“2025년, SW공급망 보안 중요성 및 악성코드·보안취약점을 선제적으로 차단하고 대응할 수 있는 솔루션이 주된 관심사가 될 것”
소만사(대표 김대환)가 2024년 발생한 주요 개인정보보호 이슈를 요약 공개했다.
소만사가 발표한 7대 이슈는 △크라우드스트라이크發 전산마비 사태 △금융권 망분리 규제 개선안 발표 △공공기관 다층보안체계(MLS) 전환 발표 △페이스북(메타) 216억 과징금 처벌 △개인정보유출 과징금 전체매출 3% 부과 처분 △개인정보의 안전성 확보조치 기준 안내서 발간 △SBOM(소프트웨어 자재명세서)과 오픈소스 취약점 점검 투자 강화다.
소만사가 발표한 2024년 개인정보보호 7대 이슈 세부내용은 다음과 같다.
◆ 미 보안기업 크라우드스트라이크 發 전세계 전산마비 사태
2024년 소프트웨어 공급망 전산사고의 대표적인 사례로, 크라우드스트라이크의 ‘팰컨 센서’ 업데이트 버전이 MS 클라우드 서비스 ‘애저(Azure)’와 충돌하면서 발생했다. 이로 인해 전세계 항공, 금융, 행정, 의료 방송 등 2만9천곳의 업무가 마비되었으며 피해규모는 최소 10억 달러(한화 약 1조4천억원)으로 추산되었다. 이후 크라우드스트라이크는 9월 미 의회 청문회에 소환되어 공식 사과하였으며, 델타항공은 크라우드스트라이크를 상대로 10월 5억 달러(한화 약 6천5백억원) 규모의 손해배상 소송을 제기했다.
◆ 금융권 망분리 개선안 발표
금융당국에서 금융기관의 생성형AI 활용과 SaaS 이용범위 확대를 발표했다. 이에 따라 금융기관은 안전한 활용을 실현할 수 있도록 접속 단말의 보안을 강화해야 한다. 업무상 허용된 단말로만 해당 서비스를 활용할 수 있도록 통제해야 하며, 단말과 생성형AI, SaaS 서비스 간 감사로그를 확보해야 한다. 마지막으로 단말과 SaaS 서비스 간 개인정보 및 신용정보 전송 등 이상행위를 통제하여 조직 생산성 향상과 IT신기술 부작용을 최소화할 수 있도록 명시했다.
◆ 공공기관 대상 다층보안체계(MLS) 망분리 개선 로드맵 발표
정부 사이버 안보정책방향이 공개됐다. 중요도에 따라 개인정보를 차등적으로 통제하는 다층보안체계 로드맵과 인터넷 단말에 생성형 AI, 업무용 소프트웨어, 인터넷 사용을 점진적으로 확대하는 계획을 발표했다. 해당 계획은 2025년 초까지 시범사업 수행 후 확대 적용될 예정이다.
◆ 페이스북(메타) 216억 과징금 부과
개인정보보호위원회에서 페이스북에 216억의 과징금을 부과했다. 페이스북은 국내 98만명 이용자를 대상으로 종교, 정치, 동성과의 결혼여부 등 민감정보를 수집하였으며, 수집된 정보는 4천여 광고주에 의해 동성애, 트랜스젠더, 북한이탈주민 등 민감한 주제로 타깃광고에 이용됐다. 금번 과징금 부과는 2020년 67억 과징금 부과이후 다섯번째 제재이며, 개인정보보호법 위반으로 누적 합산된 페이스북의 과징금은 현재 약 729억원이다.
◆ 개인정보 유출 과징금 전체매출 3% 부과처분 시작
220만명 개인정보 유출사고가 발생한 G사에 과징금 75억원이 부과됐다. 2023년 9월 개인정보보호법에서 개정된 ‘전체매출 3% 과징금 부과’ 규정 첫 적용사례이다. 기존법령에 따라 개인정보가 유출되었어도 안전성 확보에 필요한 조치를 다 한 경우에는 처벌을 면할 수 있으나 G사는 개인정보 유출통제 기술적 보호조치 미흡, 주민등록번호처리 및 파기의무를 위반하여 위와 같은 과징금을 처벌받았다.
◆ 개인정보의 안전성 확보조치 기준 안내서 발간
2023년 9월 개정이후 변경 내용을 반영한 ‘개인정보의 안전성 확보조치 기준 안내서’가 발간됐다. 이번 안내서에서는 FTP, 백업서버 등 공용 파일처리시스템을 개인정보 처리시스템으로 분류했으며, 클라우드 컴퓨팅 서비스 기반의 개인정보 처리시스템도 기술적 보호조치 대상임을 명시했다. 크리덴셜 스터핑 공격을 이용한 홈페이지 해킹사고를 개인정보 유출사고 범위에 포함하여 개인정보보호법의 적용을 받는 기업과 기관은 해당 규정을 준수할 수 있도록 기술적 보호조치를 취하도록 안내했다.
◆ SBOM과 오픈소스 취약점 점검 투자 강화
2월 Linux XZ Utils 백도어, 7월 크라우드스트라이크, 11월 세일즈포스 전산마비 등 소프트웨어 공급망관련 전산사고가 지속적으로 발생하고 있다. 과기정통부는 ‘SW공급망 보안 가이드라인’을, 금보원도 ‘금융회사대상 SW공급망 자율점검 체크리스트’를 공개하며 공급망 보안에 집중하고 있다. 아울러 바이든 정부에 이어 트럼프 정부도 공급망 보안 위험관리 대표방안인 SBOM을 강화할 것으로 전망되며, 국내정부도 SW수출 활성화를 위해 SBOM 의무화를 가속화할 것으로 예상한다.
소만사는 “2024년은 개인정보보호법 개정에 따른 수십~수백억대 과징금 부과처분 시작, 공공/금융기관 망분리 환경개선 로드맵을 통한 IT 신기술 적용 등 보안규제의 변화가 다방면에서 시작된 해”라며 “크라우드스트라이크 전산마비 등 대형 사건들을 통해 SW공급망 보안 중요성이 부각되었으며 악성코드 및 보안취약점을 선제적으로 차단하고 대응할 수 있는 솔루션이 2025년 주된 관심사가 될 것으로 보인다”고 말했다.
이어 “소만사는 달라진 업무환경과 변화된 컴플라이언스에 부합하는 솔루션을 지속적으로 개발, 안정화시켜 보안위협으로부터 정보자산을 안전하게 지킬 수 있도록 노력하겠다”고 말했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
