비대면 인증 확산 속 개인정보 유출 우려… ASM으로 보안 강화

실시간
뉴스

보안

비대면 인증 확산 속 개인정보 유출 우려… ASM으로 보안 강화

디지털데일리 발행일 2025-01-15 17:31:10

김보민 기자

URL복사

[디지털데일리 김보민기자] 디지털 전환이 본격화되면서 비대면 본인 인증(Electronic Know Your Customer, eKYC) 서비스가 확산되고 있다. 기존 대면 방식의 본인확인(KYC) 절차가 디지털 환경으로 옮겨오며 편리성과 신속성을 갖춘 비대면 인증이 새로운 표준으로 자리 잡고 있다. 한국인터넷진흥원(KISA)은 비대면 인증 시장이 2025년까지 급성장할 것으로 전망했다.

대표적인 사례로 국내 통신 3사가 운영하는 ‘패스(PASS) 앱’은 가입자 수 1000만명을 돌파하며, 국민 다섯 명 중 한 명이 사용하는 국민 서비스로 자리매김했다. 금융권에서도 일평균 비대면 대출 신청액이 1조 원을 넘어서는 등 디지털 전환과 함께 비대면 인증 서비스 수요는 더욱 확대될 것으로 예상된다.

이러한 움직임 속 보안업계에서는 '개인정보 보호' 중요성을 강조하고 있다. 민감 개인정보를 다루는 만큼, 기업과 기관이 보안 위협에 대응체계를 구축하지 않으면 사후약방문식 대처에 급급해질 수밖에 없다는 취지다. 글로벌 시장에서는 주요 대응책 중 하나로 공격표면관리(ASM·Attack Surface Management)를 주목하는 분위기다.

최근 스튜어트 매드닉 MIT 교수 연구에 따르면, 2023년 데이터 유출 사고의 80% 이상은 클라우드에 보관된 데이터와 관련된 것으로 나타났다. 최근 2년간 전 세계적으로 26억건의 개인정보가 유출됐고, 2023년에는 유사 현상이 악화된 것으로 조사됐다.

주목할 점은 세계적으로 확대되는 비대면 본인 인증 과정에서 수집된 실물 사진, 신분증, 여권 등 민감한 정보가 별다른 접근 제어 없이 열람 가능한 상태로 노출되는 사례가 증가하고 있다는 것이다. 이러한 정보가 유출될 경우 단순한 데이터 노출을 넘어 신분 도용이나 금융 사기와 같은 2차 피해로 확산될 가능성이 크다. 실제 해외에서도 이 같은 유출이 금융 사고로 이어지는 사례가 늘어나고 있다.

개인정보 유출 사고의 원인은 보안 규정 미준수에서 비롯되는 경우가 많지만, 현업에서는 쉽게 빈틈이 발생한다고 진단한다. 개발자가 편의성을 이유로 별도 서버를 구축하거나, 테스트 데이터를 삭제하지 않는 등의 사소한 문제도 치명적 보안 사고로 이어질 수 있기 때문이다. 정기적인 보안 검사를 시행하더라도 데이터 이동 경로 추적의 어려움이 여전해 기업 보안 담당자들은 점점 더 복잡한 환경에 직면하고 있다.

이러한 문제는 클라우드 전환이 가속화되면서 심화되고 있다. 정부가 2030년까지 공공 시스템의 90%를 클라우드로 이전하겠다는 목표를 세우며 망분리 규정을 완화했지만, 이 과정에서 보안 공백에 대한 우려도 커지고 있다. 특히, 물리적으로 안전한 내부망 환경에서는 상대적으로 통제가 용이했던 보안 관리가 외부망으로 노출되면서 해킹 공격 표면이 급격히 늘어날 것이라는 예측이다.

MIT 연구진에 따르면 클라우드 인프라를 겨냥한 공격은 2021년에서 2022년 사이 약 2배 증가했고, 해커는 보안이 취약한 협력사와 파트너사를 통해 주요 기업의 시스템에 침투하고 있다. 조사에 따르면 국내 기업 90%는 멀티 클라우드 환경 도입을 계획 중인데, 각 클라우드 서비스 제공업체(CSP)마다 보안 정책이 다르다 보니 이를 통합적으로 관리하기 여의치 않다. 해외 서비스형소프트웨어(SaaS) 서비스 도입률이 80%에 달하는 반면 국내 도입률은 20%에 불과하다는 점을 고려했을 때, 국내 기업들의 체계적인 대응이 요구되는 시점이다.

글로벌 시장에서는 이러한 문제에 대한 해결책으로 ASM(공격 표면 관리, Attack Surface Management) 기술을 주목하고 있다. ASM은 기업의 공격 표면을 실시간으로 모니터링하고, 새로운 자산과 변경 사항을 자동으로 감지하여 보안 상태를 지속적으로 관리한다. 특히 취약점의 위험도를 분석해 우선순위를 정하고, 대응 프로세스를 자동화해 보안 위협에 선제 대응할 수 있도록 지원한다. 글로벌 시장에서는 구글, IBM, 마이크로소프트(MS) 등 주요 기업이 ASM을 도입하고 있다.

국내에서는 ASM 도입이 아직 초기 단계에 머물러 있지만, 관련 기술을 선도하는 기업들이 점차 등장하고 있다. 대표적으로 AI스페라의 'Criminal IP ASM'은 국내 최초의 SaaS 기반 구독형 ASM 서비스다. 공개정보(OSINT) 기술로 수집한 위협 정보를 기반으로 기업의 자산을 실시간 모니터링하고 위험도를 평가하고, 인공지능(AI) 기술을 활용한 자동 분석 리포트를 통해 보안 담당자 의사결정을 지원한다. 현재 크리미널(Criminal) IP ASM은 전 세계 150여개국에 서비스를 제공하며 글로벌 보안 기업들과의 협력을 확대하고 있다.

디지털 전환이 가속화되면서 ASM에 대한 수요가 늘어날지 지켜볼 부분이다. 글로벌 시장조사기관 가트너는 2026년까지 ASM을 활용한 지속적노출관리(CTEM) 프로그램을 도입한 기업이 침해 사고를 3분의 2 이상 줄일 것으로 전망했다.

IT 업계 관계자는 "디지털 전환 속도가 빨라지면서 기업들은 보안 관리의 중요성을 재인식하고 있다"며 "클라우드와 SaaS 도입 확산으로 보안 공백이 커지고 있는 상황에서, 실시간 위협 탐지와 자동화된 보안 관리 체계로 전환하는 것은 기업 경쟁력을 강화하는 핵심 전략으로 자리 잡을 것"이라고 말했다.