금융위원회가 은행 및 핀테크 등 28개사에 대한 본인신용정보관리업(이하 ‘마이데이터’)을 허가하고, 보건복지부가 ‘마이 헬스웨이 추진위원회’ 발족을 시작으로 의료 분야 마이데이터 생태계 조성을 위한 논의를 시작하는 등 국내 마이데이터 시장이 본격적으로 열리게 되었다. 이를 통해 앞으로 금융, 의료, 교육 등 다양한 분야에서 보다 혁신적인 개인 맞춤형 서비스를 제공 받을 수 있을 것으로 기대가 모아진다.
그러나 한편으로는 마이데이터 서비스가 광범위하고 민감한 개인 정보를 토대로 하기 때문에 이를 관리 및 이동하는 과정에서 정보가 유출되거나 오∙남용될 경우, 그 피해 규모나 사회적인 파급효과가 클 수 있어 보안에 대한 우려가 높아지고 있다.
IT통합보안∙인증 선도기업 라온시큐어의 자회사 라온화이트햇(대표 이정아)은 오는 8월 마이데이터 시장의 본격 개막을 앞두고 마이데이터 서비스와 관련해 발생 가능한 대표적인 보안 위협 시나리오에 대해 살펴보고 그에 대한 보안 대책을 소개한다.
■ 마이데이터 관련 발생 가능한 보안 위협
마이데이터 서비스와 관련해 발생 가능한 대표적인 보안 위협 시나리오는 다음과 같다.
첫째, 마이데이터 서비스 출시를 앞두고 보안 취약점을 방치할 경우, 개인의 금융자산 내역, 거래 정보나 의료 데이터 등 민감한 개인 정보가 집중 및 융합되어 있는 데이터베이스(DB)와 서버 등 마이데이터 사업자의 IT 인프라가 각종 고도화된 사이버 범죄의 표적이 될 수 있다.
둘째, 사이버 공격으로 유출된 개인 정보가 암호화되지 않은 경우, 공격자에 의해 데이터 재식별이 가능해질 수 있다. 이는 곧 개인 정보의 대규모 유출 및 악용으로 이어져 사회적, 경제적으로 막대한 피해를 초래할 수 있다.
마지막으로 공격자가 피싱이나 스미싱 등을 통해 마이데이터 서비스를 가장한 웹 페이지나 모바일 앱을 배포하고 이용자들이 이를 설치하도록 유도하는 방법이 있다. 가짜 웹사이트나 모바일 앱에서 이용자가 인증정보를 입력하면 공격자는 이를 탈취해 금융 자산을 몰래 가로채거나 또다른 사이버 범죄에 정보를 악용할 수도 있다.
■ 마이데이터 시대의 보안 대책
마이데이터 사업으로 인해 다양한 서비스 영역 간 경계가 무너지고 융합이 일어나면서 그 어느 때보다 사업자의 선제적인 보안 대책 마련과 보안 내재화, 그리고 서비스 사용자의 보안의식 강화가 중요해지고 있다.
신용정보법령에 따라 마이데이터 본 허가를 획득한 사업자들은 연1회 5개 분야, 375개 항목에 대한 보안 취약점 점검을 의무적으로 이행해야 한다. 마이데이터 사업자는 전문적이고 객관적인 취약점 진단을 통해 보안 취약점을 사전에 발견 및 조치함으로써 공격에 대비하고 강력한 접근 통제 시스템을 구축할 필요가 있다.
또한, 마이데이터 정보 활용의 범위와 영향이 광범위한 만큼 개인정보 전송 과정에서의 본인인증 절차 강화 및 인증 정보에 대한 빈틈없는 보안관리, 개인정보 전송 및 저장 시의 안전한 암호화와 비식별화 적용이 필수적이다.
이 외에도 마이데이터 서비스 사용자 개인 차원에서의 보안 수칙 준수도 병행돼야 한다. 사업자들이 마이데이터 서비스 사용자에 대한 보안 교육을 강화하는 것은 물론, 개인이 정기적으로 모바일 백신 검사를 진행하고 의심스러운 메시지나 링크 접속은 피해야한다.
마이데이터 사업자 대상 보안 취약점 진단 서비스를 제공하고 있는 라온화이트햇의 이정아 대표는 “국내 마이데이터 시장이 본격적으로 열리게 되면서 관련 서비스를 겨냥한 각종 사이버 공격 또한 크게 증가할 것으로 예상된다”며, “마이데이터 서비스 사업자들의 종합적인 보안 대책 마련과 이용자 개인의 보안의식 강화, 그리고 민간과 공공기관의 마이데이터 보안 관련 정보 공유와 협력 확대를 통해 사업자와 서비스 이용자 모두가 안심하고 혜택을 누릴 수 있는 안전한 마이데이터 시장 환경을 구축할 수 있다”고 말했다.
https://www.venturesquare.net/829511