[기자수첩] "관리자 비번 알아내 클라우드 접근…보안사고 대책 시급"


기자수첩

[아이뉴스24 최은정 기자] 최근 기업들의 클라우드 보안·관리 미흡으로 고객 등 개인정보가 대규모로 유출되는 사고가 지속 발생하고 있다.

프랑스 패션 업체 샤넬의 사례가 대표적이다. 클라우드 서버 관리자 계정의 비밀번호를 누구나 쉽게 추측 가능하도록 설정한 것이 문제가 됐다. 사이버 공격자가 비밀번호를 알아내 개인정보가 처리되는 클라우드 서버에 접근했다.

이를 통해 샤넬코리아 제휴 온라인 쇼핑몰에서 물품을 구매한 국내 이용자 8만여명의 개인정보가 유출됐다.

이뿐 아니라 샤넬코리아는 개인정보를 해외로 이전한 사실을 이용자에게 공지하지 않고, 1년 이상 서비스 미이용자의 개인정보를 파기하지 않은 등 행위도 적발됐다. 이에 지난달 27일 개인정보보호위원회로부터 과징금 1억2천616만원, 과태료 1천860만원 부과 등의 시정조치를 받았다.

개인정보를 유출한 야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩 등 4개 사업자도 지난 9월 같은 이유로 제재 당했다. 특히 업체들 모두 아마존웹서비스(AWS) 관리자 접근 권한을 인터넷 주소(IP)로 제한하지 않았다는 게 개인정보위 측 설명이다.

당시 개인정보위는 "클라우드 서비스 이용 업체가 개인정보 처리 시스템을 구성·운영하면서 기초 설정을 하지 않아 개인정보 유출 사고가 발생한 것"이라고 밝혔다. 이어 "기업은 관리자 접근 권한을 엄격히 제한하는 등 개인정보 보호 조치를 이행해야 한다"고 강조하기도 했다.

국내 클라우드 도입이 느는 건 글로벌 동향에 맞는 흐름이다. 그러나 기본적인 보안조차 제대로 이뤄지지 않는다면 디지털 전환(DT) 가속화는 의미가 없다. 개인정보위가 기업들의 개인정보 유출 방지를 위해 클라우드 서비스(CSP), 클라우드 관리(MSP) 등 클라우드 업체들과 논의 중인 만큼 빠른 시일 내에 대책이 마련되길 바란다.

/최은정 기자(ejc@inews24.com)







포토뉴스