2일 오전 서울 삼성동 코엑스에서 열린 ‘개인정보보호 페어(PIA FAIR 2022)’ 기조 강연을 한 스틸리언 신동휘 CTO(최고기술책임자)는 “공격자는 인터넷 상 ‘나’와 오프라인 상의 ‘나’를 분리하기 위해 개인정보를 훔친다”고 설명했다.
신 CTO에 따르면 공격자는 개인 크리덴셜(출입증·코드 등)과 아이덴티티(이름·전화번호·집 주소 등)를 모두 원한다. 이중 아이덴티티는 개인에 한정하지 않고 주변 정보도 포괄하기 때문에 노출되면 피해는 크게 번질 수 있다.
공격자들이 개인정보를 탈취하는 이유에 관해 그는 “개인정보 거래 자체로도 가치고 있고 정보를 정제하면 더 높은 수익을 창출할 수 있다”며 “개인 세부 내용을 식별할 수 있으면 더 높은 수익 창출도 가능하다”고 말했다.
이어 “일회성으로 끝나지 않고 다수 고객을 확보하면 n배 수익도 창출할 수 있다”고 덧붙였다.
신 CTO는 또 “공격자는 개인정보 수탁자도 노린다”도 경고했다.
그는 “요즘은 개인정보를 위탁하거나 제3자에게 맡기는데 공격자는 그들을 노린다. 보안 수준이 위탁자보다 떨어지기 마련”이라며 “대상을 바꾸는 것”이라고 설명했다.
이어 “공격자는 결론을 향해 달려가지 않는다. 피해 대상을 정하거나 대상만을 위한 공격을 수행하지 않고 정해진 시나리오를 완성하기 위해 공격하지 않는다. 때로는 매우 즉흥적”이라며 “공격자에게 중요한 건 정보일 뿐 정보수집 대상과 방법은 중요하지 않다”고 말했다.
그러면서 “여러 공간에 펼쳐진 정보를 얼마나 잘 관리하고 통제하느냐가 사회 전반의 정보 보호 수준을 높이는 방법”이라고 강조했다.
송금종 기자 song@kukinews.com
