보안 인사이트

개인정보 유출 시 기업의 대응 방법은?

엔키화이트햇

2025. 5. 19.

반복되는 개인정보 유출, 왜 먼저 막을 수 없을까요?

현대 사회에서 개인정보는 곧 ‘나 자신’입니다. 온라인 쇼핑, 금융 거래, 보험 계약 등 일상의 거의 모든 영역에서 우리는 기업에 소중한 개인정보를 제공하고 있죠.

단 한 번의 개인정보 유출만으로도 기업은 신뢰도 하락, 법적 책임, 금전적 손실이라는 삼중고를 겪게 됩니다. 하지만 최근 들어 해킹 사고가 연이어 발생하고 있습니다. 이는 아직 기업들의 개인정보 보호 수준이 충분하지 않다는 것을 의미합니다.

그렇다면, 반복되는 개인정보 유출 사고를 막기 위해 아래 세 가지 질문에 대한 답을 함께 알아보겠습니다.

개인정보 유출 사고가 반복되는 이유는 무엇일까요?
현재 보안 체계의 가장 큰 문제점은 무엇일까요?
개인정보 유출 방지를 위해 기업에서 할 수 있는 가장 적극적인 대응법은 무엇일까요?

이번 글에서는 최근 발생한 개인정보 유출 사태를 기반으로 유출의 근본 원인을 분석하고, 기업이 실천할 수 있는 구체적인 보안 강화 방법을 정리해보았습니다.

최근 개인정보 침해사례

■ 보험대리점 해킹 사태

개인정보 유출 원인: 영업지원시스템 관리자 계정 정보 노출
결과: 전산 솔루션에 악성코드 감염 → 다수 솔루션으로 피해 확산 가능성
문제점:
- 계약자의 질병정보 등 민감한 개인정보를 대량 보유
- 타 업체 간 동일 솔루션 사용으로 대규모 연쇄 피해 발생 가능성
- 내부 관리자 계정 관리 부실로 추가 해킹 사고 재발 우려

■ 통신사 유심 정보 유출 사태

개인정보 유출 원인: 가입자 정보를 관리하는 핵심 서버 '홈가입자서버(HSS)'에 스텔스형 악성코드(BPFDoor) 침투
결과: 유심(USIM) 관련 개인정보(전화번호, 고유식별번호 등) 유출 정황
문제점:
- 장기간 탐지되지 않는 스텔스형 악성코드 사용
- 특정 APT 그룹 연관성 의심 → 지속적이고 조직적인 추가 공격 우려
- 명의 도용, 금융사기 등 심각한 2차 피해 위험

■ K사 인사정보시스템 해킹 사태

개인정보 유출 원인: 인사정보시스템 전체 침해
결과: 7,000명 이상 직원의 민감 개인정보 대량 유출
- 암호화된 기본 정보(이름, 생년월일, 주민등록번호 뒷자리, 이메일, 비밀번호, 주소, 계좌번호, 전화번호 등) + 암호화되지 않은 직원 사진, 신분증 사본, 통장 사본, 근로계약서, 급여정보, 서명정보, 가족관계증명서, 주민등록등본, 혼인관계증명서 등 노출
문제점:
- 단순한 개인정보를 넘어 민감 공공문서까지 유출
- 명의도용, 보이스피싱 등 심각한 2차 피해 우려

이처럼 최근 발생한 해킹 사고들은 단순히 개인의 불편함을 넘어 심각한 사회적, 경제적 피해를 야기합니다. 특히 통신사 같이 민감한 정보를 다루는 기관이나, 여러 시스템과 연결된 서비스의 경우, 단 하나의 취약점으로 기업 전체 안보에 큰 피해로 이어질 수 있습니다.

개인정보 유출 주요 원인 4가지

끊임없이 발생하는 개인정보 유출 사고 뒤에는 다음과 같은 근본적인 문제점들이 있습니다.

1. 구식화된 취약한 보안 시스템

: 외부 솔루션 의존, 내부 보안 체계 미흡

많은 기업들이 외부 프로그램에 대한 과도한 의존성을 보이고 내부 보안 체계 구축에 소극적인 경우가 많습니다. 특히 소규모 기업의 경우, 전문적인 보안 인력 부족과 예산 문제로 인해 기본적인 보안 조치조차 제대로 이루어지지 않는 경우가 발생합니다.

2. 해킹 기술 고도화

: BPFDoor 같은 스텔스형 악성코드 출현, 전통적 방어 체계로는 대응 한계

장기간 탐지가 어렵고 은밀하게 작동하는 고성능 악성코드의 등장은 기존의 방어 체계만으로는 더 이상 안전을 보장할 수 없음을 의미합니다. 공격자들은 끊임없이 새로운 취약점을 찾아내고, 지능적인 공격 기법을 개발하여 방어선을 뚫으려 하고 있습니다.

3. 내부 관리 소홀

: 관리자 계정 유출, 권한 설정 오류, 비밀번호 관리 부실 등

관리자 계정 정보 유출, 부적절한 권한 설정, 허술한 비밀번호 관리 등과 같은 내부 관리 소홀은 언제든 심각한 보안 사고로 이어질 수 있는 위험 요소입니다. 아무리 훌륭한 보안 시스템을 구축하더라도, 사용자의 보안 의식 부족은 시스템 전체의 가장 큰 취약점이 될 수 있습니다.

4. 외부 서비스 의존도 증가

: 협력사, 외부 IT 서비스의 보안 취약성이 직접적인 리스크로 전이

비용 절감 등을 목적으로 외부 IT 서비스에 대한 의존도가 높아짐에 따라, 연결된 시스템 전체의 보안 위험 또한 증가합니다. 하나의 협력 업체의 보안 취약점이 자사의 시스템은 물론, 수많은 고객에게 연쇄적인 피해를 입힐 수 있다는 점을 명심해야 합니다.

이처럼 다양한 원인이 반복되는 개인정보 유출 사고로 이어지고 있음에도, 많은 기업들은 여전히 사고 이후의 '사후 대응'에만 집중하는 경향이 있습니다. 하지만 침해 사고가 많이 일어나는 지금 시점에 필요한 것은, 사고가 터지기 전 위험을 미리 예측하고 차단하는 선제적 보안 전략입니다.

개인정보 유출 방지 필수 전략 5가지

1. 중요 데이터 관리 체계 구축 및 구분 저장

고객 개인정보, 금융정보 등 민감 데이터를 별도 서버에서 분리 저장
업무 시스템과 개인정보 DB를 물리적으로 분리하고, 열람 이력 기록 필수화
민감도 레벨에 따라 저장 위치와 접근 권한 이중 관리

2. 관리자·운영자 계정 2중 방어 체계 적용

모든 관리자 계정에 MFA(다단계 인증) 적용
공용 계정 금지, 고유 ID별 접속 이력 기록
서버 접속은 VPN 통한 내부망 접속으로만 제한

3. 외부 솔루션·협력사 보안 수준 점검 및 계약 관리

외부 솔루션 사용 시 연 1회 이상 보안 점검 및 리포트 제출
계약서에 보안 수준 명시 및 손해배상 책임 조항 삽입
협력사 API 연동 시 데이터 송신 최소화

4. 침투 테스트 및 모의 해킹 연 1회 이상 실시

웹 서버, DB 서버, VPN, 클라우드까지 화이트해커 침투 테스트 수행
발견된 취약점은 즉시 개선 후 재검증(Validation Test)까지 완료

5. 개인정보 유출 사고 대비 비상 대응 체계 수립

사고 발생 시 24시간 이내 KISA 신고 체계 마련
피해 고객 통지 및 홍보팀, 법무팀 대응 시나리오 사전 준비
사고 시나리오별 대응 프로토콜(5건 이하 vs 대량 유출) 문서화

위와 같은 기본 필수 보안 전략들을 기반으로, 기업은 전반적인 보안 체계를 체계적으로 구축할 필요가 있습니다.

이 중에서 특히 주목해야 할 전략은 공격자 관점에서 시스템을 점검하는 ‘모의 해킹(Penetration Test)’입니다. 모의 해킹은 단순한 점검이 아닌, 화이트해커가 실제 침투 시나리오를 바탕으로 보안 취약점을 식별하는 과정으로, 기존 방어 체계로는 발견하기 어려운 숨은 위협 요소까지 사전에 파악할 수 있는 효과적인 방법입니다.

개인정보 유출 사고 예방법

화이트해커의 모의해킹

화이트해커란?

공격자의 시각으로 개인정보 유출될만한 곳을 찾아내는 전문가

화이트해커는 악의적인 목적이 아닌, 시스템의 취약점을 사전에 발견하고 분석하여 보안 강화를 돕는 ‘윤리적 해커’를 의미합니다. 공격자의 입장에서 시스템을 깊이 있게 점검하고, 침투 테스트(Penetration Test)와 같은 실질적인 모의 공격을 통해 숨겨진 위험 요소를 찾아냅니다.

화이트해커 역할

외부 프로그램 연동 시스템의 심층적인 보안 점검: GA 해킹 사례처럼 외부 프로그램과 연결된 복잡한 시스템의 경우, 단순한 보안 점검으로는 발견하기 어려운 취약점까지 화이트해커의 전문적인 분석을 통해 찾아낼 수 있습니다.
고도화된 APT 공격에 대한 효과적인 대응: 통신사 유심 정보 유출에 사용된 BPFDoor와 같은 지능형 지속 공격(APT)은 일반적인 보안 시스템으로는 탐지 및 대응이 어렵습니다. 화이트해커는 이러한 최신 공격 트렌드를 이해하고, 그에 맞는 전문적인 탐지 및 대응 전략을 제시할 수 있습니다.