PII(개인 식별 정보) 식별 및 보호
by
읽기 시간: 7 분
개인 식별 정보와 민감한 데이터가 유출되어 누군가에 의해 사기 행위에 이용되는 것을 원치 않는 사람이 있을까요? 하지만 슬픈 현실은 이러한 일이 이제 일반적인 관행이 되었다는 것입니다.
최근 2021년부터 2023년까지 발생한 데이터 유출 사고의 약 50%가 고객의 개인 식별 정보(PII)였으며, 그 중 40%가 직원으로부터 유출된 데이터였다는 사실이 밝혀졌습니다. 이 데이터는 다음 기간 동안 기록되었습니다. a 2023년 10월 설문조사.
PII는 그리 복잡하지는 않지만, 그 개념과 보안의 중요성을 이해하는 것은 여전히 중요합니다. 이 가이드에는 PII와 자신을 보호하는 데 도움이 되는 모든 답변이 포함되어 있습니다.
PII(개인 식별 정보)란 무엇인가요?
PII(개인 식별 정보)는 회원님의 신원을 구성하는 중요한 부분이며 회원님을 직접적으로 지목할 수 있는 정보입니다.
단독으로 또는 다른 정보와 혼합하여 신원을 밝힐 수 있는 비밀 코드라고 상상해 보세요. 즉, 이름과 주소만 있는 것이 아니라 퍼즐 조각을 맞추면 '나'라는 전체 그림을 완성하는 것과 같습니다.
예를 들어 이름이 John이라고 가정해 보겠습니다. 전 세계에 같은 이름을 가진 사람들이 많기 때문에 이 이름은 PII로 간주할 수 없습니다. 하지만 귀하의 이름이 신원 미상이고 맨해튼에 거주하며 사회 보장 번호가 AXY123이라고 가정하면 어떻게 될까요? 이제 이 번호가 PII가 되어 다른 지역에 거주하는 다른 존 도우와 고유하게 식별할 수 있습니다.
PII는 민감하지 않은 것과 민감한 것으로 나눌 수 있습니다. 다음에서 이에 대해 다룰 예정입니다.
비민감 및 민감 PII 정보
미국 국방부는 예시 목록 예시를 제공합니다. 사회보장번호부터 개인 주소까지 모든 것이 개인 식별 정보에 해당할 수 있습니다.
PII의 두 가지 고유한 범주를 살펴보겠습니다:
민감한 PII
민감한 PII는 개인을 매우 쉽게 식별할 수 있는 정보입니다. 이러한 유형의 PII는 사이버 범죄자가 검색할 경우 해당 정보가 속한 개인에게 피해를 줄 수 있습니다.
민감한 개인 식별 정보의 예시
- 사회보장번호(SSN)
- 운전면허증
- 우편 주소
- 신용 카드 정보
- 여권 정보
- 재무 정보
- 의료 기록
민감하지 않은 PII
결혼 전 이름과 같이 개인을 식별할 수 있지만 개인을 해치는 데 사용할 수 없는 모든 정보는 비민감 PII로 정의됩니다.
민감하지 않은 개인 식별 정보의 예
- 이름
- 우편 번호
- 인종
- 성별
- 생년월일
- 출생지
- 종교
회원님이나 비즈니스에서 PII를 수집하려면 온라인 양식, 설문조사, 소셜 미디어를 사용해야 하며 가급적 비공개 동의서를 첨부해야 합니다. 다른 사람에게 PII를 제공할 때마다 해당 업체가 해당 정보를 사용, 저장 및 보호할 수 있는 적절한 계획을 가지고 있는지 확인하세요.
PII가 중요한 이유는 무엇인가요?
PII는 데이터를 보호하기 때문에 매우 중요합니다. 회원님의 PII를 보유한 모든 기업이나 조직은 어떤 대가를 치르더라도 이를 보호해야 할 법적 의무가 있습니다. 이는 회원님의 개인 정보의 안전과 보안을 보장합니다.
비즈니스는 다음과 같은 다양한 목적으로 회원님의 정보를 사용할 수 있습니다:
- 타겟팅 광고
- 사기 방지
- 법 집행 기관
- 신용 점수
- 채용 심사
PII는 어떻게 도용될 수 있나요?
다음과 같은 공격 소셜 엔지니어링 스푸핑된 도메인 이름이나 이메일을 사용하여 사람들을 속여 PII를 공개하도록 유도할 수 있습니다. 또한 해킹된 이메일 계정, 데이터 유출 등을 통해 개인 정보가 유출될 수도 있습니다.
다음은 PII를 도용할 수 있는 몇 가지 일반적인 방법입니다:
- 피싱 이메일: 피해자의 PII를 공개하도록 유인하는 가짜 이메일
- 데이터 유출: 공격자는 시스템 취약점을 악용하여 민감한 데이터베이스를 침해합니다.
- 덤프스터 다이빙: 휴지통에서 PII가 포함된 삭제된 문서 검색하기
- 사회 공학: 의심하지 않는 피해자를 속여 개인 정보를 공유하도록 유도하는 행위
- 멀웨어: 컴퓨터에 PII가 포함된 파일에 침투하는 악성 소프트웨어
- 내부자 위협: 악의적인 의도 또는 금전적 이익을 위해 PII를 공개하는 직원
- 사이버 도청온라인 통신을 도청하여 개인 정보 도용
- 해킹된 이메일 계정: 이메일 계정에 액세스하여 PII가 포함된 채팅을 읽는 행위
- 중간자 공격: 공격자가 온라인 통신을 가로채 PII를 훔치는 행위
- 무차별 대입 공격: 지속적인 재시도와 같은 무차별 대입을 통해 계정에 무단으로 액세스한 다음 PII를 탈취하는 공격입니다.
PII를 보호하는 방법
여러 국가에서 여러 데이터 보호법을 채택하여 고객의 개인정보를 수집, 저장, 공유하는 기업을 위한 가이드라인을 마련하고 있습니다. PII를 안전하게 보호할 수 있는 방법을 살펴보세요.
- 필요한 경우 강력한 비밀번호를 사용하세요.
- 온라인에서 공유하는 세부 정보에 주의하세요.
- 신용 보고서를 정기적으로 모니터링하여 사기 징후가 있는지 확인하세요.
비즈니스 소유자라면 아래에 언급된 단계를 고려해야 합니다:
- 특정 서비스를 제공하는 데 필요한 PII만 수집합니다.
- 기업에서 사용하는 암호화는 직원과 고객의 PII에 대한 무단 액세스를 방지할 수 있도록 강력해야 합니다.
- PII에 대한 접근은 업무 수행에 필요한 직원으로만 제한해야 합니다.
- 직원들에게 PII 보호 방법을 교육하는 교육 세션을 개최해야 합니다.
- 갑작스럽게 발생할 수 있는 보안 침해에 항상 주의를 기울이세요.
- 데이터 유출에 신속하게 대응하고 피해를 최소화할 수 있도록 데이터 유출 대응 계획이 있어야 합니다.
미국 국토안보부는 또한 통찰력 있는 문서 를 발표하여 PII를 안전하게 보호하고 공유하는 방법을 정의했습니다.
데이터 유출로부터 PII 보호의 중요성
데이터 유출은 회사의 권한이 없는 사람이 컴퓨터 시스템에 액세스하여 민감한 정보를 취득할 가능성이 있는 경우 발생합니다.
조사하던 중 전 세계적으로 전 세계적으로 6백만 건의 기록이 2023년. 이는 기업 리더들이 가장 우려하는 요소 중 하나입니다.
이러한 데이터 유출은 다음과 같은 다양한 원인으로 인해 발생할 수 있습니다:
- 멀웨어
- 해킹
- 인적 오류
기업은 아래에 언급된 관행에 따라 데이터 침해로부터 데이터를 보호할 수 있습니다:
- 적절한 보안 조치를 구현합니다.
- 직원들에게 사이버 보안의 모범 사례에 대한 교육 사이버 보안 모범 사례를 교육합니다.
- 데이터 유출이 갑자기 발생할 경우를 대비해 대응 및 복구 계획을 수립하세요.
PII 법률 및 규정
PII는 많은 법률과 규정에 의해 규제됩니다. 이러한 법률은 개인의 개인정보를 안전하게 보호하고 사칭과 같은 위협에 대해 걱정할 필요가 없도록 보장합니다. 이러한 연방법 중 일부는 다음과 같습니다:
1. 1974년 개인 정보 보호법
The 1974년 개인정보 보호법 는 연방 기관이 PII를 수집, 사용 및 유출할 때 지켜야 할 규칙을 규정하고 있습니다. 또한 이 법에 따라 연방 기관은 PII를 공개할 수 있는지 여부를 사람들에게 반드시 알려야 하며, 이를 위반할 경우 처벌을 받을 수 있습니다. 그러나 여기에는 몇 가지 특별한 경우와 예외가 있습니다.
2. 건강 보험 이동성 및 책임에 관한 법률
그리고 HIPAA, 즉 건강 보험 이동성 및 책임법도 있습니다. 이 법은 의료 기관과 의료 서비스 제공자가 환자 정보를 비밀로 유지하고 동의 없이 의료 기록을 공개하지 못하도록 규정하고 있습니다.
3. 정보 자유 법
그리고 FOIA, 즉 정보 자유 법. 정부 파일을 파헤치려는 사람들에게는 황금 티켓입니다. 이 법은 연방 기관에 "극비 사항이 아니라면 카드를 보여주라"고 말합니다. 따라서 기본적으로 정부 정보에 대한 대중의 백스테이지 패스입니다! 그러나 FOIA는 법 집행 기관에 개인을 식별할 수 있거나 피해를 줄 수 있는 정보를 보류하도록 요청함으로써 PII를 보호하는 역할도 합니다.
4. 일반 데이터 보호 규정(GDPR)
1995년에는 데이터 보호 지침이 있었지만 그 이후에는 데이터 보호 지침이 있었습니다, GDPR 이 개인 정보를 보호하기 위해 시행되었습니다. 이제 EU 시민의 개인 데이터를 다루는 모든 회사는 EU에 있든 다른 곳에 있든(예, 미국도 마찬가지입니다!) 동일한 규칙을 따라야 합니다.
특정 조항을 위반할 경우 전 세계 연간 매출의 4% 또는 2천만 유로 중 더 큰 금액의 벌금이 부과될 수 있습니다. 또한 개인은 자신의 GDPR 권리가 침해되었다고 생각하는 경우 불만을 제기할 권리가 있습니다.
GDPR은 기업이 사람들의 개인정보를 함부로 다루지 못하도록 하는 데이터 프라이버시를 위한 글로벌 보안관입니다. 디지털 세상을 통제하는 데이터의 수호자 역할을 합니다.
기업은 어떻게 고객의 데이터를 보호할 수 있을까요?
보안 수준을 높이고자 하는 기업이라면 다음과 같은 유용한 팁을 참고하세요:
- 네트워크 세분화 구현하기: 디지털 왕국 안에 성벽을 쌓는다고 생각하세요. 한 영역이 뚫려도 다른 영역은 안전하게 보호할 수 있습니다. 데이터 금고에 비밀 구획을 두는 것과 같습니다.
- 보안 정책 및 절차를 시행하세요: 규칙을 정하고 모든 사람이 규칙을 준수하도록 하세요. 보안 핸드북을 가지고 있는 것과 같이 모든 사람이 무엇이 허용되고 무엇이 금지되는지 알 수 있습니다.
- 데이터를 자주 백업하세요: 데이터를 보물, 백업을 비밀 금고라고 생각하세요. 해적들이 침입(데이터 유출이라고도 함)해도 비밀 보관소가 있으면 다시 사용할 수 있습니다.
- 데이터 유출에 대한 종합적인 대응 계획을 수립하세요: 문제 발견부터 해결까지 모든 조치를 계획하세요.
신원 도용 및 PII 오용의 영향
신원 도용은 농담이 아니며 심각한 재정적 골칫거리를 가져올 수 있습니다. 누군가가 나를 사칭하여 묻지도 않고 쇼핑을 하거나 내 이름으로 대출을 받거나 불법적인 활동을 한다고 상상해 보세요!
신원 도용 및 도난당한 PII는 다음과 같은 결과를 초래할 수 있습니다:
- 심각한 재정적 손해
- 정서적 고통과 불안
- 본인 명의로 저지른 범죄로 인한 법적 혼란
- 업계 내 신뢰도 및 평판 하락
- 고객 신뢰 상실
마지막 말
도메인 이름을 사칭하거나 스푸핑하는 피싱 이메일은 PII를 검색하는 데 널리 사용되는 방법입니다. 도메인 이름에 DMARC 을 설정하여 이메일과 도메인을 안전하게 보호하는 것이 좋습니다. 그리고 PowerDMARC보다 안전하게 설정하고 모니터링할 수 있는 더 좋은 방법은 없습니다! 당사는 인증을 통해 이메일 사기를 최소화할 수 있도록 전문적으로 지원하는 도메인 보안 전문가 팀입니다. 지금 바로 무료 DMARC 평가판!
인터넷에서 가능한 한 개인정보를 적게 공유하는 것을 잊지 마세요! 온라인에서 안전을 지키고 경계를 늦추지 마세요.
도메인 및 이메일 보안 전문가 PowerDMARC
Ahona는 도메인 및 이메일 보안을 전문으로 5년 이상 사이버 보안 주제에 대해 글을 써온 경력이 있는 PowerDMARC의 마케팅 매니저입니다. Ahona는 저널리즘 및 커뮤니케이션 학위를 취득한 후 2019년부터 보안 분야에서 경력을 쌓았습니다.
아호나 루드라의 최신 포스트 (전체 보기)
- DMARC MSP 사례 연구: 고객을 위해 도메인 보안 관리를 간소화한 CloudTech24, PowerDMARC 사용 사례 - 2024년 10월 24일
- 이메일을 통한 민감한 정보 전송의 보안 위험 - 2024년 10월 23일
- 사회 보장 이메일 사기의 5가지 유형과 예방 방법 - 2024년 10월 3일
