"마이데이터 취약점 진단·암호화·비식별화 '필수'"

[아이뉴스24 최은정 기자] 보안 기업 라온시큐어의 자회사 라온화이트햇이 오는 8월 마이데이터 시장 개막을 앞두고 발생 가능한 보안 위협 시나리오와 그에 따른 보안 대책을 소개했다.

21일 라온화이트햇(대표 이정아)에 따르면 마이데이터 서비스 운영 시 광범위하고 민감한 개인정보를 관리·이동하게 된다. 이 과정에서 정보가 유출되거나 오·남용될 경우, 그 피해 규모나 사회적인 파급 효과가 클 수 있어 보안에 대한 우려가 높은 상황이다.

회사는 마이데이터 사업자들이 서비스 출시를 앞두고 보안 취약점을 방치하면 개인의 금융·거래 정보나 의료 데이터 등 개인정보가 집중·융합돼 있는 데이터베이스(DB)와 서버 등 IT 인프라가 사이버 범죄의 표적이 될 수 있다고 지적했다.

또 암호화하지 않은 개인정보가 유출되면 공격자에 의해 데이터 재식별이 가능해질 수 있다는 설명이다. 이는 곧 개인정보의 대규모 유출·악용으로 이어져, 사회·경제적으로 막대한 피해를 초래할 것이란 게 회사 측 예상이다.

해커가 피싱·스미싱 등으로 마이데이터 서비스를 가장한 웹 페이지나 모바일 애플리케이션을 배포하고 이용자가 이를 설치하도록 유도하는 공격 방법도 있다. 가짜 웹사이트나 모바일 앱에서 이용자가 인증정보를 입력하면 공격자는 이를 탈취해 금융 자산을 몰래 가로채거나 또다른 사이버 범죄에 해당 정보를 악용하는 식이다.

이에 회사는 사업자의 보안 대책 마련과 보안 내재화, 그리고 서비스 사용자의 보안 의식 강화 등을 주요 대응책으로 꼽았다.

현행 신용정보법령에 따라 마이데이터 본 허가를 획득한 사업자들은 연1회 5개 분야, 375개 항목에 대한 보안 취약점 점검을 의무적으로 이행해야 한다.

회사 측은 "마이데이터 사업자는 취약점 진단을 통해 보안 취약점을 사전에 발견·조치함으로써 공격에 대비하고 강력한 접근 통제 시스템을 구축할 필요가 있다"고 말했다.

개인정보 전송 과정에서의 본인인증 절차 강화, 인증 정보에 대한 보안관리, 개인정보 전송·저장 시 안전한 암호화와 비식별화 적용 등도 필수라는 설명이다. 아울러 서비스 사용자는 보안 수칙을 준수하고, 사업자는 서비스 사용자에 대한 보안 교육을 강화해야 한다는 입장이다.

이정아 라온화이트햇 대표는 "국내 마이데이터 시장이 본격 열리게 되면서 관련 서비스를 겨냥한 각종 사이버 공격 또한 크게 증가할 것으로 예상된다"며 "마이데이터 서비스 사업자들의 종합 보안 대책 마련과 이용자 개인의 보안의식 강화, 그리고 민간과 공공기관의 마이데이터 보안 관련 정보 공유와 협력 확대를 통해 안전한 마이데이터 시장 환경을 구축할 수 있다"고 말했다.

한편, 최근 금융위원회는 은행·핀테크 등 28개사에 대한 본인신용정보관리업을 허가하고, 보건복지부는 '마이 헬스웨이 추진위원회' 발족을 시작으로 의료 분야 마이데이터 생태계 조성을 위한 논의를 시작했다.