페퍼저축은행 로고

99억개. 다크웹에 공개된 역사상 가장 큰 비밀번호 DB다. 보안 외신 시큐리티어페어즈에 의하면 다크웹 포럼에 데이터베이스가 공개됐는데, 무려 그 수가 99억개로 2021년에 비슷하게 업로드된 DB보다 15% 증가한 것으로 분석됐다. ¹⁾

개인정보란, 사전적인 의미로 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 개인을 식별할 수 있는 정보를 의미한다. 더불어 해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 모든 정보를 포함한다.

과기정통부가 발표한 ‘2024년 상반기 민간분야 주요 사이버위협 동향 분석’²⁾에 따르면 올해 상반기 침해사고 신고 건수만 899건으로, 전년 동기 대비 35% 증가했다. 개인, 기업, 국가의 측면에서 정보를 보호하고 보안하는 것이 더욱 중요해지고 있다.

‘정보보호’란 정보의 수집, 가공, 저장, 검색, 송신, 수신의 과정에서 정보가 훼손되거나 변조되고 유출되는 것을 방지하기 위한 관리적, 기술적 수단 혹은 행위를 의미한다. 시스템적으로 혹은 사회에서 제도적인 장치를 통해 나의 정보를 보호하는 것도 좋지만 무엇보다 중요한 것은 ‘나’의 소중한 개인정보를 지키기 위한 ‘나’의 노력이 필요하다. 

실생활 속에서 쉽게 개인정보 보호를 실천할 수 있는 다양한 방법이 존재한다. 우리가 숨쉬듯 사용하는 휴대폰에 수 많은 나의 정보들이 저장되어 있기 때문에, 조금 불편하더라도 보안 허들을 높여놓는 것이 좋다. 내 휴대폰에는 보안구멍이 없는지 아래의 실천방안을 확인해보자.

타인이 유추하기 힘든 안전한 비밀번호를 사용한다. 가장 좋은 방법은 iOS의 키체인, 구글의 Password Manager, 서드파티의 경우 1Password 등 신뢰도가 높은 전용 어플리케이션을 사용하는 방법이다. 이들이 제시하는 ‘복잡한 암호’는 유저 본인도 절대 외울 수 없도록 복잡한 암호를 제안하고 각 사이트에 자동으로 입력할 수 있도록 해준다.

그 과정이 귀찮다면, 적어도 만능 비밀번호(하나의 비밀번호를 기반으로 특수문자만 추가하는 패턴)의 사용이라던지, 비밀번호에 생년월일, 핸드폰 뒷자리 등을 포함하는 방식은 지양해야한다. 특정 사이트의 경우 생년월일, 핸드폰 뒷자리 등을 비밀번호에 포함할 수 없도록 되어있다. 개인식별정보(생년월일, 핸드폰번호)를 비밀번호에 포함할수록 해킹할 수 있는 가능성이 늘기 때문이다.

가족이 함께 쓰는 비밀번호 대신 나만의 비밀번호 패턴은 갖되, 이 또한 되도록 3-4가지 이상을 사용하는 것이 좋다. 그 후 비밀번호를 설정하려는 사이트 이름을 대소문자 구분하여 비밀번호 앞이나 뒤, 중간에 넣으면 더욱 안전하다.

비밀번호 변경 알림 메시지가 뜬다면 ‘나중에’ 버튼은 되도록 클릭하지 말고 지금 비밀번호를 변경해보자. 불필요하다고 느껴지는 사이트라면 탈퇴하고, 필요한 사이트라면 비밀번호를 변경하자. 하루에 한 개의 사이트만 비밀번호를 점검하면 일 년에 360개 가량의 사이트 비밀번호가 보다 더욱 안전해진다.

로그인 시 ‘내 계정은 나만 로그인할 수 있다’는 사실을 유념해야한다. 2단계 인증을 사용하고, 물리적으로 내 비밀번호를 차단하고, 로그인 시에는 되도록 셀룰러 데이터를 사용한다.

2단계 인증 로그인이 가능한 경우 되도록 2단계 인증을 설정한다. 네이버, 다음, 구글, 애플 등 가장 사용량이 많은 사이트는 2단계 로그인 기능을 지원하고 있다. 약간의 불편함이 있더라도 2단계 인증을 사용하여 나를 제외한 그 누구도 로그인을 할 수 없게 차단해두는 것이 좋다.

간편 비밀번호를 나만의 비밀번호로 설정하고, 물리적으로 노출되지 않도록 유의해야한다. 한 블랙박스 전문 리뷰 예능 프로그램에서 택시 승객이 기사의 금융 간편 비밀번호를 탈취해 순식간에 월급계좌 금액을 본인 계좌로 이체한 사례가 있었다. 간편 비밀번호를 탈취하고 핸드폰을 빌려가 이체한 사례다. 나 혼자 있는 경우가 아니라면 간편 비밀번호는 가리고 입력하자. 가족이 함께 하나의 비밀번호로 설정해놓는 경우가 많은데, 내 비밀번호를 남이 알게 되는 순간 내가 가용할 수 있는 금융 자산은 모두 남의 것이 된다는 것을 유념해야한다.

시스템과 서버에서도 정보가 탈취되지 않게 유의한다. 공중 무선랜은 이미 누군가가 모니터링하고 있다고 보아도 무방하다는 생각을 갖고 인터넷을 사용해야한다. 비밀번호가 공개되어 있거나, 비밀번호가 없는 무선랜은 되도록 사용하지 않는 것이 좋다. 데이터가 부족해 와이파이를 연결해야한다면 로그인이나 비밀번호를 입력하는 상황에서는 잠시라도 셀룰러 데이터로 변경해서 로그인을 한다면 개인정보 탈취 가능성이 현저히 줄어든다.

기업의 정보보호 인력은 ‘우리의 정보는 이미 탈취됐다’는 것을 가정하고 정보보호 시스템을 구축하고 있다. 이 정보보호 인력은 파편화된 정보가 조직화되지 않도록, 암호화된 정보가 해독되지 않도록 시스템을 구축하고 보완하고 있다고 한다.

페퍼저축은행에서는 정보보호 인력의 정보보호 체계 구축과 더불어, 임직원의 정보보호 의식을 고취하기 위해 2019년부터 정보보호의 날을 기념하여 작은 이벤트를 열고 있다. 정보보호의 날은 7월 10일로, 정부 부처에서 공동으로 사이버 공격을 예방하고 국민들의 정보보호를 생활화하기 위해 2012년 제정된 법정 기념일이다.

2019년 정보보호팀은 랩탑에 손쉽게 붙일 수 있는 웹캠 커버를 전직원에게 배포했다. 웹캠 해킹은 최초에는 단순히 타인의 사생활을 몰래 훔쳐보는 것에 대해 흥미를 느끼고 시작이 됐지만, 점점 웹캠 해킹을 통해 획득한 은밀한 정보를 악용해 금전을 요구하고 협박을 하는 사례가 많이 발생하고 있다. 사소한 정보유출 경로도 불필요하다면 차단하는 취지다. 2020년엔 모바일 백신앱 설치 방법을 배포하고 설치를 유도해 개인의 정보보호 보안 의식을 고취하고, 2021년엔 비밀번호 설정을 해둔 USB를 전직원에게 배포하여 비밀번호 설정의 중요성을 강조하였다.

2022년부터는 전직원 기념품 배포형식에서 벗어나 정보보호 콘테스트 및 캠페인을 개진하고 있다. 2022년, 모든 임직원의 참여를 독려하기 위한 이벤트로 ‘정보보호’ 4자로 4행시 콘테스트를 시행했고 총 153건이 응모됐다. 더불어 임직원의 눈높이에서 업무 중 개선, 실천 가능한 정보보호 향상 아이디어를 공모 받아 보안 참여 기회를 제공했다.

2023년엔 정보보호 관련 사이버 교육의 적극적 학습을 독려하기 위해 ‘정보보호 지식왕 콘테스트’를 열었다. 임직원의 3분의 일이 자발적으로 참여해 우수한 참여율을 보인 본 콘테스트는 3명의 만점자(지식왕), 한 개를 틀린 7명의 공동 2위(지식우의정)이 해당 수상의 영예를 가져가기도 했다.

올해에는 임직원의 눈으로 보안정책을 점검할 수 있도록 했다. 임직원의 눈으로 보안 사각지대를 발굴해 보다 철저한 보안정책을 구축할 수 있도록 하는 한 편, 실무의 입장에서 불합리한 보안정책을 발굴해 개선할 수 있는 기회를 제공했다.

데이터 속에서 살고 데이터를 사고 파는 시대가 됐다. 기업과 기관에서는 IT와 개인정보보호를 중요한 안건으로 두고 개인정보보호를 위해 막대한 비용과 품을 투입하고 있다. 개인정보 노출 패턴이 다양해지는 만큼 그 패턴에 대응할 수 있도록 각 기업과 기관에서도 지속적인 강화에 나서고 있다. 수많은 데이터를 서버에 심고 있는 유저로서도, 유저 개인의 데이터가 부적절한 곳에 노출돼 피해를 입지 않도록 면밀히 주의하는 노력을 잊지 말아야한다.

페퍼저축은행 준법감시인 심의필 2024-0499호(2024.08.02~2025.08.01)

*본 광고물은 기록 보전을 목적으로 유효기간 경과 후에도 게시됩니다.

1) 보안뉴스, 다크웹에 공개된 역사상 가장 큰 비밀번호 DB, 록유2024 (2024-07-09)

https://www.boannews.com/media/view.asp?idx=131200

2) 과학기술정보통신부, 2024년도 상반기 사이버위협동향 발표 (2024-07-25)

https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=238&bbsSeqNo=94&nttSeqNo=3184766