있는 등 보안 취약점이 존재함에 따라 공격이 증가하고 있습니다
국내에서는 아직까지 바이오정보나 인증을 대상으로 한 구체적 공격 사례가 공개되어 있지 않습니다
바이오정보를 안전하게 활용할 수 있는 방안이 연구되고 있습니다
7. CISO 임원급 전담제 강화 법 개정 추진
11월 25일 정보통신망법 일부개정안이 발의됐습니다
자산 5조이상 민간기업에서 CISO 임원급 전담제를 제대로 시행하지 않은 경우 과태료를 부과하는 규정입니다
CISO가 데이터 보호의 CPO역할도 함께 할 수 있도록 업무영역이 확대될 것으로 예상합니다
CISO 임원급 겸직금지 대상 기업 140여 개가 처별 규정 없어 대부분 법을 위반했습니다
삼성, KT 등 몇몇 대기업만 정상적으로 CISO가 겸직 없이 임무를 수행하고 있지만 나머지 대다수의 대기업들은 겸직을 하거나 임원이 아닌
사람들이 CISO로 임명된 상황입니다
이제는 처벌이 강화되어 기업들이 인지하고 경각심을 가지게 될 전망입니다.