【 청년일보 】 지난해 말 221만여건의 고객 정보가 유출된 골프존 사건에 대해, 암호 조처를 했더라면 개인정보가 유출되지 않았을 것이라는 지적이 제기됐다.
최상명 스텔스몰 인텔리전스 CIO는 4일 열린 개인정보보호위원회(이하 개인정보위) 주최의 '2024 개인정보보호 페어'에서 이 같은 분석을 내놨다.
최 CIO는 '다크웹 및 텔레그램에서의 개인정보 유출·판매 실태와 피해현황'을 주제로 한 발표에서, 골프존의 대량 개인정보 유출 원인을 암호 없는 파일이라고 지목했다. 그는 "골프존의 '통합회원' 엑셀 파일은 유출됐으나 암호가 걸려 있어 개인정보까지 유출되지는 않았다"고 설명했다.
그러나, 유출된 200만여개의 개인정보가 담긴 준회원 파일에는 암호 조치가 되어 있지 않았다고 덧붙였다. 최 CIO는 "파일 용량이 크다면 압축 후 암호를 걸었어야 했으나, 이러한 조치를 하지 않아 누구나 열람할 수 있었다"고 비판했다.
지난달 개인정보위는 221만여명의 이름과 전화번호 등이 유출된 사건에 대해 골프존에 과징금 75억여원을 부과했다. 개인정보위 조사 결과, 해커는 골프존 직원들의 가상사설망 계정을 탈취해 파일서버에 원격 접속한 후 저장된 파일을 외부로 유출했으며, 이후 유출된 정보를 다크웹에 공개했다.
최 CIO는 "해커가 탈취한 파일을 암호화해 압축해 두었는데, 이는 오히려 개인정보 보호 측면에서 해커가 더 잘한 것"이라며 "DRM(디지털 저작권 관리) 기술로 암호화 처리를 했다면 해커가 탈취하더라도 열람하지 못했을 것"이라고 강조했다.
또한, 2019년 5월부터 올해 5월까지의 '다크웹 랜섬웨어 갱단에 의한 정보유출 피해 기관 국가별 통계'를 분석한 결과, 미국이 6천615건으로 전 세계의 절반을 차지했지만, 한국도 51건으로 33위에 자리했다고 설명했다. 국내 반도체 기업이나 자동차 부품 회사 등의 내부 자료가 텔레그램 등에서 공개 유통되고 있는 점도 우려를 나타냈다.
최 CIO는 "개인정보 유출을 100% 막을 수는 없지만, 보유한 파일에 비밀번호를 걸고 암호화 장치를 마련해 유출되더라도 아무것도 볼 수 없도록 하는 것이 개인정보 보호의 핵심"이라고 강조했다.
이번 '2024 개인정보보호 페어'는 '인공지능(AI), 신뢰를 넘어 데이터 가치를 열다'를 주제로 5일까지 서울 강남구 코엑스에서 진행된다.
【 청년일보=조성현 기자 】