눈 뜨고도 '해킹' 당한다…KISA "개인정보 취급자, 필요할 때만 접속해야"

스피어피싱 등 다양한 수법과 함께 복잡해진 해킹 경로
"정보 공개·안전 인증 등 취약점 파악시 주요 쟁점 발생"

주요 쟁점(빨간색 표시)으로 떠오른 안전조치 의무위반 유형(KISA 제공)

(서울=뉴스1) 오현주 기자 = 스피어피싱(특정 대상 공격)·조용한 해킹(사용자 모르게 단말 정보 탈취) 등 다양한 사이버 공격 수법이 나오면서 해킹 경로도 복잡해지고 있다.

덩달아 기업이 개인정보보호법을 어겼을 경우 구체적인 보안 취약점을 파악하기 어려워졌다. 이는 기업의 빠른 사후 대응에도 걸림돌로 작용한다.

7일 한국인터넷진흥원(KISA)에 따르면 개인정보 유출 사고 주요 쟁점은 크게 세 가지다. 정보 공개·유출 방지 조치, 안전한 접속·인증 수단, 시스템 설치·운영 측면이다.

지난해 기업 안전조치 의무위반 유형은 △저장·전송시 암호화(25%) △접속기록 보관·점검(22%) △공개·유출 방지 조치(19%) △접근권한 관리(15%) △안전한 접속·인증 수단(13%) △시스템 설치·운영(6%) 순이었다.

여기서 △저장·전송시 암호화 △접속기록 보관·점검 접속기록 보관·점검 △접근권한 관리 측면의 취약 여부는 뚜렷한 정답이 있다.

그에 반해 나머지 3개의 유형은 해킹 경로가 다양해지면서 구체적인 기준을 적용하기 어렵다. 이러한 점에서 KISA는 기업이 최소한의 의무를 이해하고 여기에 맞춰 개선조치를 실시해야 한다고 강조했다.

차윤호 KISA 개인정보조사단 단장(KISA 제공)

먼저 '공개·유출 방지 조치'를 강화하기 위해서는 개인정보처리 시스템 및 개인정보 취급자의 컴퓨터·모바일 기기에 보안 조치를 취해야 한다.

차윤호 KISA 개인정보조사단 단장은 "처리 중인 개인정보가 인터넷 홈페이지·P2P(개인 간 파일 전송)·공유 설정 등을 통해 열람권한이 없는 자에게 공개되거나 유출되지 않도록 해야 한다"고 말했다.

이어 "(기업이 신경써야 할) 개인정보처리시스템은 데이터베이스(DB)와 연동돼 개인정보 처리 과정에 관여하는 웹서버 등을 포함한다"며 "웹 취약점 점검과 시큐어 코딩, 개발·적용 과정에 설정·인증 오류도 점검해야 한다"고 강조했다.

다음으로 '침입차단·탐지 시스템 설치·운영' 측면의 개선을 위해 개인정보처리시스템에 대한 접속 권한을 IP(인터넷 프로토콜) 주소 등으로 제한해야 한다.

철저한 침입방지 시스템 운영 관리도 중요하다. 차윤호 단장은 "(솔루션을) 설치했다고 끝난게 아니라 정기적으로 노후여부를 분석하고, 이에 따른 정책을 설정해 이상 행위를 탐지·대응하는 조치가 필요하다고 의무를 부여하고 있다"고 말했다.

또 '안전한 접속 인증 수단 적용 여부'를 판단할 때는 안전한 인증 수단 사용이 중요하다.

개인정보 취급자가 필요한 때만 개인정보처리시스템을 접속하도록 하는 것도 필수 요소다.

차 단장은 "외부에서 개인정보처리시스템에 접속이 필요한 경우 VPN 또는 OTP 등 추가 인증을 적용하도록 하고 있다"며 "개인정보처리 취급자가 (시스템에) 필요한 시간 동안만 접속하도록 제한하는 의무도 부과하고 있다"고 말했다.

한편 KISA는 기업들이 이같은 정보보호 기준뿐만 아니라 보안 기술을 익힐 수 있도록 별도 프로그램을 운영하고 있다. 대표적으로 종사자 50인 미만 기업에 연간 50건가량의 간이·심층 컨설팅을 지원한다.

woobi123@news1.kr