[줄줄 새는 개인정보] (2) 널려있는 보안 사각지대 ‥ 휴대폰대리점.병원기록은 마음만 먹으면…
입력
수정
보안기준 없는데다 유출사실 파악도 안돼 … 주민증 지문.T-머니도 관리 시급
#1.국책기관인 한국정보보호진흥원(KISA)은 요즘 인터넷 검색 사이트인 구글을 뒤지느라 정신이 없다. 정부가 운영하는 각종 웹 사이트에 있는 개인 정보가 '구글 해킹' 공격을 당했는지 여부를 확인하기 위해 전담팀까지 구성했다. 구글 해킹은 가장 강력한 것으로 평가받는 구글 검색 엔진을 활용,특정 사이트의 데이터베이스(DB)를 빼내는 수법이다. #2.IT 서비스회사인 A사 보안 솔루션 담당 과장은 최근 한 대형 병원을 찾았다가 그곳의 보안 실태에 깜짝 놀랐다. 민감한 개인의 의료 정보를 갖고 있는 곳임에도 아이디와 비밀번호 하나만으로 모든 환자의 정보에 쉽게 접근할 수 있던 것.웬만한 대기업들이 관리자 권한을 이중,삼중으로 설정해 놓은 것과 대조적이다.
◆개인정보 유출 위험 곳곳에 잠복
개인정보 유출 위험이 곳곳에 도사리고 있다. 주민등록번호를 비롯해 지문이나 홍채 등 생체 정보,의료 정보,CCTV 화면 등 개인 정보가 광범위하게 수집되고 있는 데 비해 정보보호 장치는 허술하기 때문이다. 보안장치가 비교적 잘 된 정부 운영 사이트까지 구글 해킹의 위험에 노출된 것이 대표적인 사례다. 가입자의 개인정보가 집중적으로 담겨 있는 통신업체 대리점 PC도 언제든 '구글 해킹'의 표적이 될 수 있다는 게 전문가들의 지적이다.
보안업계 관계자는 "간단한 조작만 하면 대리점 직원이 웹상에서 작업하다 흔적을 남겨 놓은 가입자 정보를 구글 엔진을 통해 검색할 수 있다"고 설명했다. 그는 "정부 사이트가 구글 해킹을 당했다면 KISA가 이를 발견해 구글에 지워 달라고 요청하면 되겠지만 일반 사이트에서 유출된 개인 정보는 본인도 모른 채 계속해서 인터넷에 떠돌아다니게 된다"고 덧붙였다.
보안 인프라 및 전문 인력을 갖추지 못한 중소기업과 금융회사 등도 공격하기에 쉬운 대상으로 꼽힌다. 보안 컨설팅 업체 인포섹의 신순정 전무는 "금융권만 해도 상호저축은행,대부업체 등 중소 규모 금융 회사들의 보안은 아주 초보적인 수준"이라고 말했다.
◆의료정보는 보안 사각지대
해킹 또는 유출 위험에 놓인 개인정보는 주민등록번호나 주소,전화번호뿐만이 아니다. 개인이나 가족의 질병 병력까지 담긴 의료정보도 관리 사각지대에 놓여 있다. 국내 의료기관은 대부분 진료 기록의 활용 범위,접근 권한,법적인 보존 기간 이후 폐기 절차 등에 대한 기준을 정하지 않거나 모호하게 해놓고 있다.
작년 국민건강보험공단 직원이 연예인 등의 개인 신상정보를 무단으로 유출한 것은 이 같은 현실을 잘 보여준다. 보험거래표준화 및 책임성증진법(HIPPA)을 통해 환자 진료 정보의 활용을 엄격히 제한하고,본인 동의 없이 유용할 경우 강력한 처벌을 하도록 한 미국의 사례와 대조되는 대목이다. 보안업계 관계자는 "주민등록증을 만들 때 제출한 지문과 각 지방자치단체들이 보관하는 주요 공공장소 CCTV 화면,T-머니를 통한 대중교통 이용정보 등 다양한 개인 정보가 많이 쌓여가고 있다"며 "당장에 유출 사고가 없다고 하더라도 이에 대한 체계적인 관리가 필요하다"고 지적했다.
박동휘 기자 donghuip@hankyung.com
#1.국책기관인 한국정보보호진흥원(KISA)은 요즘 인터넷 검색 사이트인 구글을 뒤지느라 정신이 없다. 정부가 운영하는 각종 웹 사이트에 있는 개인 정보가 '구글 해킹' 공격을 당했는지 여부를 확인하기 위해 전담팀까지 구성했다. 구글 해킹은 가장 강력한 것으로 평가받는 구글 검색 엔진을 활용,특정 사이트의 데이터베이스(DB)를 빼내는 수법이다. #2.IT 서비스회사인 A사 보안 솔루션 담당 과장은 최근 한 대형 병원을 찾았다가 그곳의 보안 실태에 깜짝 놀랐다. 민감한 개인의 의료 정보를 갖고 있는 곳임에도 아이디와 비밀번호 하나만으로 모든 환자의 정보에 쉽게 접근할 수 있던 것.웬만한 대기업들이 관리자 권한을 이중,삼중으로 설정해 놓은 것과 대조적이다.
◆개인정보 유출 위험 곳곳에 잠복
개인정보 유출 위험이 곳곳에 도사리고 있다. 주민등록번호를 비롯해 지문이나 홍채 등 생체 정보,의료 정보,CCTV 화면 등 개인 정보가 광범위하게 수집되고 있는 데 비해 정보보호 장치는 허술하기 때문이다. 보안장치가 비교적 잘 된 정부 운영 사이트까지 구글 해킹의 위험에 노출된 것이 대표적인 사례다. 가입자의 개인정보가 집중적으로 담겨 있는 통신업체 대리점 PC도 언제든 '구글 해킹'의 표적이 될 수 있다는 게 전문가들의 지적이다.
보안업계 관계자는 "간단한 조작만 하면 대리점 직원이 웹상에서 작업하다 흔적을 남겨 놓은 가입자 정보를 구글 엔진을 통해 검색할 수 있다"고 설명했다. 그는 "정부 사이트가 구글 해킹을 당했다면 KISA가 이를 발견해 구글에 지워 달라고 요청하면 되겠지만 일반 사이트에서 유출된 개인 정보는 본인도 모른 채 계속해서 인터넷에 떠돌아다니게 된다"고 덧붙였다.
보안 인프라 및 전문 인력을 갖추지 못한 중소기업과 금융회사 등도 공격하기에 쉬운 대상으로 꼽힌다. 보안 컨설팅 업체 인포섹의 신순정 전무는 "금융권만 해도 상호저축은행,대부업체 등 중소 규모 금융 회사들의 보안은 아주 초보적인 수준"이라고 말했다.
◆의료정보는 보안 사각지대
해킹 또는 유출 위험에 놓인 개인정보는 주민등록번호나 주소,전화번호뿐만이 아니다. 개인이나 가족의 질병 병력까지 담긴 의료정보도 관리 사각지대에 놓여 있다. 국내 의료기관은 대부분 진료 기록의 활용 범위,접근 권한,법적인 보존 기간 이후 폐기 절차 등에 대한 기준을 정하지 않거나 모호하게 해놓고 있다.
작년 국민건강보험공단 직원이 연예인 등의 개인 신상정보를 무단으로 유출한 것은 이 같은 현실을 잘 보여준다. 보험거래표준화 및 책임성증진법(HIPPA)을 통해 환자 진료 정보의 활용을 엄격히 제한하고,본인 동의 없이 유용할 경우 강력한 처벌을 하도록 한 미국의 사례와 대조되는 대목이다. 보안업계 관계자는 "주민등록증을 만들 때 제출한 지문과 각 지방자치단체들이 보관하는 주요 공공장소 CCTV 화면,T-머니를 통한 대중교통 이용정보 등 다양한 개인 정보가 많이 쌓여가고 있다"며 "당장에 유출 사고가 없다고 하더라도 이에 대한 체계적인 관리가 필요하다"고 지적했다.
박동휘 기자 donghuip@hankyung.com