계정을 개설하거나 구매를 하거나 앱을 다운로드할 때마다, 여러분은 자신에 관한 정보 일부를 공유하게 됩니다. 그중 일부 데이터는 무해해 보일 수 있습니다. 그러나 다른 세부 정보는 잘못된 사람의 손에 넘어갈 경우 본인 확인이나 계정 접근, 심지어 사기에 악용될 수 있습니다.
어떤 정보가 위험을 초래하는지, 그리고 그것이 어떻게 오용될 수 있는지를 이해하는 것이 디지털 정체성을 보호하기 위한 첫걸음입니다. 무엇을 주의해야 하는지 알게 되면 노출을 줄이고 개인 데이터를 스스로 통제하기가 더 쉬워집니다.
알아야 할 핵심 사항:
- PII에는 이름과 사회보장번호 같은 명백한 정보뿐 아니라 위치 기록이나 기기 식별자 같은 간접 데이터도 포함됩니다.
- 일부 PII는 여러분을 직접 식별하지만, 다른 데이터는 서로 연결될 때 식별 정보가 됩니다.
- 노출된 PII는 신원 도용, 사기, 피싱, 계정 탈취로 이어질 수 있습니다.
- 기업은 프라이버시 및 데이터 보호 법률에 따라 PII를 신중하게 처리해야 합니다.
- 공유 범위를 제한하고 계정을 보호하면 위험을 줄일 수 있습니다. 많은 사람은 오남용 여부를 모니터링하기도 합니다.
개인 식별 정보(PII)란 무엇인가요?
개인 식별 정보(PII)는 개인을 직접 또는 간접적으로 식별하는 데 사용할 수 있는 모든 정보입니다.
데이터는 사회보장번호처럼 한 개인에게만 고유할 수도 있고, 출생지와 생년월일처럼 일반적인 데이터 조각을 결합해 개인을 식별할 수 있는 ‘준식별자’일 수도 있습니다.
PII는 이름과 ID 번호에서부터 이메일 주소, IP 주소, 위치 데이터에 이르기까지 다양합니다. 노출 위험과 PII를 인터넷에서 어떻게 보호하거나 제거해야 하는지를 이해하는 것이 중요합니다.
개인 식별 정보의 예시는 무엇인가요?
PII는 여러분을 식별할 수 있는 모든 정보를 포함합니다. 일부 데이터 포인트는 그 자체로는 무해해 보일 수 있습니다. 그러나 함께 결합되면 누군가의 정체를 빠르게 좁힐 수 있습니다. Kaspersky의 연구에 따르면 개인 식별 정보는 침해 사고에서 가장 흔히 노출되는 데이터 가운데 하나로, 약 43%의 사례에서 나타났습니다. 이는 이러한 유형의 데이터가 얼마나 자주 위험에 처하는지를 보여줍니다.
직접 식별자
직접 식별자는 추가 맥락 없이도 특정 개인을 명확히 지목합니다. 예시는 다음과 같습니다.
- 신용카드 정보
- 사회보장번호
- 운전면허 번호
- 여권 번호 및 세부 정보
- 은행 계좌 정보
- 의료 기록
- 지문, 얼굴 인식 데이터 등 생체정보 및 식별자
이런 유형의 정보가 노출되면 신원 도용이나 금융 사기로 빠르게 이어질 수 있습니다.
간접(준) 식별자
간접 또는 준식별자는 덜 명확할 수 있습니다. 다음이 포함됩니다.
- ZIP 코드
- 인종
- 종교
- 성별
- 생년월일
- 출생지
- 전체 이름
- 고용 정보 및 이력
- 학력 상세
- 이메일 주소 또는 우편 주소
- 전화번호
- 어머니의 결혼 전 성(성씨)
- 부모, 형제자매, 배우자, 자녀 등 전기적 정보
- 온라인에서 수집되는 IP 주소와 기기 관련 식별자
이러한 세부 정보는 평범해 보일 수 있지만, 서로 연결되면 예상보다 더 많은 것을 드러내고 위험을 높일 수 있습니다.
보건의료 분야에서의 PII란?
보건의료 환경에서는 PII를 보호 건강 정보(PHI)라고 부르기도 합니다. PHI는 미국의 HIPAA 같은 법률 아래 특정 개인과 연결될 수 있는 의료 또는 건강 관련 데이터를 포함합니다.
PHI는 일반적으로 기본적인 PII(이름 또는 생년월일)에 진단, 치료 기록, 처방전, 보험 정보 같은 의료 세부 정보를 결합합니다. 이러한 요소를 연결하면 개인에 대해 매우 많은 정보를 파악할 수 있습니다.
환자의 경우, 이는 온라인 포털, 보험 청구, 예약 시스템, 청구 기록 등에 잠재적으로 영향을 미칩니다. 건강 데이터는 개인적이고 장기적이기 때문에, PHI를 보호하는 것은 신원 도용이나 의료 기록 오남용을 방지하는 데 매우 중요합니다.
민감한 PII와 비민감한 PII의 차이는 무엇인가요?
차이는 영향에 있습니다. 민감도는 정보가 노출되었을 때 발생할 수 있는 피해의 정도에 따라 달라집니다.
민감한 PII는 신원 도용이나 금융 사기로 곧바로 이어질 수 있습니다. 비민감한 PII는 그 자체로는 무해해 보일 수 있으며, 정확한 식별을 위해 다른 데이터에 의존합니다.
여권 번호나 운전면허 번호는 민감한 정보로 간주됩니다. 노출될 경우 그 자체만으로도 해로울 수 있습니다. 고용 또는 학력 이력은 비민감한 PII의 예입니다.
‘비민감’ 데이터라도 서로 연결되면 위험해질 수 있습니다. 예를 들어, 이름에 생년월일과 위치가 더해지면 정체를 빠르게 좁힐 수 있습니다. 반대로 IP 주소만으로는 개인을 명확히 지목하지 못할 수 있습니다. 그러나 로그인 기록과 기기 지문과 연결되면 특정 사용자로 지목될 수 있습니다.
범죄자들이 개인 식별 정보를 노리는 이유는 무엇인가요?
범죄자들은 PII를 노립니다. 다양한 형태의 사기와 계정 탈취에 활용할 수 있기 때문입니다.
탈취된 정보는 금융 계정에 직접 접근하거나 비밀번호를 재설정하는 데 사용될 수 있습니다. 또한 묶음으로 다크웹에서 판매되거나 거래되어, 이를 이용해 사기를 치는 다른 범죄자에게 넘어갈 수 있습니다. PII는 사기꾼에게 매우 가치가 있습니다.
피해자에게는 금전적 손실과 신용 훼손 같은 장기적인 문제가 발생할 수 있습니다. 계정과 신원을 복구하는 과정은 길고 어려울 수 있습니다.
PII는 어떻게 도난당하나요?
PII는 복잡한 해킹보다는 일상적인 경로를 통해 도난당하는 경우가 많습니다.
가장 흔한 경로는 피싱 또는 스미싱입니다. 가짜 이메일이나 문자 메시지가 링크 클릭 또는 정보 확인을 요구하지만, 실제로는 여러분의 정보를 훔쳐 악용하거나 판매하려는 수법입니다. 소셜 엔지니어링 사기도 같은 방식으로, 압박과 긴급함을 내세워 정보를 직접 제공하도록 유도합니다.
데이터 유출과 악성코드 공격도 또 다른 주요 원인입니다. 기업이 해킹당하면 고객의 중요한 계정 정보가 대량으로 노출될 수 있습니다. 이는 전 세계적으로 알려진 기업에서도 발생할 수 있습니다. 예를 들어, 최근 PayPal 대출 앱의 코드 오류로 인해 일부 고객 데이터가 수개월 동안 노출된 사례가 있었습니다.
분실한 기기나 안전하지 않은 공용 Wi-Fi를 통해 PII가 노출될 수도 있습니다. 보안이 취약한 연결은 공격자에게 저장된 계정과 저장 자격 증명에 접근 권한을 줄 수 있습니다.
주의해야 할 경고 신호:
- 계정 또는 결제 정보를 긴급히 확인하라는 메시지
- 일회용 코드나 비밀번호 공유 요청
- 비밀번호가 없는 보안되지 않은 공용 Wi-Fi 네트워크
- 예기치 않은 청구나 로그인 알림
여러분이 사용하는 서비스와 관련된 데이터 유출에 대한 뉴스(신뢰할 수 있는 출처)를 확인하는 것도 중요합니다.
민감한 데이터를 보호하세요
Kaspersky Premium은 PII를 보호하기 위해 설계된 다양한 도구를 제공합니다. 파일 암호화, 안전한 비밀번호 사용, 연결을 비공개로 유지하는 보안 VPN 등 민감한 데이터를 보호하는 도구가 포함됩니다.
Premium 무료로 사용해 보기개인 식별 정보를 보호하는 법률은 무엇인가요?
전 세계적으로 개인 데이터를 보호하고, 개인에게 자신의 정보에 대한 특정 권리를 부여하도록 설계된 법률이 다수 존재합니다. 각국은 이러한 데이터에 관한 자체 법률을 제정하지만, 동일한 프레임워크를 사용할 수 있습니다.
- GDPR(General Data Protection Regulation)은 EU의 사람들에게 자신의 개인 데이터에 대한 열람, 정정, 삭제 요청 권리를 부여합니다.
- CCPA/CPRA(California Consumer Privacy Act 및 California Privacy Rights Act)은 캘리포니아 주민이 수집되는 데이터가 무엇인지 알 수 있도록 하며, 삭제 또는 판매 거부를 요청할 수 있게 합니다.
- 1974년 프라이버시법은 미국 연방 기관이 개인 정보를 수집·이용하는 방식을 규제합니다.
- HIPAA(Health Insurance Portability and Accountability Act)은 의료 제공자와 보험사가 처리하는 건강 관련 정보를 보호합니다.
- PCI DSS(Payment Card Industry Data Security Standard)은 신용카드 데이터를 처리하는 기업을 위한 보안 요건을 규정합니다.
- PDPA(Singapore Personal Data Protection Act)은 싱가포르에서 데이터 수집, 사용, 공개에 대한 규칙을 정합니다.
- POPIA(South Africa’s Protection of Personal Information Act)은 개인 데이터의 적법한 처리 조건을 확립합니다.
- PDPL(Saudi Arabia’s Personal Data Protection Law)은 2024년에 전면 시행되었습니다. 사우디아라비아 왕국 내에서 데이터 보호 권리와 의무를 제공합니다.
개인 식별 정보를 어떻게 보호할 수 있나요?
PII를 보호한다는 것은 노출을 줄이고, 또한 공격자가 찾아낸 정보를 악용하기 어렵게 만드는 것을 의미합니다. 계정 탈취와 신원 오남용에 대응하기 위해 구현할 수 있는 간단한 방법이 여러 가지 있습니다.
계정 보안을 강화하세요
모든 계정에 강력하고 고유한 비밀번호를 사용하고, 추가 보안을 위해 비밀번호 관리자를 이용하세요. 가능한 곳에서는 다중 요소 인증을 활성화해 보안을 한층 높이세요.
유출 경보를 통해 노출된 자격 증명이 있는지 확인하고, 노출된 비밀번호는 신속히 변경하세요.
온라인에서 공유하는 정보를 제한하세요
소셜 미디어 프라이버시 설정을 검토하고 불필요한 공개 정보를 제거하세요. 공개하기를 진심으로 원하는 정보만 남기세요. 전체 생일, 집 주소, 실시간 위치 공유는 피하세요.
정보 공유를 유도하는 모든 것에 주의하세요. 보안 질문을 흉내 낸 퀴즈나 게시물이 포함될 수 있습니다. 이는 정보를 수집하기 위해 특별히 만들어진 사기일 수 있습니다.
기기와 연결을 보호하세요
가능한 한 보호받을 수 있도록 보안 설정과 기술을 사용하세요. 기기를 최신 상태로 유지하고 화면 잠금과 내장 암호화를 사용하는 것이 좋습니다.
공용 Wi-Fi에서는 VPN 사용도 권장합니다. 도청 위험을 줄일 수 있습니다. 공용 연결에는 위험이 따릅니다.
추적과 데이터 수집을 줄이세요
추적 역시 정보에 대한 위협입니다. 프라이버시 설정을 조정하고 타사 쿠키를 제한해 인터넷 연결과 기기 세부 정보가 추적되는 방식을 줄이세요. 앱 권한을 검토하고, 데이터를 위험에 빠뜨릴 수 있는 불필요한 추적 또는 감시 기능을 비활성화하세요.
필요하지 않은 앱의 위치 접근 등을 제한해 데이터가 추적되어 식별에 사용될 가능성을 낮추세요.
전문가들은 브라우저 프라이버시 설정 최적화(타사 쿠키 비활성화, 웹사이트 추적 방지, 광고 제한), 정기적인 검색 기록(쿠키와 캐시 포함) 삭제, 불필요한 확장 프로그램 제거도 권장합니다.
신원 오남용을 모니터링하세요
세심히 살피고 계정에 대한 알림을 설정하면 도움이 될 때가 많습니다. 은행 및 신용카드 계정에 거래 알림을 활성화해 지출 발생 시 확인하세요. 생소한 활동이 있는지 정기적으로 신용 보고서를 확인하는 것이 좋습니다. US에서는 Experian, TransUnion, Equifax라는 ‘빅3’ 신용평가기관이 무료 보고서를 제공합니다.
지속적인 관리를 원한다면 신원 모니터링 또는 세탁(스크러빙) 서비스가 추가적인 가시성을 제공할 수 있습니다.
인터넷에서 개인 정보를 어떻게 제거할 수 있나요?
온라인에서 PII를 제거하는 것은 가능하지만, 일회성 해결책이 아니라 과정이 될 수 있습니다. 목표는 중요한 곳에서의 노출을 줄이는 것입니다.
주요 팁은 다음과 같습니다.
- 사용하지 않는 계정을 삭제하거나 비활성화하세요. 오래된 포럼 사이트와 앱에는 더 이상 온라인에 남아 있을 필요가 없는 개인 정보가 저장되어 있을 수 있습니다. 소셜 미디어 사이트에는 많은 정보가 저장되어 있을 수 있습니다. 가능한 경우 이러한 곳에서 자신의 데이터를 제거하세요.
- 소셜 미디어 프라이버시 설정을 강화하세요. 프로필을 볼 수 있는 사람과 공개되는 정보를 제한하세요. 전화번호나 전체 생년월일 같은 개인 정보를 제거하세요.
- 삭제를 요청하세요. 웹사이트 소유자에게 오래되었거나 불필요한 본인 관련 정보를 삭제해 달라고 요청할 수 있습니다. 경우에 따라 검색 엔진 결과에서 특정 개인 정보의 제거를 요청할 수도 있습니다.
- 데이터 중개업체 옵트아웃. 많은 기업이 개인 데이터를 수집해 재판매합니다. 직접 옵트아웃 요청을 제출하거나, 정보가 널리 게시되어 있다면 신뢰할 수 있는 제거 서비스를 이용할 수 있습니다.
- 온라인상의 PII를 재점검하세요. 개인 정보는 시간이 지나면서 다시 나타날 수 있습니다. 제거를 한 번으로 끝내지 말고, 주기적으로 검토하고 정리하는 것이 중요합니다.
PII가 노출되면 무엇을 해야 하나요?
PII가 노출되었다면, 당황하지 않도록 하세요. 추가 접근을 제한하고 금전적 피해를 줄이는 조치에 우선순위를 두세요.
- 먼저 계정을 보호하세요. 비밀번호를 변경하고, 특히 이메일 비밀번호를 변경하세요. 가능하면 다중 요소 인증(MFA)을 활성화하세요.
- 무단 활동이 있는지 확인하세요. 계정 로그인과 최근 거래, 보안 설정 변경 여부를 검토하세요.
- 은행 또는 카드사에 연락하세요. 의심스러운 청구를 신고하고 추가 보호 조치에 대해 문의하세요.
- 필요하다면 신용 동결을 하세요. 신용 동결은 데이터를 확보할 때까지 여러분의 이름으로 새로운 계정이 개설되는 것을 막을 수 있습니다.
- 명세서와 알림을 모니터링하세요. 지속적인 오남용이 있는지 금융 및 계정 활동을 주시하세요.
- 신원 도용을 신고하세요. 예를 들어 UK에서는 경찰의 Prevent Fraud 부서에 간단히 신고하거나 0300 123 2040으로 전화할 수 있습니다.
후속 사기에 주의하세요. 공격자는 때때로 유출 이후 ‘복구’ 서비스나 보안 팀을 사칭합니다. 추가 정보를 공유하기 전에 항상 독립적으로 확인하세요.
관련 기사:
- 데이터 유출과 관련된 위험은 무엇인가요?
- 온라인 위협으로부터 프라이버시를 최적으로 보호하려면?
- 데이터 유출의 주요 원인은 무엇인가요?
- 인터넷은 개인 프라이버시와 데이터 보호에 어떤 영향을 미치나요?
추천 제품:
FAQ
IP 주소는 PII로 간주되나요?
그 자체만으로는 IP 주소가 개인을 직접 식별하지 못할 수 있지만, 다른 데이터나 계정 기록과 연결되면 개인 식별이 가능해질 수 있습니다.
PII와 개인 데이터의 차이는 무엇인가요?
PII는 식별 가능한 정보를 설명할 때 흔히 사용하는 용어입니다. ‘개인 데이터’는 GDPR 같은 규정에서 사용되는 더 넓은 개념으로, 추가 유형의 데이터가 포함될 수 있습니다.
PII와 PHI의 차이는 무엇인가요?
PII는 일반적인 식별 정보를 포괄합니다. PHI는 개인과 연결된 건강 관련 정보를 구체적으로 가리키며 HIPAA 같은 법률의 보호를 받습니다.
인터넷에서 자신의 PII를 완전히 제거할 수 있나요?
완전한 제거는 드뭅니다. 지속적인 모니터링과 주기적인 정리가 보다 현실적인 접근 방식입니다.
