"정작 해커가 암호화 해 압축…비밀번호 조치 등이 개인정보 보호핵심"
[서울이코노미뉴스 이보라 기자] 지난해 말 221만여건의 고객 정보가 털린 골프존이 관련파일에 암호 조처를 했다면 개인정보가 유출되지 않았을 것이라는 지적이 나왔다.
최상명 스텔스몰 인텔리전스 CIO는 4일 열린 개인정보보호위원회 주최의 '2024 개인정보보호 페어' 기조연설에서 이렇게 분석했다.
'다크웹 및 텔레그램에서의 개인정보 유출·판매 실태와 피해현황'을 주제로 발표한 최 CIO는 "골프존에서 대량의 개인정보가 유출된 가장 큰 원인은 '암호없는 파일'"이라며 "'통합회원' 엑셀 파일은 유출이 됐음에도 (파일을 열람할 때) 암호를 걸어놓은 덕분에 개인정보까지 유출되지 않았다"고 말했다.
최 CIO는 "유출된 200만여개의 개인정보가 담긴 준회원 파일의 경우, 암호 조치를 하지 않았다"며 "용량이 크다는 이유였다면 압축을 해 암호를 걸었어야 했으나, 그런 조치도 하지 않아 누구나 열람할 수 있었다"고 지적했다.
지난달 개인정보위는 개인정보가 담긴 파일서버를 제대로 관리하지 않아 221만여명의 이름과 전화번호 등을 유출한 '골프존'에 과징금 75억여원을 부과했다.
개인정보위 조사에 따르면 지난해 11월 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망내 파일서버에 원격 접속한 뒤 이곳에 저장된 파일을 외부로 유출했다. 이후 유출한 정보를 다크웹에 공개했다.
최 CIO는 "정작 파일을 탈취한 해커가 이를 다른 사람이 볼 수 없도록 암호를 걸어 압축해놨다"며 "오히려 (개인정보 보호 측면에서) 해커가 더 잘했다고 볼 수 있는 부분"이라고 꼬집었다.
그는 이 때문에 임직원의 주민등록번호를 포함해 직원 채용 과정에서 제출받은 성범죄 경력조회서 등 각종 개인정보가 다크웹에 유출됐고, 해킹 조직들은 이를 보이스 피싱 등에 활용했다고 지적했다.
그는 "만약 '디지털 저작권 관리기술'(DRM)로 암호처리를 했다면, 해커가 탈취했더라도 열람하진 못했을 것"이라고 말했다.
아울러 2019년 5월부터 올해 5월까지 '다크웹 랜섬웨어 갱단에 의한 정보유출 피해기관 국가별 통계'를 보면 미국이 6615곳으로 전 세계의 절반가량을 차지했지만, 한국도 51곳으로 33위에 자리했다고 분석했다.
실제로 텔레그램 등에서 국내 반도체 기업이나 자동차 부품회사 등의 내부자료들이 버젓이 공개돼 유통되고 있다고 우려했다.
그는 "개인정보 유출을 100% 막을 순 없다"면서도 "보유한 파일에 비밀번호를 걸고, 암호화 장치를 마련해 유출되더라도 아무것도 볼 수 없도록 하는 게 개인정보 보호의 핵심이라고 생각한다"고 강조했다.
'인공지능(AI), 신뢰를 넘어 데이터 가치를 열다'를 주제로 열린 이번 행사는 5일까지 서울 강남구 코엑스에서 진행된다.
