침해사고/위협동향

[딜라이트닷넷] 개인정보, 한 번 유출되면 주워 담을 수 없다

이종현
[IT전문 미디어블로그=딜라이트닷넷] 연말연초에 갖가지 개인정보 유출 이슈가 발생했습니다. 해커의 공격에 의한 경우도 있는가 하면 관리 부주의로 인한 유출도 있습니다. 피해 경위나 범위, 피해자 모두 제각각인 별건의 사건들이지만 유출로 인한 피해는 주워 담을 수 없다는 공통점이 있습니다.

이를 잘 보여주는 대표적 사례가 이랜드그룹 랜섬웨어 피해 사건입니다. 이랜드의 사내 네트워크 시스템을 공격한 러시아 해커조직 ‘클롭(CL0P)’은 이랜드로부터 고객 카드정보 약 200만건을 훔쳤다고 주장했습니다. 정보가 공개되지 않으려면 4000만달러 상당의 비트코인을 요구하기도 했습니다.

이에 이랜드는 “공격을 받은 시스템과 고객 정보를 저장하는 시스템은 별개로 암호화해 관리되기 때문에 정보 유출 가능성이 없다”고 해커의 주장과 요구를 일축했습니다. 가짜 정보로 블러핑(Bluffing)을 한다는 것이죠.

이랜드가 요구에 응하지 않자 클롭은 다크웹의 웹사이트를 통해 카드정보를 공유하기 시작했습니다. 22일 기준 100만건의 카드정보가 공개됐습니다. 특정 브라우저로, 웹사이트 주소만 알면 누구나 접속할 수 있는 공간에 100만건의 국민 카드정보가 고스란히 노출돼 있는 상태입니다.

클롭이 공개한 카드정보가 실제 이랜드의 고객 카드정보인지는 불분명합니다. 다만 최초 공개한 카드정보 10만건 중 유효 카드정보는 3만6000건이었고 2만3000건은 기존에 불법유통이 확인된 카드정보였음을 미루어 보아 해커가 ‘이미 유출됐던 정보로 이랜드를 협박했다’는 추측이 제기되고 있습니다.

주목할 점은 한 번 유출된 카드정보가 계속해서 유통·활용된다는 점입니다. 데이터를 훔친 해커들이 정보를 공개하면, 다른 해커가 이 정보를 이용해 2차·3차 피해를 양산합니다. 한 번 유출됐다면 이를 수습하기는 불가능에 가깝다는 것이 보안업계 관계자들의 설명입니다.

이랜드 외에 한국과학기술원(KAIST)도 학교 전자연구노트시스템이 해킹되며 학생을 비롯해 전·현직 교직원, 연구자 3만800여명의 개인정보가 유출됐습니다. 보안기업이 운영하는 화상회의 플랫폼의 과거 계정정보 및 신용카드 결제내역이 유출되는 사건도 있었습니다.

이처럼 사이버 공격으로 인한 정보 유출에도 주의해야 하는 상황에서, 최근에는 기업의 관리 소홀이나 인식 부족으로 인한 개인정보 유출 사례도 발생했습니다. 스캐터랩의 인공지능(AI) 챗봇 서비스인 ‘이루다’입니다.

이루다는 ‘연애의 과학’이라는 연애상담 애플리케이션(앱)의 데이터를 학습한 AI 챗봇 서비스입니다. 연인들의 카카오톡 대화를 학습함으로써 ‘20대 여성 대학생’이라는 이루다의 캐릭터성이 갖춰졌습니다.

문제는 이루다가 이용자의 말에 대답하는 과정에서 민감한 개인정보가 포함됐다는 점입니다. 개발사인 스캐터랩 측은 비식별 처리를 한 데이터를 학습시켰다고 주장하지만 이루다가 비식별화되지 않은 개인정보를 학습 및 표현함으로써 설득력을 얻기 어렵습니다.

이에 더해 스캐터랩이 오픈소스 플랫폼 깃허브에 공유한 AI 학습용 데이터 카카오톡 대화 1700여건 중에서도 개인정보가 포함되며 문제가 커졌습니다. 스캐터랩은 이를 인지한 후 해당 데이터를 내렸지만 장시간 공개돼 있었기에 2차 피해가 우려되는 상황입니다.

기술이 발전할수록 인터넷 공간에 대한 규제는 점점 어려워지고 있습니다. 딥웹, 다크웹에서는 유통되는 각종 불법 정보를 막는 뾰족한 수단이 없는 만큼, 애초부터 개인정보가 유출되지 않도록 하는 것이 최선의 해결책입니다.

전문가들은 엄격한 규제가 능사는 아니라고 말합니다. 데이터 활용이 피할 수 없는 흐름이라면 ‘어떻게 활용하느냐’에 대한 고민이 필요하다는 것이 산업계, 학계 공통의 의견입니다. 데이터 컨트롤타워로 개편될 4차 산업혁명위원회에 기대가 모이는 이유입니다.

[이종현 기자 블로그=데이터 가드]
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널