개인정보 안심구역 시범도입

이 메일을 아웃룩으로 확인하시나요?

23년 7월 4주 <VOL 432>

웹으로 보기 │ 구독하기

이번 주 PICK

⚡ 2023 상반기 개인정보보호 전문관리자 양성교육 안내

⚡개인정보 안심구역 시범도입
⚡깃허브, 북한 해킹 그룹 리자루스에 대해 경고

교육신청 바로가기

개인정보 안심구역 시범도입

정부가 공공기관 평가기준에 가명정보 제공·활용 관련 평가항목을 내년에 신설하면서 그 결과를 정부업무평가 및 공공기관 경영평가에 반영하기로 했어요.

그간 현장에서 제기되어 온 문제들을 개선하고 가명처리를 통해 프라이버시 위험은 낮추면서개인정보를 보다 유용하게 활용할 수 있도록 양질의 데이터 제공을 확대하고, 현장의 원활한 데이터 활용을 촉진하며 가명정보 활용 지원도 확대해 나갈 것을 강조했다고 하네요.

이에 개인정보위는 가명정보 활용 절차를 표준화·간소화하고, 개인·가명정보를 보다 유연하게 활용할 수 있도록 ‘개인정보 안심구역’을 시범 도입한다고해요.

그럼, 이번 방안의 핵심 과제를 알아볼까요?

◆ 양질의 데이터 제공·공유 확대

정부는 공공데이터 개방·활용 촉진을 위해서 개인정보가 포함된 공공데이터를 가명처리해 공공·민간에 제공·활용이 가능함을 공공데이터법 및 데이터기반행정법 개정을 통해 명확화하기로 하며, 원천데이터 개방이 어려운 경우 진위확인 정보제공 및 개인정보가 포함된 데이터를 가명처리 한 후 제공·활용을 하며 ‘공공데이터의 적극적 제공’과 ‘데이터의 가명처리’ 규정을 신설하고 구체화한다고 해요.

또, 공공데이터 제공 운영실태평가와 데이터기반 행정실태점검 등 공공기관 평가기준에 가명정보 제공·활용 관련 평가항목을 신설해 관리하며, 평가 결과는 정부업무평가(특정평가 정부혁신 부문)와 공공기관 경영평가(기재부)에도 반영할 예정이라고 해요.

이번 법률개정 추진 및 평가기준 신설 등은 공공기관이 가명정보를 활용할 뿐 아니라 공공기관이 보유한 데이터를 가명처리해 민간기업 및 연구자 등에게 적극적으로 개방·제공하는 계기가 될 것이며, 영상·음성·텍스트 등 비정형데이터에 대해 가명처리 원칙, 식별 위험성 점검기준, 가명처리 방법·사례 등을 구체화·세분화하여 올해 말까지 가명정보 처리 가이드라인에 반영하겠다고 했어요.

특히 의료인 관찰·입력 텍스트, 음성정보 등 보건의료 분야 비정형데이터에 대해서도 기술발전 수준, 강화된 안전조치를 전제로 활용 가능성을 높여나간다고 하네요.

자율주행 기술발전을 위한 데이터 활용체계도 고도화하면서 그동안 자율주행차, 로봇 등 이동형 영상기기가 촬영한 영상을 AI 학습 등에 활용할 때 익명처리 등을 요구함에 따라 AI 학습데이터 품질이 훼손되는 경우가 많았는데 강화된 안전조치를 조건으로 영상데이터 원본을 활용하며 규제샌드박스 등 실증특례 제도를 더욱 적극적으로 운영할 예정이라고 밝혔어요.

아울러 개인정보를 합성데이터로 안전하게 생성할 수 있는 절차 및 기준을 마련해서 민간에서 직접 합성데이터를 적극적으로 생성·활용할 수 있도록 지원 한다고 해요.

◆ 가명정보 활용 절차 합리화

개인정보 보호법-신용정보법 간 상이했던 전문기관 지정 기준을 합리화하고 결합신청 절차 및 양식을 합리적으로 표준화·간소화해 양 법률 간 차이로 인한 데이터 수요자의 불편을 해소하며 가명정보 결합전문기관들이 자신이 보유한 가명정보를 결합해 직접 활용할 수 있도록 허용한다고했어요. 하지만 자체결합 허용에 따른 부작용 방지를 위해 데이터 제3자 제공실적에 비례한 자체결합 허용, 자체결합 적정성 평가 때 경쟁기관 참여 의무 등 다양한 보완장치를 마련한하고해요.

현장에는 가명정보 활용 부담을 완화하기 위해 가명정보 처리·제공 과정에서의 법적책임 범위를 명확히 해 가명정보 처리 가이드라인에 명문화할 것 이라고 말했어요.

◆ 가명정보 활용지원 확대

정부가 데이터 처리의 안전성을 높이고 개인·가명정보를 더 유연하게 활용하기 위해 개인정보 안심구역을 시범적으로 도입할 예정이며, 이 안심구역은 제로 트러스트 보안모델을 기반으로 하며, 사전·사후적 데이터 처리과정 통제 등을 갖춰 기존에 제한되었던 다양한 데이터 처리가 가능하게 될 것이라고 말했어요. 예를 들면 가명처리 수준을 완화하거나 다양한 결합키 활용을 허용하고, 가명정보를 오랫동안 보관하고 재사용하는 것도 가능하다고 해요.

빅데이터에서는 가명처리 SW를 적용하고 전문심의위원회의 검증을 거친 후에 사용할 수 있도록 하며, 'PET(Privacy Enhancing Technology)'를 실제로 활용할 수 있는 기회도 마련된다고해요.

개인정보 안심구역은 결합전문기관, 가명정보 활용지원센터 및 데이터 안심구역 등에 추가적인 안전조치를 갖춘 기관을 먼저 지정하며, 그 뒤로 시범운영을 시작하고, 안전성을 확보하기 위해 정부 차원의 지원방안도 검토 중이라고 해요.

그리고 중소기업과 스타트업을 위해 가명처리 역량과 인력을 지원해 데이터 활용 사각지대를 해소할 계획이며, 지역 중소·스타트업을 위한 '가명정보 활용지원센터'를 새로 만들고, 지역별 협력체계를 구축해서 데이터 활용성을 높힌다고 해요.

데이터 유형별로 신뢰할 수 있는 가명처리 솔루션 목록도 점검하고 공개하며, 가명·익명처리 등 데이터 처리 과정에 대한 데이터바우처 지원도 더 강화할 계획이고, 또한 가명정보 전문인력 양성 교육을 강화해 2026년까지 4000명의 전문가를 지원할 예정이라고 해요.

◆ 안전한 개인정보 활용을 위한 노력

정부는 AI 등의 신기술에 대응하여 안전한 개인정보 활용을 지원하기 위해 개인정보보호 기술 R&D와 개인정보 안전활용 지원 기술 R&D를 추진하고 있으며, 더불어 가명정보 자체결합과 민감정보 활용과 같이 개인정보 침해사고 위험이 높은 경우에는 수시 실태점검을 실시할 계획이라고해요.

데이터 처리기관에 대해서도 분기별 점검을 강화하고, 데이터의 민감성과 가명처리·결합 과정의 위험성을 종합 고려하여 엄격한 개인정보 모니터링 체계를 구축하고자 하고있어요.

가명정보 활용 확대 방안에 대해서는 고학수 개인정보위원장이 "가명정보 제도 도입 이후 다양한 성과가 있었지만, 여전히 가명정보 활용에서 발생한 문제들에 대한 근본적인 개선대책이 필요한 시점"이라고 밝혔으며, 그리고 이번 가명정보 활용 확대방안을 통해 안전한 데이터 활용체계가 한 차원 진일보될 수 있기를 기대하며, 국민 신뢰 기반의 데이터 신경제 창출을 위한 '업그레이드된 규율체계'를 확립해 나갈 것을 강조했어요.

<관련기사>

○ “동형암호 기반 가명정보 활용 가능해진다”(2023.07.22.)

○ 2023년 개인정보위, 사각지대 없는 개인정보보호체계 구축과 보호·활용 패러다임 혁신 추진 (2022.12.29.)

○ 병무청, 개인정보 비식별 조치한 공공데이터 연구목적 개방(2020.07.20.)

깃허브, 북한 해킹 그룹 리자루스에 대해 경고

보안 외신 블리핑컴퓨터에 의하면 깃허브(GitHub)가 북한의 해킹 그룹 라자루스(Lazarus)에 대한 새로운 경고를 발표했어요

블록체인, 암호화폐, 온라인 도박, 사이버 보안 분야에 종사하고 있는 개발자들을 겨냥하여 소셜엔지니어링 공격을 실시하고 있다는 내용이라고해요.

라자루스는 이런 개발자들 계정을 침해하여 피해자의 컴퓨터에 멀웨어를 심고, 정보와 암호화폐를 훔치려 한다고 깃허브는 분석하고 있어요. 주로 왓츠앱을 통해 개발자들과 친분을 쌓은 후 악성 프로젝트를 전송해 다운로드 받게 하는 방식이 활용된다고해요.

현재까지 공격자들이 활용한 소셜미디어 플랫폼은 링크드인, 슬랙, 텔레그램이었다고 하고, 깃허브 계정과 악성 npm 패키지들이 연루되긴 했지만 이 두 플랫폼이 직접 뚫린 건 아닌 것으로 밝혀졌다고해요.

이 캠페인의 궁극적인 목표는 멀웨어 공격을 실시할 수 있도록 특정 깃허브 리포지터리에 저장되어 있는 내용을 복제하여 실행시킴으로써 멀웨어를 유포하는 것으로 분석됐어요.

깃허브는 “이들은 단순히 가짜 계정만 만드는 게 아니에요. 아예 가짜 인격을 만들 때도 있어요. 다른 개발자들의 계정을 훔치는 것도 당연하고요. 한 플랫폼에서 피해자와 관계를 튼 후 다른 플랫폼으로도 친분을 이어가는 짓도 했어요. 대단히 집요하고, 사실상 필요한 모든 방법을 동원한다는 뜻이죠.” 라고 말했어요.

◆ 소프트웨어 공급망 망가트리기

라자루스는 최근 수년간 다양한 종류의 멀웨어를 사용해왔어요. 백도어, RAT, 랜섬웨어 등 다양한 공격 방식을 적용하여 높은 성공률을 기록하고 있으며, 취약점과 공격 트렌드에 대한 지식도 매우 뛰어난 것으로 알려져 있죠

이러한 지식을 필요할 때마다 공격에 활용하는데, 최근에는 리포지터리를 통해 개발자들을 공격하는 기법이 전 세계 해커들 사이에서 인기를 끌고 있다고해요.

이번 공격은 정확히 어떤 식으로 진행되었을까? 현재까지 분석된 바에 의하면 다음과 같아요.

1) 라자루스 공격자들이 공격 대상자와 대화를 나누고 연락을 주고받는 사이가 된다.

2) 어느 정도 신뢰가 쌓이면 깃허브 프로젝트로 초대해 협업하자고 제안한다.

3) 이 때 라자루스 공격자들은 훔쳐낸 진짜 계정이나 가짜 인격체를 통해 연락을 취하므로 수상해 보이지 않는다.

4) 어느 순간 리포지터리 하나를 제시하고 복사해 가져가라고 한다.

5) 피해자가 이를 따라 자기 컴퓨터에서 실행을 할 경우 악성 npm 패키지가 설치된다.

보통은 미디어 플레이어나 암호화폐 거래 도구를 개발하는 프로젝트라고 피해자들을 꼬드기는 것으로 분석되고 있어요. 악성 패키지의 경우 1단계 멀웨어이며, 실행되면서 2단계 페이로드가 다운로드 되어 피해자의 시스템에서 실행되죠. 하지만 깃허브 측은 이러한 정보 외에 멀웨어에 대한 세부 내용을 공개하지 않고 있어요.

현재까지 관찰된 바에 의하면 라자루스가 사용하는 두 가지 멀웨어는 순서대로, 연속해서 실행될 때 힘을 발휘하는 것으로 보여요. 또한 같은 시스템 안에서 실행되어야 하는 것도 분명해 보이고요. 이런 조건들이 성립되었을 경우 공격자들은 TLS 인증서 확인 과정을 우회할 수 있게 되며, 이를 통해 보안이 약화된 애플리케이션을 통해 중간자 공격을 실시할 수 있게 돼요.

◆ 방어법

현재 깃허브는 이번 라자루스 공격에 활용된 것으로 보이는 npm 및 깃허브 계정들을 모두 차단한 상태이며 침해지표도 공유하고 있다고해요. 피해자들의 제보도 접수받고 있고 그 외에 위험 완화 대책도 사용자들에게 적극 알리는 중이에요..

이번 라자루스 공격에 당한 것으로 의심이 된다면 action:repo.add_member 이벤트 보안 로그를 다시 한번 점검하는 것을 권장해요. 깃허브가 위험하다고 판단하고 있는 계정으로부터 초대를 받은 적이 있는지 확인할 수 있을 거에요. 확인 결과 표적이 된 것이 파악되었다면 즉시 회사 사이버 보안 책임자와 상담하는 것을 추천해요. 회사 네트워크 어딘가에 라자루스의 멀웨어가 퍼져 있을 가능성이 있기 때문이죠.

이미 라자루스가 제공한 npm 패키지를 실행했다면 해장 장비를 아예 말끔히 삭제하고 처음부터 세팅을 다시 하는 게 좋다고 하며 그 후 각 계정들의 비밀번호를 변경해야 한다고 깃허브는 권고하고 있어요. 또한 개발자들이라면 소셜미디어를 통해 들어오는 협업이나 스카우트 제안에 대하여 철저하게 확인한 후에 응하는 것이 좋을것같아요.

지금은 개발자들이 가장 선호되는 표적이라는 걸 항상 기억해야해요.

<관련기사>

○ 대담해지는 랜섬웨어, 금전과 생명 맞바꾼다(2023.07.20.)

○ 사이버 범죄 특화 생성AI ‘웜GPT’ 발견, 기업 보안 주의(2023.07.17.)

○ 국정원 "내년 선거 앞둔 하반기, 北 사이버공격 집중"(2023.07.19

Edited by 사무국 신세연

(사)한국CPO포럼
서울시 서초구 서초중앙로 56, 블루타워 7F
수신거부 │ 지난레터보기 │ 구독정보변경