재택근무로 인해 더욱 악화된 인도네시아 개인정보 유출 사고
본문
사이버 공격 이미지(pngtree.com)
팬데믹의 영향으로 재택근무나 장거리 근무가 늘고 한편 개인정보 보호를 위한 입법이 미비한 상황에서 수백만 명의 인도네시아 시민들 개인정보와 기업정보들이 더욱 큰 유출 위험성에 처해 있다.
24일 자카르타포스트에 따르면, 올해 8월에만 이미 다섯 건의 유출사고가 벌어졌는데 그중 두 건은 수백만 명의 자료를 가지고 있는 국영기업에서 터졌다. 그렇게 유출된 정보들은 해킹포럼인 브리치 포럼(Breach Forums)같은 암시장에 매물로 나온다.
18일 해당 포럼에는 롤리타(lolyta)라는 아이디를 쓰는 회원이 국영전력회사(PLN) 고객 1,700만 명의 이름, 주소, 고객식별번호, 전력사용량, 전기미터기 번호 같은 개인정보들을 매물로 올렸다가 지금은 삭제된 상태다.
PLN은 20일(토) 공식 트위터 계정을 통해 데이터 유출사고에 대해 정보통신부, 국가사이버해독청(BSSN)과 공조하여 조사를 진행 중이라고 밝혔다.
PLN은 유출된 것으로 보이는 데이터가 실시간 거래 내역이 담긴 정보가 아니라 고객 데이터 대시보드 어플리케이션에서 얻을 수 있는 공개 데이터의 사본들이므로 실제 고객정보 데이터는 유출되지 않았다고 설명했다.
한편 브조르카(Bjorka)라는 아이디를 사용하는 브리치 포럼의 또 다른 회원은 국영 통신회사 텔콤의 인터넷 서비스 제공 부문인 인디홈(indiHome)의 고객 관련 데이터 2,600만 건을 가지고 있다고 주장했다.
유출된 데이터에는 고객의 이름, 이메일 주소, 성별, 주민등록번호, IP 주소, 고객의 검색 히스토리 정보 등이 포함된 것으로 알려졌다. 하지만 텔콤은 브조르카의 이러한 주장을 전면 부인했다. 유출되었다는 데이터는 모두 조작된 것들이며 실제 데이터는 통합 사이버 보안시스템에 잘 보관되어 있다는 것이다.
정보통신부 어플리케이션정보처리 국장 세무알 아브리야니 빵어라빤(Semual Abrijani Pangerapan)은 이들 두 국영회사들을 불러 해명을 요구했다고 밝혔다.
현재 다수의 브리치 포럼 사용자들이 2만1,700개 인도네시아 기업들과 인도네시아에서 활동하는 외국기업들로부터 유출된 347GB 규모의 대외비 서류, 인도네시아 교육대(UPI) 학생 개인정보 14BGB, 발리 소재 기안야르(Gianyar) 군청의 내부정보 50만 건을 팔겠다고 내놓은 상태다.
통신정보시스템 보안연구센터의 쁘라따마 뻐르사다(Pratama Persadha)는 팬데믹 기간 중 많은 사람들이 재택근무를 시작하여 상대적으로 인터넷 보안시스템이 취약한 가정 인터넷 환경에서 일하게 되면서 정보유출 빈도가 크게 늘어났다고 지적했다.
국가사이버해독청(BSSN)의 조사기록에 따르면 해커들이 막대한 접속 시도를 일으켜 특정 웹사이트를 마비시키는 디도스 공격 같은 인터넷 트래픽 이상 징후들이 2020년에 8억 건 발생하였고 2021년에는 그보다 두 배 늘어난 16억 건이 감지된 것으로 나타났다.
재택근무 상황이란 기본적으로 많은 사람들이 집이나 위치가 특정되지 않은 외부에서 회사시스템에 온라인으로 접속하는 것을 허용해야 하므로 데이터 유출 위험성이 더 높아졌다는 것이다.
정부의 개인정보보호법이 느슨해 전자시스템운영자(PSE)들의 사용자 정보 보호의무를 적절히 강화하지 못하고 이에 대한 통일된 기준조차 내놓지 못해 상황이 더욱 악화되는 측면도 있는 것으로 분석됐다.
쁘라따마 소장은 관련법을 강화하고 해당 의무를 강력히 강제하지 않는 한 데이터 유출이 발생할 때마다 모든 사람들이 피해자가 되는 상황에서 아무도 해당 사고에 대한 책임감을 느끼지 않는다는 점을 지적했다.
그는 국회와 정보통신부가 신속히 개인정보보호법을 발효시켜 전자시스템운영자(PSE)들이 사용자 개인정보를 제대로 보호하지 못할 경우 분명한 책임을 지도록 해야 한다고 주장했다. 민간부문에서도 선제적으로 사이버 보안관행을 개선하고 대중 역시 데이터 프라이버시에 대한 더욱 고취된 인식을 공유해야 한다.
국회 제1위원회 압둘 카리스 알마샤리(Abdul Kharis Almasyhari) 부위원장은 국회가 해당 법안심의를 신속히 진행할 것이며 9월까지는 발효를 위한 서명이 완료될 것이라고 밝혔다. 하지만 해당 법안 심의가 늦어지는 이유로서 어떤 구체적 쟁점이 있는지에 대해서는 자세한 설명을 피했다.
한편 해당 위원회 소속 보비 아디티요 리잘디(Bobby Adhityo Rizaldi) 의원은 정부기관들이 개인정보 유출문제를 어떻게 취급하고 개인정보 보호를 위해 어떤 조치를 취해야 하는지를 법안에 분명히 명시하도록 노력 중이라고 설명했다.[자카르타포스트/자카르타경제신문]
댓글목록 0
등록된 댓글이 없습니다.
