'정보 유출' 美 T모바일, 고객에 3억5000만弗 배상

'정보 유출' 美 T모바일, 고객에 3억5000만弗 배상 (사진 출처 : 연합뉴스)

정보 유출의 경각심 : 제로 트러스트 모델의 필요성

 

최근 몇 년 사이에 정보 유출 사건이 빈번하게 발생하면서, 많은 기업과 소비자들 사이에 불안감이 커지고 있습니다. 특히, 2020년대 들어 미국의 주요 통신사인 T모바일과 AT&T에서 발생한 고객 정보 유출 사건은 많은 이들에게 충격을 안겼습니다. T모바일은 2021년에 7660만 명의 고객 정보가 유출되는 사건을 겪었고, 고객 이름, 생년월일, 사회보장번호 등이 포함된 신용 데이터가 외부로 유출되었습니다. 이로 인해 소비자들은 T모바일을 상대로 법원에 소송을 제기했고, 결국 T모바일은 3억5000만 달러를 배상하게 되었습니다. 피해 고객은 그 규모에 따라 최대 2만5000달러의 보상을 받을 수 있었습니다.

 

한편, AT&T는 2023년에 고객 890만 명의 데이터가 유출된 사건을 겪었습니다. 이 사건에서는 고객의 이름, 무선전화 번호, 통화량, 요금제 등의 정보가 포함되었습니다. AT&T는 이로 인해 미국 연방통신위원회(FCC)에 1300만 달러의 과징금을 납부해야 했습니다. 뿐만 아니라, 지난해에는 AT&T의 고객 1억900만 명의 통화 및 문자 기록이 해킹당해 큰 파문이 일기도 했습니다. 이러한 사건들은 단순히 기업의 문제에 그치지 않고, 소비자들의 개인정보가 얼마나 위험에 노출될 수 있는지를 여실히 보여줍니다.

 

이러한 상황에서 정보 보호를 위한 새로운 접근 방식이 필요합니다. 바로 '제로 트러스트(Zero Trust)' 모델입니다. 제로 트러스트는 시스템 접근부터 데이터 열람까지 모든 과정에서 신원 확인과 검증을 반복하는 보안 체계를 의미합니다. 이 모델은 "아무도 믿지 말라"는 원칙을 기본으로 하여, 기존 보안 체계와는 다르게 서버, 컴퓨팅, 데이터 등을 각각 분리하여 보호합니다. 이는 특정 시스템이 뚫리더라도 다른 시스템은 보호될 수 있는 구조를 갖추고 있습니다.

 

해외에서는 이미 제로 트러스트를 적극적으로 도입하고 있습니다. 미국의 경우, 2019년 국립표준기술원(NIST)이 '제로 트러스트 아키텍처'를 공개하며 사이버 안보 가이드라인을 마련했습니다. 영국은 2021년 7월에 국가 사이버보안센터(NCSC)가 제로 트러스트 아키텍처 설계 원칙을 제시했습니다. 또한, 일본은 2020년 6월에 정부 정보시스템에 제로 트러스트 적용을 위한 사고방식을 도입하였고, 중국 역시 2022년 6월에 '제로 트러스트 참조 아키텍처' 초안을 발표했습니다.

 

제로 트러스트 모델의 장점은 기존 보안 체계와 비교했을 때 더욱 강화된 보안성을 제공합니다. 기존의 보안 체계는 일단 내부 네트워크에 접근할 수 있는 사용자에 대해 신뢰를 두고 그 이후의 보안 조치를 취하는 반면, 제로 트러스트는 모든 사용자와 기기를 의심하고 검증하는 접근 방식을 취합니다. 이로 인해 보안 위협을 사전에 차단할 수 있는 가능성이 높아집니다.

 

기업들이 제로 트러스트 모델을 실제로 적용하기 위해서는 몇 가지 방법론이 있습니다. 첫째, 모든 사용자와 기기에 대해 강력한 인증 절차를 도입해야 합니다. 둘째, 접근 권한을 최소한으로 제한하고, 필요 시에만 특정 자원에 대한 접근을 허용해야 합니다. 셋째, 모든 데이터와 애플리케이션에 대한 지속적인 모니터링과 감사가 필요합니다. 이를 통해 기업은 사이버 공격에 대한 방어력을 높일 수 있습니다.

 

제로 트러스트 모델은 정보 보호의 새로운 패러다임으로 자리 잡아가고 있습니다. 앞으로도 더욱 많은 기업들이 이 모델을 도입하여 사이버 보안에 대한 경각심을 높이고, 고객들의 개인정보를 보다 안전하게 보호할 수 있기를 기대합니다.

 

이러한 흐름 속에서 정보 보호는 단순한 선택이 아닌 필수가 되어가고 있습니다. 제로 트러스트 모델이 정보 보호의 기준으로 자리 잡을 수 있도록 기업과 소비자 모두가 함께 노력해야 할 때입니다.