국내에서 첫 번째로 코로나바이러스(COVID-19) 확진자가 발생한 2020년 1월 19일 이후 1년이 조금 넘는 짧은 시간 동안 코로나바이러스는 대한민국 더 나아가 전 세계인의 삶을 모두 바꿔놓았습니다. 코로나바이러스를 교묘하게 악용한 피싱 공격, 랜 섬웨어 등 사이버위협이 증가 하기 시작하면서 사이버보안과 개인정보보호에도 영향을 미치게 되었습니다.

개인과 조직을 위협하는 사이버위협

우리의 생활과 밀접한 사이버위협은 사람들이 주로 이용하는 MS-Word, Excel, PowerPoint의 Macro에 악성 코드를 삽입하여 이메일을 통해 전파하거나, 웹사이트에서 다운로드하도록 유도하여 악성 코드를 감염시킵니다.

보건당국을 위장한 피싱메일 [출처: Carbon Black]

기업이나 학교에 설치된 VPN의 보안이 취약한 경우, 인터넷상에서 민감한 개인정보가 유출될 위험이 높아지며, 실제로 사이버범죄자가 온라인 강의실을 침투하여 유해정보를 노출 시 키거나, 영상정보를 유출하는 사고 등이 발생하기도 하였습니다.

그리고 재택근무로 원격근무를 하는 기업이 증가하면서 물리 보안의 취약성을 심화시키고 있으며, 코로나바이러스 감염 및 확산을 방지하기 위해 공급업체등의 방문을 금지시켜 점검이나 서비스 등을 원활하게 지원을 받지 못하는 경우가 발생하고 있습니다.

주요기반시설 보호 활동

• 대응조정관을 지정하고, 책임이 있는 직원 지정

• 공식적인 직원 및 작업장 보호 서비스 구현

• 인적 보호 및 작업장 보호에 대해 직원 교육

• 유연한 근무지(재택근무 등) 및 근무시간 정책 수립 및 평가

• 조직의 운영과 임무수행 관련 필수 기능,, 상품 및 서비스 식별

• 잠재적인 업무 감소 상황에서 핵심기능, 제품, 서비스를 지속해야만 하는 기간 결정

• 중요한 제품과 서비스의 공급업체를 식별하고 우선순위 지정

• 기업의 변화, 경제사회적 환경에 기초하여 목표, 영향, 활동을 조정 하기 위해 준비활동 지속 평가

• 격리 및 완화전략에 대한 최신 정보를 얻기 위해 연방정부, 주정부 등의 코로나19 사이트에 대한 모니터링 수행

공급망 보호 활동

• 코로나19로 운송 물류 및 국제적 제조산업 붕괴가 공급망에 미치는 잠재적 영향 평가

• 위기상황 지속에 따른 공급망이 겪어야 할 문제점 검토

• 붕괴상황을 완화하기 위해 대체 공급처, 대체 제품, 보존 수단 파악

• 주요 고객에게 문제점을 알리고, 문제점을 완화하기 위한 기업의 조치 사항을 알림

조직을 위한 사이버보안

• 원격접근시스템에 대한 보안성 확보

- 가상사설망(VPN) 및 기타 접근 시스템의 보안패치 보장

- 비정상적인 활동에 대한 조기 탐지 및 경고를 위한 시스템 모니터링 개선

- 다중인증 기반의 시스템 구현

- 모든 기기에 적용된 침입차단시스템, 침입탐지시스템 등의 구성 적절성 보장

• 원격접근솔루션의 용량 시험 및 개선

• 운영연속성계획이나 사업연속성계획(BCP)의 최신상태 유지

• 재택근무자의 IT 지원 수단과 절차 등에 대한 인식 제고

• 분산환경에서 인력변동을 고려하기 위해 사고대응계획의 현행화

직원 및 고객을 위한 사이버보안 활동

• 광고성 유도 이메일이나 첨부화일의 부주의한 클릭 방지

• 이메일에 개인정보나 금융정보를 노출하지 않도록 주의하고, 이러한 정보를 노리는 이메일 광고에 응답하지 않음

• 피싱에 대한 인식제고 및 대응활동을 위해 CISO의 “사회공학적인 방 법 및 피싱 스캠 방지(Avoiding Social Engineering and Phishing Scams10))” 팁 검토

• 연방공정거래위원회(FTC)의 코로나19 관련 스캠 방지를 위한 블로그 검토

• 코로나19 관련 최신정보 및 사실을 파악하기 위해 공식적인 정부 웹 사이트 등 신뢰할 수 있는 정보소스 이용

개인의 정보를 위협하는 수기출입명부

코로나바이러스가 바꿔놓은 풍경 중 하나는 수기출입명부 입니다. 정부는 지난해 6월 10일부터 고위험시설에 대해 QR코드를 기반으로하는 전자출입명부를 의무화 하였고 집단 및 다중이용시설 뿐만 아니라 소규모의 사업장등에서도 자발적으로 수기출입명부(전자, 수기)를 작성하는 곳이 증가하였으나 수기명부의 경우 폐기(4주 보관 후 폐기), 노출 등 관리의 어려움과 연락처 유출에 따른 개인정보 오·남용 사례가 끊임없이 발생 하였습니다.

사례1) △△씨는 다중이용시설 이용 후 모르는 휴대전화번호로 발송된 문자메시지를 받았다. ‘수기명부를 보고 연락했다.’는 내용이었다. △△씨는 두려운 마음에 즉시 수신을 차단하고 문자메시지도 삭제했다.

사례2) OO씨는 다중이용시설을 방문한 후 수차례 홍보 문자메시지를 받았다. 방역에 협조하기 위해 제공한 휴대전화번호가 영리 목적으로 이용된 셈이다.

공익데이터의 중심 ‘코드포코리아'

코드포코리아는 2020년 3월 ‘코로나19 공공데이터 공동대응’으로 17명 남짓한 사람들과 함께 활동을 시작하였으며, 공적마스크와 관련된 활동 등을 진행하였고 현재는 시빅해커 또는 공익데이터 운동을 하는 시민 네트쿼크의 중심 역할을 수행하고 있습니다.

‘개인안심번호’ 도입한 정부, 아이디어 낸 ‘코드포코리아’

개인정보보호위원회는 수기출입명부를 통한 개인정보 유출 문제를 해결하기 위해 많은 고민해왔으나 마땅한 대책을 찾지 못하였고, 지난해 12월 코드포코리아에 '코로나19 확산에 대비한 수기입장방식 개선 방법에 대한 아이디어를 문의 하였고 코드포코리아측은 이에 총 9개의 아이디어를 제안하였습니다.

개인정보위원회는 9개의 제안 중 'QR 코드 발급 시 아래 한글과 숫자 조합의 문자 발급’ 관심을 갖으면서 코드포코리아와의 용역 계약을 통해 개발을 진행 하려고 하였으나 ‘코드포코리아’ 회원 7명의 재능 기부(아이디어, 기술력)와 QR코드 발급 기관(카카오, 네이버, PASS) 그리고 정부의 협업을 통해 ‘개인안심번호’가 탄생하게 되었다.

‘개인안심번호’란?

정부는 휴대전화번호 유출 및 오·남용을 원천적으로 차단하고 개인정보 유출을 방지 하기 위해 2월 19일부터 개인안심번호를 도입하였으며 숫자 4자리와 한글 2자리로 구성된 총 6자의 고유번호로 네이버·카카오·패스의 QR체크인 화면에서 손쉽게 발급 받을 수 있으며, 발급받은 개인안심번호는 수기명부에 휴대전화번호 대신 개인안심번호를 기재 하면 됩니다.

개인안심번호는 휴대전화번호를 무작위로 변환한 문자열로 해당 번호만으로는 문자메시지 발송이 불가능 하기 때문에 명부가 유출 되더라도 개인정보가 오남용 될 수 없으며 지난해 이태원 클럽 집단 감염의 경우 명부 상 인원 4,961명 중 41%(2.032명)만 연락이 가능 했던점과 ‘전국 다중이용시설 3만 2천여 개소에 대한 출입명부 관리실태 점검 결과(‘20, 9)’ 수기출입명부 사용율이 42.5%라는 점을 비추어 볼 때 이번 개인안심번호 도입 효과는 상당히 클 것으로 예상 됩니다.

‘개인안심번호’ 도입 Q&A

1. 개인안심번호는 어디서, 어떻게 발급 받을 수 있나요?

최초 1회 개인정보 수집 동의 후, QR발급기관(네이버·카카오·패스)의 QR체크인 화면에서 언제든지 개인안심번호를 확인할 수 있습니다.

2. 개인안심번호는 어떠한 경우에 활용하나요?

QR코드기반 전자출입명부가 비치된 다중이용시설을 방문하는 경우, 전자출입명부를 활용하시면 됩니다. 다만, 전자출입명부가 비치되어 있지 않은 경우 등 불가피하게 수기명부를 작성해야 하는 때에는 개인안심번호를 사용하시면 됩니다.

3. 2월 19일부터 수기명부에 휴대전화번호는 기재할 수 없나요?

휴대전화번호 기재를 원하거나 개인안심번호 발급이 어려운 분은 수기명부에 휴대전화번호를 기재할 수 있습니다.

4. 네이버를 활용하다가 카카오나 패스를 사용하면 개인안심번호가 달라지나요?

개인안심번호는 고유번호로 발급기관이 달라지더라도 QR체크인 화면에서 확인할 수 있는 개인안심번호는 동일합니다.

5. 다중이용시설을 방문하여 수기명부를 작성할 때마다 QR체크인 화면을 확인해야 하나요?

고유번호인 개인안심번호를 암기하거나 기록하여 소지하고 다니는 경우 등에는 QR체크인 화면을 확인할 필요가 없습니다.

6. 개인안심번호는 언제까지 쓸 수 있나요?

개인안심번호는 코로나19 종식 시까지 사용할 수 있습니다.

7. 개인안심번호는 안전하게 관리되나요?

확진자 발생 시, 방역당국에서만 개인안심번호를 휴대전화번호로 변환합니다.

출처 및 참고 자료

KISA REPORT 2020 vol.5

코드포코리아 위키

CISA의 코로나19 관련 사이버위협에 대응하기 위한 가이드

개인정보위원회 보도자료(19일부터 수기명부에 전화번호 대신 개인안심번호 쓰세요, '21.02.19)