[아이티데일리] 올해도 끊이지 않고 개인정보 유출 사고가 일어나고 있다. 지난 1월 GS리테일이 웹사이트 해킹 공격을 받아 9만여 명의 개인정보를 유출했고, 한 달 뒤 홈쇼핑 업체 GS샵에서 8개월간 받은 공격으로 고객 개인정보 약 158만 건이 유출된 사실이 드러났다. 그 뒤로도 티머니, 블랙야크에서 유사한 사고가 잇따랐다.

최근 유출 사고의 주요 원인으로는 ‘크리덴셜 스터핑(Credential Stuffing)’을 꼽을 수 있다. 이는 여러 경로로 수집한 아이디와 패스워드로 특정 사이트에 방문해 무작위로 대입, 로그인 후 개인정보를 탈취하는 수법이다. 티머니, GS리테일이 올해 발생한 사고에서 크리덴셜 스터핑 공격을 당했다고 밝혔다.

일각에서는 크리덴셜 스터핑을 예방하기 위해 사용자에게 사이트마다 비밀번호를 다르게 정하고 주기적으로 바꿀 것을 권고한다. 그러나 근본 원인은 기업의 소홀한 보안 관리에 있었다.

해피포인트 멤버십 서비스를 운영하는 섹타나인은 지난 2022년, 2023년 두 차례 크리덴셜 스터핑 공격으로 개인정보 1만 7천여 건을 유출했다. 개인정보보호위원회 조사 결과, 섹타나인은 짧은 시간 동일 IP 주소에서 대규모 로그인 시도가 발생 시 이를 탐지·차단하는 대책을 마련하지 않았고 API 응답 값에 포함된 정보를 보호하는 암호화 조치도 부족했다. 심지어 2023년에는 2022년 사고에도 불구하고 보안을 강화하지 않아 같은 사고가 되풀이됐다.

안이한 대처가 반복되는 사이, 개인정보 유출은 과징금 처벌이 이어져도 줄어들지 않고 오히려 증가했다. 개인정보위가 중앙행정기관으로 출범한 2020년 하반기(8~12월) 47건이었던 유출 신고 건수는 2021년 163건, 2022년 167건에서 2023년 318건으로 2배 가까이 증가했다. 지난해에도 307건을 비슷한 수준을 유지했다. 특히 전체 유출 신고 중 해킹이 171건(56%)으로 가장 높은 비중을 차지했다.

문제는 유출 사고 피해가 고스란히 시민들의 몫이라는 점이다. 해커들은 정보를 탈취한 뒤 다크웹에서 암암리에 거래하고 있다. 이 정보를 조합해 2차, 3차 피해까지 일으킬 수 있다. 개인정보 유출 사고를 결코 가볍게 봐선 안 될 이유다.

잇따른 개인정보 유출을 막기 위해선 근본적 변화가 보안 부문에 일어나야 한다. 개별 솔루션 한두 개를 도입하고 규제를 준수하는 수준으로는 갈수록 지능화되는 위협을 막아내는 데 역부족이다. 인증, 접근 제어, 권한 관리 등 여러 요소에 걸쳐 다층적 보안 체계를 마련해야 한다. 이와 더불어 시스템 전반을 투명하게 파악하고 관리하기 위한 포괄적인 접근 방식이 필요하다.

구글은 우리가 교훈을 얻을 수 있는 사례다. 2009년경 중국과 연계된 지능형 지속 공격(APT) 집단이 일으킨 ‘오로라 작전(Operation Aurora)’으로 핵심 기술 및 소스 코드 유출과 더불어 몇몇 사용자 정보에 대한 불법적 접근이 발생했다. 이후 구글은 기존 경계 기반 보안 체계에 한계가 있음을 인지하고 큰 비용을 들여 ‘제로 트러스트(Zero Trust)’ 모델을 전사에 도입했다. 이러한 경험을 바탕으로 제로 트러스트 제품군 ‘비욘드코프(BeyondCorp)’를 출시하기도 했다.

개인정보 유출은 결국 기업에 그 책임이 있다. 제로 트러스트와 같은 선진 보안 모델 도입, 투명한 사고 대응 체계를 위한 과감한 투자에 나서야 한다. 책임 있는 자세만이 반복되는 유출 사고의 악순환을 끊을 수 있는 열쇠다.