since 1992

대한민국 최고 금융경제지

닫기
한국금융신문 facebook 한국금융신문 naverblog

2024.03.29(금)

금융사 홈페이지·구글 등에서 개인신상정보 노출..'OCR' 기술로 개인정보 노출 줄일 수 있어

기사입력 : 2019-03-21 10:43

  • kakao share
  • facebook share
  • telegram share
  • twitter share
  • clipboard copy
ad
ad
[한국금융신문 김경목 기자] 금융기관이 보유하고 있는 개인정보가 이미지 스캔 파일로 각 기관 홈페이지나 구글 검색 창 등에서 노출되는 일이 발생하고 있다.

최근 공공기관 홈페이지에서도 이미지 스캔 파일 방식의 개인 정보 노출이 잇따라 일어나고 있다.

올해 공공기관인 한국인터넷진흥원이 이미지 검색 기능을 도입함으로써 개인정보 노출을 막을 수 있는 대응책을 선보였다. 정부 차원에서 이미지 스캔 방식으로 개인정보 노출에 대응할 수 있는 방안이 마련된 것이다.

이러한 분위기에 맞춰 금융 기관도 이미지 스캔 파일로 확산 중인 개인정보 노출 문제 관련한 대응책을 마련해야 한다는 목소리가 나오고 있다.

보안업계 한 관계자는 "금융사들이 다른 기관에 비해 민감한 개인정보를 더 많이 보유하고 있다보니 관련 정보 노출이 확대되면 사회적으로 더 큰 파장을 야기할 수 있다"며 "금융기관이 개인정보 관리에 더욱 각별히 신경을 써야하고, 이미지 스캔 파일 방식의 개인정보 노출 문제를 해결하기 위해서도 적극적인 방안책 마련에 나서야 한다"고 강조했다.

금융기관들에 OCR 기술을 도입한 후 정기적인 점검에 나서면, 이미지 스캔 방식으로 퍼지는 개인정보 노출 문제를 조금씩 해결해 갈 수 있다고 소개했다.

광학 문자 인식(Optical character recognition: OCR) 기술은 사람이 쓰거나 기계로 인쇄한 문자의 영상을 이미지 스캐너로 획득해 기계가 읽을 수 있는 문자로 변환하는 것을 의미한다.

이미지 인식이 가능한 OCR 기술은 현재 10~15% 정도로 문자 인식에서 부정확성을 나타내고 있다. 이런 부정확성에도 금융사가 OCR 기술을 활용해 반복적인 점검에 나서게 되면, 이미지 스캔 파일로 생기는 개인정보 노출 문제를 서서히 줄여나갈 수 있을 것으로 기대된다.

21일 금융업계와 보안업계 등에 따르면 다수 금융기관들의 홈페이지에서 이미지 스캔 방식으로 회사채 발행기업 인감증명서와 관련 기업 대표이사 주민번호 등 민감한 정보가 아무런 제한없이 노출되고 있는 것으로 나타났다.

또한 구글 검색창에서는 회사채 발행기업 대표이사 이름과 주민번호 앞자리 6개 숫자로 검색하면, 네티즌들이 아무런 제약이 없이 회사채 발행기업의 대표이사 주민번호와 기업 인감증명서 등이 포함된 PDF 파일을 열람할 수 있었다.

금융기관 뿐만 아니라 공공기관 및 민간기업의 홈페이지에서도 최근 들면서 이미지 스캔 파일을 통해 계약서, 증빙자료, 공시 등의 자료에 포함된 개인정보가 노출이 되고 있는 실정이다.

이미지 스캔파일의 경우 과거에는 검색이 불가능해서 개인정보의 노출 사례가 문자 형태의 파일과 게시물에 대해 상대적으로 적었다. 하지만 요즘에는 검색엔진 등 기술 발달로 인해 이미지 스캔 파일의 내용도 확인이 가능해져 개인정보의 노출 문제가 수면위로 드러나게 된 것이다.

특히 금융기관 경우는 고객의 신분증 사본, 계약서 등 민감한 개인정보를 다수 보유하고 있기 때문에 개인정보 보호에 더욱 각별한 주의가 필요한 상황이다.

그는 "과거 카드사 개인정보의 유출 사례를 보면 개인정보의 유출은 큰 사회적 파장을 만들 뿐만 아니라, 신뢰를 기반으로 하는 금융기관의 이미지에도 큰 타격을 입히기도 했다"며 "또한 제2, 제3의 범죄에 악용될 가능성이 높기 때문에 직·간접적인 피해를 입게되는 것은 분명한 사실"이라고 밝혔다.

기존 개인정보 보호가 보안의 관점에서만 이뤄져 왔다면 이제는 홈페이지의 구조와 개인정보 노출 원인을 정확히 파악하고 노출되지 않도록 하는 대책이 필요한 상황이다.

예를 들어 데이터베이스 암호화의 경우에는 홈페이지에서 보여질 때는 복호화돼 보이기 때문에 실효성이 떨어진다.

하지만 파일 암호화의 경우는 담당자의 실수로 암호화가 되지 않거나 권한 설정 오류 등으로 내부용 공개 자료가 외부로 유출될 가능성이 있는 허점이 있다.

홈페이지를 통한 개인정보 노출을 방지하기 위해서는 홈페이지 자체는 물론 외부 검색엔진에 포함된 금융기관의 이미지 스캔 파일에 개인정보가 포함돼 있지 않은지 점검해야 한다.

또한 노출된 개인정보를 삭제하고 관리할 수 있도록 주기적인 개인정보 노출 점검도 필요하다.

그는 "이미지에서 개인정보를 찾아내기 위해서는 이미지에 포함된 문자를 추출해 개인정보를 확인하는 작업이 필요하다"며 "이러한 기술을 OCR기술이라고 한다. 이 기술에도 한계가 존재하는데 매번 문자를 인식할 때마다 10~15% 정도의 부정확성이 나타난다"고 설명했다.

숫자 '1'을 처음에는 알파벳 'I'로 인식했다가 다음 추출 결과에서는 숫자 '1'로 인식하는 경우를 들 수가 있다는 것이다.

또한 이미지 스캔 파일의 형태가 정형화돼 있지 않은 가운데 내용이 기울어져 있거나 해상도가 저하된 상태로 스캔이 된 형태가 많다보니, 이미지 보정 작업으로 정확도를 높이는 작업도 병행되야 한다고 덧붙였다.

개인정보 보호를 위해서 OCR 기술을 이용해 이미지 보정 작업을 하는 것은 물론이고, 1회성이 아닌 반복적인 점검을 통해 개인정보 검색의 정확성을 높이는 것도 필요하다.

정부는 최근 들어 이미지 스캔파일 방식으로 발생하는 개인정보 노출 문제에 적극 대응하는 모습이다.

한국인터넷진흥원은 올해부터 방송통신위원회와 협약해 '개인정보 노출대응 시스템'을 통한 주민등록증과 운전면허증 등 이미지 탐지 및 개인정보 노출 점검 시범 사업을 시작했다.

정갑진 한국인터넷진흥원 개인정보탐지팀 수석은 "지난해 주민등록증, 운전면허증 등 개인정보 이미지를 탐지할 수 있는 엔진이 개발됐다"며 "올해 방통위 시스템을 통해 개인정보 이미지를 탐지하고, 개인정보를 보호하는 시범 사업이 런칭됐다"고 말했다.

행정안전부는 '개인정보 노출대응 시스템'을 운영하고 있다. 주민등록번호 등과 같은 개인정보를 텍스트 방식의 고유식별 정보로 탐지하고 있어서, 방통위의 이미지 탐지와는 구별된다.

정 수석은 "행정안전부에서는 개인정보 노출 조기경보시스템이라는 명칭으로 개인정보 보호 사업을 하고 있다"며 "하지만 고유 식별정보인 '주민등록번호, 운전면허번호, 외국인등록번호' 등 번호를 고유식별 정보로 탐지하는 수준이다. 단순히 텍스트를 탐지하는 것이라서 이미지를 탐지하는 것과는 차이가 있다"고 덧붙였다.

방통위의 개인정보 이미지 탐지 및 개인정보 보호 시범 사업이 아직은 초기 단계지만 이후 가시적인 성과가 나오면 기타 공공기관과 협약이 확산될 것으로 기대된다.

정 수석은 "방통위와 시범 사업에서 차츰 성과를 낸다고 하면 기타 공공기관과 협약을 확대할 수 있을 것"이라며 "또한 민간 쪽에서도 구글이나 인스타그램 등 커뮤니티 사이트에서 발생하는 이미지를 통한 개인정보 노출 사례를 줄여갈 수 있을 것"이라고 밝혔다.

시장에서 OCR 부문에서 우수한 기술력을 갖춘 기업이 있다면, 그 기술을 채택해 이미지 형식의 개인정보 보호 엔진을 활용해 영리 사업을 해도 현재로서는 법적인 제약이 없기 때문에 문제 될 것이 없다고 생각한다고 밝혔다.

공공기관에서 이미지 스캔 파일 방식으로 개인정보 보호에 적극적으로 나서고 있는 만큼 금융기관도 OCR 기술을 활용해 홈페이지나 구글 검색창에서 노출되고 있는 개인정보 이미지 스캔파일 문제 해결에 적극적으로 나서야 할 시점이다.

김경목 기자 kkm3416@fntimes.com

가장 핫한 경제 소식! 한국금융신문의 ‘추천뉴스’를 받아보세요~

데일리 금융경제뉴스 Copyright ⓒ 한국금융신문 & FNTIMES.com

저작권법에 의거 상업적 목적의 무단 전재, 복사, 배포 금지

issue

김경목 기사 더보기

증권 BEST CLICK