개인정보란?
2025년, 데이터 경제 시대에 개인정보와 같은 데이터는 기업 및 기관에 있어 다양한 부가가치를 창출할 수 있는 주요 자산으로 평가받고 있습니다.
“개인정보 보호법”에서 정의하는 개인정보는 살아 있는 개인에 관한 정보로 아래에 해당하는 정보를 말하며, 개인정보는 개인의 성명, 주민등록번호 등 인적 사항뿐만 아니라 개인의 사회, 경제적 지위와 상태, 교육, 건강/의료, 재산, 문화활동 및 정치적 성향과 같은 내면의 비밀에 이르는 다양한 데이터의 종류를 포함합니다.
개인정보 활용 및 보안의 필요성
개인정보는 효율적인 서비스 제공, 맞춤형 고객 경험, 그리고 데이터 기반 의사결정에 필수적인 정보로 모든 산업 및 공공 분야에서 활용되고 있습니다. 개 인정보는 행정, 전자상거래, 고객 관리, 금융거래 등 사회의 구성, 유지, 발전을 위한 필수적인 요소로 자리 잡았으며, 빅데이터 분석 기술의 발전은 개인정보의 활용을 점점 가속화 시키고 있습니다.
한 예로, 공기관 같은 경우에는 관리자의 권한으로 민원인들의 개인정보를 열람하여 더욱 신속하게 민원인들의 업무 처리를 도울 수 있으며, 기업들은 소비자들의 개인정보를 분석해 고객 개인에게 맞춤화한 서비스를 제공하고 있습니다. 하지만 만약 누군가에 의해 개인정보가 악의적인 목적으로 탈취되거나 유출될 경우, 이는 개인뿐만 아니라 조직 자체에도 큰 타격을 줄 수 있으며, 유출을 통해 발생하는 계정 도용, 스팸메일, 불법 텔레마케팅 등과 같은 사례처럼 범죄 행위로 이어질 수 있습니다.
그렇기 때문에 민감한 개인정보를 다루는 조직일수록 개인정보에 대한 보안이 중요합니다. 기관과 기업에서는 개인정보를 다루는 시스템에 대한 보안뿐만 아니라, 개인정보에 직접적으로 접근하고 열람할 수 있는 관리자들에 대한 보안 또한 강조하고 있습니다. 민감한 정보를 대량으로 처리하는 공공 시스템들은 개인정보 유출과 같은 사고를 예방하기 위해 관리자들의 접근 권한을 최소한 부여하도록 하고 있으며, 접속기록 점검 및 감시를 통해 개인정보에 대한 보호를 더욱 강화하고 있습니다.
현 개인정보 보호 조치의 문제점
개인정보 보호는 단순히 개인정보를 암호화하여 안전하게 저장하는 것뿐만 아니라, 개인정보를 저장, 전송, 그리고 사용자에게 제공하는 모든 과정에 대한 보안이 요구됩니다.
현재 기업에서는 개인정보가 사내의 정보처리시스템에 저장될 경우 개인정보보호법에 따라 데이터 암호화를 통해 안전하게 보호하고 있으며, 개인정보가 전송될 경우에도 네트워크 암호화를 통해 안전하게 데이터가 이동되고 있습니다. 하지만 여기서 문제는 네트워크 암호화를 통해 보호된 개인정보가 웹 브라우저에 도달하게 되면, 원본 개인정보가 평문 형태로 존재한다는 것입니다. 이러한 취약점을 방지하기 위해 기업에서는 애스터리스크(*)와 같은 데이터 마스킹 기법을 통해 개인정보 노출을 일차적으로 방지하고 있지만, 마스킹 처리된 개인정보는 주민등록번호와 같이 중요 개인정보만 숨김 처리하거나 사용자의 업무에 따라 마스킹을 해제할 수 있는 버튼을 제공하기도 합니다.
특히 인사 업무와 같이 개인정보의 원활한 활용을 위해 원본이 공개되어야 하는 경우, 개인정보는 평문 형태로 제공될 수밖에 없으며, 해당 개인정보는 DOM 영역에서 평문으로 존재하게 됩니다. 또한 이메일이나 전화번호와 같이 자주 업무에 사용되는 개인정보의 경우는 원본이 그대로 제공되기도 하며, 이는 스크래핑과 크롤링의 대상이 됩니다.
이처럼 데이터베이스와 네트워크에 대한 강력한 암호화를 통해 개인정보 보호를 실시하더라도, 원본 개인정보가 웹에 도달하는 순간 개인정보는 노출되고 이는 스크래핑 및 크롤링 공격의 타깃이 됩니다.
개인정보 암호화는 데이터 보호를 위한 필수적인 보안 조치지만, 암호화만으로 개인정보 유출을 완전히 방지할 수 없습니다. 암호화된 개인정보는 결국 복호화 과정이 필요하며, 이는 암호화만으로는 완전한 개인정보 보안이 실시되기 어렵다는 것을 말해줍니다.
개인정보 암호화는 데이터를 안전하게 보호하는 역할을 할 수 있지만, 데이터가 실제로 활용되기 위해서는 웹 서버로 복호화 되는 과정을 필수적으로 거쳐야 하며, 이 과정에서 개인정보가 유출되거나 복제될 가능성이 높습니다. 결국 개인정보 암호화는 데이터 저장과 보관 단계에서의 보호 조치일 뿐이며, 개인정보를 제공하는 과정에서의 보안이 강화되지 않으면 개인정보 유출을 막을 수 없습니다.
기관과 기업들은 다양한 조치를 통해 개인정보 유출을 방지하고 있지만, 경찰청 국가 수사본부의 발표에 따르면 기업 정보 유출의 대부분 내부자의 소행이라고 합니다. 보안뉴스의 22년 6월 22일의 기사에 따르면, 수원시 권선구의 한 공무원이 ‘불법 노점 단속’ 과 ‘건설기계조종사 면허 발급’ 업무를 위해 부여받은 자동차 관리 정보시스템과 건설기계 시스템의 사용 권한을 남용하여 타인의 개인정보를 무단으로 흥신소 업자에게 1,101건 유출한 사실이 밝혀졌습니다.
이처럼 개인정보 취급자가 접근 권한을 남용하여 개인정보를 외부로 유출한 사례는 결국 개인정보 복호화 단계에서 발생하는 문제라고 볼 수 있으며, 개인정보 암호화로 해결되지 못하는 권한권자의 개인정보 악용 사례입니다.
그렇다면 개인정보 자체에 대한 보안뿐만이 아니라 권한권자에 대한 더 안전한 개인정보 보안을 실시하기 위해서는 어떠한 보안이 필요할까요?
개인정보 난독화를 통한 개인정보 보호
개인정보를 안전하게 보호하기 위해서는 암호화 뿐만이 아니라 개인정보 난독화를 통해 개인정보에 대한 보안을 지속적으로 실시할 수 있어야 합니다. 많은 개인정보를 요구하고 활용하는 환경에서 기업과 기관은 단순히 데이터를 안전하게 보관하는 것에 그치지 않고 개인정보를 활용하는 과정에서도 개인정보 난독화를 통해 민감한 데이터를 지속적으로 보호하는 것이 필수적입니다.
또한 개인정보에 접근할 권한을 소유한 관리자라도 권한 남용이나 의도치 않은 유출을 방지하기 위해 개인정보 난독화를 통해 데이터를 안전하게 보호할 수 있어야 하며, 설사 개인정보가 유출이 되더라도 개인정보는 난독화 되어있어 해석이 불가능 상태가 되어야 할 것입니다. 특히 웹 기반의 정보 시스템들은 웹 스크래핑/크롤링 툴 또는 웹 브라우저 기본 기능을 이용하여 손쉽게 원본 데이터를 추출할 수 있다는 취약성이 존재하기 때문에, 스크래핑/크롤링 방지뿐만 아니라 브라우저 기본 기능 제어를 통해 개인정보의 유출을 방지해야 합니다.
암호화된 개인정보가 웹 브라우저에 도달한 순간, 개인정보를 담고 있는 원본 데이터는 난독화된 상태를 유지할 수 있어야 합니다. 개인정보의 난독화를 통하여 개인정보의 추출이 불가능하며, 화면에 정상적으로 표시되는 개인정보는 DOM 영역에서 실시간으로 난독화 처리되어 분석 및 해석 또한 방지됩니다.
개인정보는 일반 텍스트와 달리 유형에 따라 맞춤형 난독화 기술이 필요합니다. 예를 들어, 전화번호나 주민등록번호처럼 숫자로 이루어진 데이터는 일반적인 난독화 방식과 달리 숫자 기반의 가비지 값의 추가가 필요하며, 이처럼 개인정보의 특성에 따라 적절한 난독화 기법을 적용이 필요합니다.
개인정보 난독화로 구축하는 안전한 디지털 환경
개인정보가 디지털 사회의 핵심 자산으로 자리 잡으면서 이를 안전하게 보호하는 것은 모든 조직들의 필수 과제가 되었습니다. 특히 내부자에 의한 유출과 웹 기반 시스템의 취약성을 고려할 때, 개인정보 보호는 선택이 아닌 필수적인 의무로 다뤄져야 합니다. 개인정보 난독화는 민감한 개인정보 데이터를 실시간으로 보호하고 웹 스크래핑이나 내부자 위협 같은 보안 문제를 효과적으로 해결할 수 있는 강력한 보안 방법입니다. 개인정보의 유형별로 독특한 난독화 기술을 활용함으로써 개인정보 유출 가능성을 차단하고 데이터의 안전성을 확보할 수 있으며, 이를 통해 기관과 기업은 신뢰받는 데이터 관리 환경을 구축할 수 있을 것입니다.
자료 출처:
[1] 개인정보 포털 https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=34
[2] 원병철, 보안뉴스, "개인정보위, 흥신소에 개인정보 유출한 수원시에 과태료 부과", 2022.06.22,
https://m.boannews.com/html/detail.html?idx=107704
[3] 김영명, 보안뉴스, "최근 4년간 교육기관 개인정보 유출, 615만건 넘었다... 올해도 8월까지 52만여건", 2024.10.10,
https://m.boannews.com/html/detail.html?idx=133447
[4] 박은주, 보안뉴스, "개인정보 유출 등 보안사고의 또 다른 주범 ‘내부자들’... 범인은 이 안에 있다", 2023.04.03,
https://www.boannews.com/media/view.asp?idx=115440
[5] 김기배, 전자신문, "개[보안칼럼]끊임없는 개인정보 유출사고 어떻게 막을 것인가", 2022.04.26,
https://www.etnews.com/20220426000232