[개인정보유출] 끊이지 않는 개인정보 유출 사고

출처

[What’s in Security] 끊이지 않는 개인정보 유출 사고 - 데이터넷

 

분야

IT, 보안

 

본문 요약

망분리된 공공기관서 잇달아 개인정보 유출 사고 발생
탈취한 크리덴셜 이용 시 공격 시간·비용 80% 줄어

1. 망분리도 무용지물 ··· 공공기관 개인정보 비상

• 법원이 2021년부터 2023년까지 2년간 해킹으로 1TB 이상 개인정보 유출 된것을 확인했다.
• 망분리의 맹점을 이용한 해킹 방법으로 1초에 17KB씩 2년동안 정보가 유출되며, 소량의 정보가 장기간 유출되는것은 막지 못했다.
• 5월 경기도평택교육지원청: 500여명 지방공무원 개인정보 유출, 교육부 1만명 개인정보 유출, 국가유산청 2000명 개인정보 유출 사고 발생
• 공공기관 개인정보 유출 사고에 대한 처벌은 민간에 비해 매우 낮은편, CISO(최고정보보호책임자)의무 대상 제외, 개인정보 보호와 보안에 대한 대책 부족 지적 이어짐
• 민간 사례(카카오): 오픈채팅 서비스 설계 구현 과정 과실, 오픈채팅 악성행위 대응조치 미흡 등 이유로 사상최대 규모의 과징금 받음

2. 외국어·사투리 장벽도 넘는 생성형 AI

• 카카오 개인정보 유출 사고에서 해커는 오픈 채팅방의 ID를 긁어모으고, 임의로 1억개의 전화번호를 생성해 친추구가한 후 동일한 프로필을 가진 사람의 정보를 수집했다.
• 이 수법을 모방해 SNS와 커뮤니케이션 도구를 오가며 사람들의 자기소개와 일상 정보를 수집하는 또 다른 방법이 되어 개인 생활과 관심사에 맞춘 사기를 시도할 수 있다.
• AI를 이용하면 이 과정이 더욱 쉽게 진행되고, 언어와 문화장벽, 사투리같은 깊은부분까지 극복할 수 있다.

3. AI 학습 데이터 수집, 정당성 논란 불거져

• AI가 공개된 데이터를 무단으로 수집하고 학습하는 것은 공격자 뿐만 아니라 AI기업, 웹 기반 서비스 기업들도 마찬가지인 의혹을 사고 있다.
• 오픈 AI가 공개한 GPT-4o 목소리는 스칼렛 요한슨이 주인공이였던 영화 '허(Her)'에서의 목소리와 유사하다는 의혹으로 무단 목소리 도용 논란과 뉴욕타임즈 기사를 무단으로 가져가 학습한 의혹으로 소송을 당한 사례가 있었다.
• 개인 맞춤화 서비스를 위한 AI의 정보 수집 및 이용에 있어 세부내용은 개인정보 주체가 인지하고 있어야 하며, 언제든지 활용 내역과 사용 중지를 요구할 수 있어야한다.
• 이에 따른 우리나라의 개인정보보호법에서는 AI 등 자동화된 결정에 대해 개인정보 주체의 권리를 강화하는 내용을 담고 있다.
• 우리나라 정부의 경우 개인정보 안전한 활용과, 데이터 산업의 활성화를 지원하기위해 마이데이터 사업을 시행하고 있으며, 이 내용을 담은 개인정보보호법 실행령 개정안이 공개되었다.

 

 

4. "피싱, 지금보다 정교해질 필요 없다"

• 피해자 심리를 이용해 랜섬웨어를 통해 얻은 초기 접속 정보를 이용한 공격자는 데이터 유출과 암호화한 후 협박을 통해 충분한 수익을 얻고 있다.

 

연관기사

1. [개인정보유출] 타오바오, 데이터 해킹당해 고객 수백만 명 개인정보 유출

타오바오, 데이터 해킹당해 고객 수백만 명 개인정보 유출 - 데일리시큐

 

2.[취약점] 체크포인트 VPN 심각한 제로데이 취약점 악용 공격 중...주의

체크포인트 VPN 심각한 제로데이 취약점 악용 공격 중...주의 - 데일리시큐

 

 

3.[해킹] 시카고대학도 병원 해킹 피해

시카고대학도 병원 해킹 피해

 

 

 

4.[피싱 메일] 행안부, 국세청 등 정부기관 사칭한 피싱 메일 유포

행안부, 국세청 등 정부기관 사칭한 피싱 메일 유포