▲ '2024 개인정보보호 페어' 발표하는 최상명 스텔스몰 인텔리전스 CIO
지난해 말 221만여 건의 고객 정보가 털린 골프존이 관련 파일에 암호 조처를 했다면 개인정보가 유출되지 않았을 것이라는 지적이 나왔습니다.
최상명 스텔스몰 인텔리전스 CIO는 오늘(4일) 열린 개인정보보호위원회 주최의 '2024 개인정보보호 페어' 기조연설에서 이렇게 분석했습니다.
'다크웹 및 텔레그램에서의 개인정보 유출·판매 실태와 피해현황'을 주제로 발표한 최 CIO는 "골프존에서 대량의 개인정보가 유출된 가장 큰 원인은 '암호 없는 파일'"이라며 "'통합회원' 엑셀 파일은 유출이 됐음에도 (파일을 열람할 때) 암호를 걸어놓은 덕분에 개인정보까지 유출되지 않았다"고 말했습니다.
최 CIO는 "유출된 200만여 개의 개인정보가 담긴 준회원 파일의 경우, 암호 조치를 하지 않았다"며 "용량이 크다는 이유였다면 압축을 해 암호를 걸었어야 했으나 그런 조치도 하지 않아 누구나 열람할 수 있었다"고 지적했습니다.
지난달 개인정보위는 개인정보가 담긴 파일서버를 제대로 관리하지 않아 221만여 명의 이름과 전화번호 등을 유출한 '골프존'에 과징금 75억여 원을 부과했습니다.
개인정보위 조사에 따르면 지난해 11월 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격 접속한 뒤 이곳에 저장된 파일을 외부로 유출했습니다.
이후 유출한 정보를 다크웹에 공개했습니다.
최 CIO는 "정작 파일을 탈취한 해커가 이를 다른 사람이 볼 수 없도록 암호를 걸어 압축해 놨다"며 "오히려 (개인정보 보호 측면에서) 해커가 더 잘했다고 볼 수 있는 부분"이라고 꼬집었습니다.
그는 이 때문에 임직원의 주민등록번호를 포함해 직원 채용 과정에서 제출받은 성범죄 경력 조회서 등 각종 개인정보가 다크웹에 유출됐고, 해킹 조직들은 이를 보이스 피싱 등에 활용했다고 지적했습니다.
그는 "만약 '디지털 저작권 관리 기술'(DRM)로 암호 처리를 했다면, 해커가 탈취했더라도 열람하진 못했을 것"이라고 말했습니다.
아울러 2019년 5월부터 올해 5월까지 '다크웹 랜섬웨어 갱단에 의한 정보유출 피해 기관 국가별 통계'를 보면 미국이 6천615곳으로 전 세계의 절반가량을 차지했지만, 한국도 51곳으로 33위에 자리했다고 분석했습니다.
실제로 텔레그램 등에서 국내 반도체 기업이나 자동차 부품 회사 등의 내부 자료들이 버젓이 공개돼 유통되고 있다고 우려했습니다.
그는 "개인정보 유출을 100% 막을 순 없다"면서도 "보유한 파일에 비밀번호를 걸고, 암호화 장치를 마련해 유출되더라도 아무것도 볼 수 없도록 하는 게 개인정보 보호의 핵심이라고 생각한다"고 강조했습니다.
(사진=골프존 제공, 연합뉴스)
