마이데이터(My Data) 시대의 보안 위협과 대응 방안
기자 : 관리자 날짜 : 2022-03-01 (화) 17:52




2020년 8월 데이터 3법1)이 개정되면서 마이데 이터(MyData) 개념이 주목받고 있다. 금융위원회 에 따르면 ‘마이데이터’란 개인이 정보 관리의 주 체가 되어 능동적으로 본인의 정보를 관리하고, 본인의 의지에 따라 신용 및 자산관리 등에 정보 를 활용하는 일련의 과정을 말한다. 쉽게 말하자 면 “내 데이터의 주인은 나”라는 뜻으로, 나의 데 이터가 어디서, 어떻게 활용되는지 결정하고 스스 로 활용할 수 있는 권리를 개인이 갖는다는 의미 이다. 당연한 이야기 같지만, 기존에는 자신의 개 인정보에 대해 폭넓은 권리를 가지지 못했다.

개 인은 자신의 개인정보가 어디서, 얼마나, 어떻게 사용되고 있는지 구체적으로 파악하기 어려웠고, 기관별로 각각 보관 중인 자신의 개인정보를 다른 기관에서 사용하기 위해서는 각각 건별로 개인정 보 제공 동의 처리해야 하는 등 현실적인 제약이 많았다. 하지만 ‘마이데이터’가 도입되면 이러한 제한사항 없이 정보 주체인 개인이 자신의 개인정 보를 원하는 곳에 편리하게 전송해서 자신에게 필 요한 맞춤형 통합 서비스를 받을 수 있다. 마이데이터를 통해 개인은 곳곳에 흩어져 관리 1) 데이터 3법 : 개인정보 보호법, 정보통신망 이용촉진 및 정 보보호 등에 관한 법률(약칭 : 정보통신망법), 신용정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법) 등 3가지 법 률을 통칭 되던 자산 정보, 카드 사용기록, 보험, 투자, 의료 등의 데이터를 한 곳에서 쉽게 파악하고 관리할 수 있다. 구체적인 예로 보건복지부가 추진하고 있는 「마이 헬스웨이(My Healthway)」 플랫폼을 들 수 있다. 기존에는 개인이 여러 의료기관에 흩 어져 있는 자신의 건강정보를 통합 조회하고 활용 할 수 있는 수단이 없어 직접 각 의료기관에 방문 해야 했지만, ‘마이 헬스웨이 플랫폼’을 이용하면 이러한 불편함 없이 자신의 건강정보를 한곳에 모 아 원하는 기관에 직접 제공하고 활용할 수 있다. 육군도 최초로 마이데이터 서비스를 활용한 ‘밀리패스’ 사업을 통해 군인 전용 ‘모바일 지갑’ 서비스를 준비 중이다. ‘모바일 지갑’은 여러 기 관에 흩어진 전·현역 군인과 그 가족의 각종 인 증정보를 마이데이터 플랫폼과 결합하여 공유 및 활용하는 서비스로서, 휴가, 출장, 소비 활동 지원, 급여 조회 및 금융 혜택 지원, 취업 연계 및 진로컨설팅 지원 등 다양한 서비스를 제공한다.

이처럼 군을 포함한 다양한 분야에서 마이데이 터 도입이 활발히 논의되고 있다. 그러나 마이데 이터에 대한 명확한 이해와 준비 없이 무분별하 게 도입될 경우 보안취약점으로 인한 피해가 발생 될 수 있어 주의가 요구된다. ’21년 4월 비자카드 에서 발표한 『마이데이터 소비자 인식 조사』에 따 르면 20~59세 1,000명 중 “마이데이터를 들어본 적이 있고, 잘 알고 있다”라고 답변한 사람은 고작 5%에 불과했으며, 심지어 “조사를 통해 처음 들었 다”는 답변은 무려 56%였다. 마이데이터 서비스 는 광범위한 개인정보 제공이 이루어지는 만큼 무 분별한 개인정보 제공 동의, 부실한 마이데이터 관리는 곧 개인정보 침해로 이어질 가능성이 매우 크다. 또 우려되는 부분은 개인의 신용정보가 마 이데이터 서비스 제공자에게 과도하게 집중된다 는 점이다. 과거에는 여러 기관에 흩어져 보관되 던 개인의 예금, 카드, 대출, 보험, 금융투자상품, 간편결제, 주문 정보 등 다양한 개인정보들이 집 중되므로, ’16년 인터파크 개인정보 유출 사고와 같은 사건이 또다시 발생할 경우에는 과거와는 비 교할 수 없을 정도의 심각한 피해가 예상된다. 보안업체 라온화이트햇이 발표한 『마이데이터 시대 보안 위협 시나리오』는 이와 같은 보안 위 협을 구체적으로 제시하고 있다. 첫째, 앞서 살 펴본 바와 같이 마이데이터 시대에는 개인의 광 범위한 개인정보가 한 곳으로 집중되므로 마이 데이터 사업자의 IT 인프라를 노리는 사이버 공 격이 증가될 것이다. 둘째, 사이버 공격으로 유 출된 개인정보가 암호화되어 있지 않을 경우, 유 출된 개인정보가 범죄 등의 목적에 악용되어 사 회적, 경제적으로 막대한 피해를 초래할 수 있 다. 셋째, 공격자들은 피싱이나 스미싱 등을 통 해 마이데이터 서비스를 가장한 웹페이지나 모 바일 앱을 배포하여 사용자들의 인증정보를 탈 취 후 금융자산을 몰래 가로채거나 또 다른 사이 버 범죄에 정보를 악용할 수도 있다. 그렇다면 마이데이터 시대의 보안 위협에 대 한 대응방안은 무엇일까? 첫째, 마이데이터 사업자의 보안취약점 조치 가 선행되어야 한다. 보안취약점을 방치할 경우 개인의 민감한 정보들이 집중된 데이터베이스 (DB) 등 IT 인프라가 각종 사이버 범죄의 표적이될 수 있으므로 본인인증 절차를 강화하고, 개인 정보 전송 및 저장 시 안전한 암호화 및 비식별 화 할 수 있는 수단을 마련해야 한다. 따라서 군 도 마이데이터 도입을 적극적으로 추진하고 있 는 만큼 IT 인프라 보안취약점에 대해 철저히 대 비하고, 공공기관 및 민간과 마이데이터 보안 관 련 업무 공유 체계를 구축해야 한다. 둘째, 마이데이터 사업자는 정보 주체가 자신의 권리, 개인정보 제공 관련 사항을 충분히 인지할 수 있도록 조치해야 한다. 올해 한국신용정보원이 발표한 『마이데이터 서비스 가이드라인』2)에서는 사용자가 개인정보 관련한 내용을 충분히 이해할 수 있도록 쉬운 용어를 사용하고 가독성을 높일 것을 강조하고 있다. 사용자가 이해하기 어려운 용어를 많이 사용할 경우 내용을 제대로 이해하지 못한 상태로 개인정보 제공에 동의하기 쉽다. 또 한 모바일 환경에서는 개인정보 수집 · 이용 · 제 공 동의 및 전송요구 절차 등 안내 화면의 글씨가 너무 작거나, 복잡하게 구성되어 가독성이 떨어지 는 경우 서비스 이용자가 제대로 내용을 확인하기 어려울 수 있으므로 이에 대한 대비가 필요하다. 셋째, 정보 주체인 개인의 보안의식 강화도 병 행되어야 한다. 마이데이터라는 이름 그대로 ‘내 데이터의 주인은 나’라는 생각으로 자신의 개인 정보를 적극적으로 관리해야 한다. ’19년 개인 정보보호위원회와 행정안전부의 개인정보보호 실태조사에 따르면, 응답자 중 59.8%가 개인정 보 제공 시 ‘동의서를 확인하지 않는다’라고 답 변했는데, 그 이유는 ‘확인하는 것이 귀찮고 번 2) 한국신용정보원, 『마이데이터 서비스 가이드라인』, 2021.11.19. 거로우며, 이해하기 어렵다’였다. 하지만 이제는 달라져야 한다. 개인정보 유출로 인한 피해가 과 거와 비교할 수 없을 정도로 확대될 수 있는 만 큼, 나의 개인정보가 어디로 제공되어 어떻게 활 용되는지 적극적으로 확인하려는 노력이 필요하 다. 또한, 마이데이터 서비스 접속 시 피싱 및 파 밍 사이트로 인한 피해를 예방하기 위해 정기적 으로 모바일 백신 검사를 진행하고 의심스러운 메시지나 링크 수신 시 접속을 피해야 한다. 개인이 데이터의 주인이 되는 ‘마이데이터’ 시대 가 열리고 있다. 일상 속 금융, 보험, 건강, 국방 등 다양한 분야에서 편리하게 마이데이터 서비스를 이용할 수 있을 것으로 기대되지만, 이러한 편리함 뒤에는 보안 위협이라는 그림자가 숨겨져 있다. 군은 마이데이터 시대를 맞아 더욱 각별한 주 의가 요구된다. 최근 군 장병 및 국방 관련 기관 을 대상으로 한 해킹공격이 급증하고 있다. 국 내 보안업체 이스트시큐리티는 ’21년 6월 북한 정찰총국 산하 해커 조직인 ‘김수키(kimsuky)’ 에 의해 우리 군 최초 전투기인 KF-21 설계도면 이 유출되었으며, 또 다른 북한 해킹 조직 ‘탈륨 (Thallium)’이 군 장병을 대상으로 다양한 해킹 공격을 시도 중이라고 밝혔다. 군 장병들의 마이 데이터가 유출될 경우 심각한 안보 위협으로 이 어질 수 있는 만큼 이에 대한 철저한 대비가 필 요하다. 따라서 개인정보보호를 위한 군사보안 규정 준수를 생활화하고, 마이데이터 서비스를 이용하고자 하는 경우 개인정보 제공 동의 전 마 이데이터 사업자가 신뢰할 수 있는 기관인지 확 인하여 ‘나의 데이터’가 ‘적의 데이터’가 되지 않 도록 노력해야 할 것이다.


이름 패스워드
비밀글 (체크하면 글쓴이만 내용을 확인할 수 있습니다.)
왼쪽의 글자를 입력하세요.
   

 

본사 : 서울시 종로구 사직로 96파크뷰타워 208호 (사)21c안보전략연구원

인터넷신문등록번호 : 서울아 02284 / 발행인 : 박정하

정기간행물등록번호 :서울라10600 / 대표전화 : 02-6953-0031, 02-2278-5846
팩스 : 02-6953-0042, 02-784-2186 / 청소년보호책임자 : 박정하

군사저널소개 | 이용약관 | 개인정보취급방침 | 이메일무단수집거부 | 새소식

Copyright ⓒ군사저널. All rights reserved.