검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'2024 개인정보보호 페어'통합검색 결과 입니다. (2건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"개인정보 탈취, 기업피해로 확산 우려...전방위 모니터링 갖춰야"

“한번 개인정보가 탈취되면 개인을 넘어 조직의 피해로까지 확산될 수 있다. 이러한 피해를 막기 위해 사내 전반적인 시스템을 자동으로 모니터링하기 위한 대안 마련이 필요하다.” 안랩 추상욱 부장은 4일 개인정보보호위원회가 개최한 '2024 개인정보보호 페어'에서 다각화되는 개인정보 탈취 사례를 소개하고 이로 인한 피해를 완화하기 위한 방안으로 확장된 감지 및 대응(XDR) 솔루션을 소개했다. 전 세계적으로 사이버범죄가 기업화되며 금전적인 이득을 노린 기업 대상 랜섬웨어 공격이 급증하고 있다. 악명 높은 랜섬웨어 조직인 락빗의 경우 미 대형 항공사인 보잉의 기업 데이터를 대규모로 탈취해 공개한 바 있다. 추 부장은 “데이터 탈취가 위험한 것이 이들이 공개한 데이터 안에는 정비사의 명단, 항공기의 설계 기록, 정비 기록 등등 개인정보를 비롯해 기업 내 주요 기록까지 포함돼 있었다”며 “이러한 정보가 탈취될 경우 이를 악용해 다른 기업이나 사용자까지 피해가 확산될 수 있어 더욱 주의가 요구된다”고 설명했다. 그는 랜섬웨어가 급증하게 된 원인 중 하나로 인포스틸러를 지목했다. 인포스틸러는 개인정보 및 기업 인프라 접속 권한, 해킹툴 등을 전문적으로 수집 및 판매하는 전문 브로커다. 직접 사이버공격을 시도하지 않더라도 누구나 사이버 공격을 시도할 수 있는 환경을 제공하는 플랫폼을 제공하기 때문이다. 추상욱 부장은 “최근 많은 사람들이 편의를 위해 개인 로그인 정보를 비롯해 카드 정보까지 크롬 등 웹브라우저에 저장하는 사례가 많다”며 “인포스틸러는 이런 데이터를 악성코드를 이용해 탈취한 후 범죄에 악용하려는 다른 누군가에게 판매하고 있다”고 설명했다. 개인정보를 탈취하는 또다른 사례로 페이크 페이지도 소개했다. 페이크 페이지는 유명 사이트나 포탈과 거의 동일한 사이트를 제작해 해당 사이트에 로그인하거나 개인정보를 입력하는 사용자의 데이터를 탈취하는 수법이다. 지난 해 북한에서 네이버를 복제한 사이트를 만들어 사용자의 정보를 탈취하려 한 정황이 확인되기도 했다. 이렇게 탈취된 개인정보는 그대로 금전적인 사고로 이어지거나 랜섬웨어 조직 등으로 넘어갈 경우 기업을 공격하기 위한 수단으로 악용될 여지가 있다. 기업임원이나 관리자의 개인정보를 탈취하거나 PC에 침투하기 위한 스피어피싱 공격 과정에서 신분을 위장하기 위해 주로 활용되기 때문이다. 추상욱 부장은 개인정보 탈취 및 악용을 방지하기 위해 XDR을 활용할 것을 조언했다. XDR은 조직 내 다양한 시스템으로부터 위협정보를 수집해 분석, 탐지, 대응을 제공하는 SaaS형 '보안 위협 분석 플랫폼'이다. 보안 솔루션부터 이메일 등 업무용 시스템까지 다양한 이기종 솔루션으로부터 생성된 데이터를 연계 분석해, 보안 리스크(Risk) 우선순위를 직관적으로 제공하고 연동 솔루션을 활용한 자동 대응까지 제공한다. 추 부장은 “최근 사이버공격은 굉장히 다각화되고 기업의 시스템도 복잡하기 때문에 개인이 일일이 모든 공격을 확인하고 대응할 수 있는 시기는 지났다”며 “이제는 인공지능(AI)를 적용해 자동으로 모니터링하며 비정상적인 접근이나 행위 등을 확인하고 이를 판단한 데이터를 통해 상황을 빠르게 확인할 수 있다”고 설명했다. 이어서 그는 “시스코의 전 최고 경영자인 존 체임버는 공격을 당하는 것를 아는 기업과 그렇지 않은 기업으로 나눈 바 있다”며 “많은 기업들이 보안 환경을 잘 갖춰서 올해 남은 6개월 간 무사히 사업에 전념할 수 있길 바란다”고 말했다.

2024.06.04 17:29남혁우

정부가 AI 세대에 제시한 개인정보 보호 전략은?

정부가 개인정보 보호 제도와 기술 등 정보를 교류하는 장을 마련한다. 개인정보보호위원회는 4일부터 5일까지 서울 코엑스 그랜드볼룸에서 '2024 개인정보보호 페어(PIS FAIR) & 개인정보보호 책임자(CPO) 워크숍'을 개최한다. 이번 행사는 '인공지능(AI), 신뢰를 넘어 데이터 가치를 열다' 주제로 열린다. AI 시대의 개인정보 보호 및 안전한 개인정보 활용과 관련한 전문가 강연, 토론, 개인정보 보호 관련 솔루션 등 기술 전시 등으로 구성·운영된다. 행사 첫날 개회식에는 고학수 개인정보위 위원장을 비롯한 염흥열 개인정보보호 페어 조직위원장, 이상중 한국인터넷진흥원(KISA) 원장, 이기주 한국 최고정보보호책임자(CISO)협의회 회장 등 개인정보 유관 기관장, 협회장 등 90여명이 참석한다. 한국전력공사는 생성형 AI 기술을 실제 개인정보 보호 업무에 활용한 사례와 이를 통해 도출한 시사점을 공유한다. 연세대 권태경 교수는 생성형 AI, 메타버스 등 신기술과 관련된 개인정보 보호 위협에 대해 살피고, 이를 해결하기 위한 대책을 제시할 예정이다. 한라대 김순석 교수는 '공공부문 가명정보 활용 체계 수립 방안'이라는 강연을 통해 공공부문에서 가명정보의 안전한 활용 생태계 조성을 위한 거버넌스, 컴플라이언스와 기술적 체계 등 구체적인 방안을 제안한다. 마지막으로 고려대 권헌영 교수가 마이데이터 서비스의 안전성과 신뢰성을 제고하기 위한 제도적 노력에 대해 설명한다. 행사는 개인정보 보호법 주요 개정내용에 대해 살펴보는 시간도 갖는다. 개인정보위 위원인 김진환 변호사는 개정 개인정보보호법이 적용된 최신사례를 소개한다. 업종별 기업 CPO 3인의 개정 개인정보 보호법 대응 분투기에 대한 토크콘서트도 열린다. 이 외에도 최근 다크웹 등에서 개인정보 유출·판매 실태, 피싱·크리덴셜 스터핑 등을 통한 개인정보 유출 사례 등을 소개하며 최신 개인정보 유출사건 유형과 대응방안을 알려준다. 고학수 개인정보위 위원장은 기조연설을 통해 "규제의 불확실성을 해소하고 새로운 프라이버시 이슈를 선제적으로 대응함으로써 기업 부담을 덜어줄 것"이라며 "이번 개인정보보호 페어가 AI에 대한 신뢰를 넘어 데이터 가치를 얻는 새로운 시대로 도약하는 계기가 되기를 기대한다"고 밝혔다.

2024.06.04 12:00김미정