개인 식별 정보(PII)

무엇이 개인 식별 정보에 해당하나요?

개인 식별 정보(PII)는 운전면허증이나 여권에 필요한 데이터와 같이 개인의 신원을 정확하게 파악할 수 있는 직접적인 식별자를 포함할 수 있는 모든 정보를 말합니다. 이러한 신분증, 장부 또는 기타 문서에 있는 정보에는 집 주소와 주민등록번호 또는 운전면허증 번호가 포함될 수 있습니다.

인종적 유산에 관한 정보와 같은 준식별자는 생년월일(DOB)을 비롯한 다른 준식별자와 결합하여 개인을 성공적으로 식별하는 데 사용할 수 있습니다.

다음은 기업이 개인을 식별하는 데 사용하는 주요 PII 유형입니다:

• 전체 이름
• 우편 주소
• 전화 번호
• 이메일 주소
• 의료 기록
• 신용카드 번호, 은행 계좌 또는 신용 보고서 정보와 같은 금융 정보
• 여행 장소 및 날짜 등의 여권 정보
• 인터넷 계정 번호 및 비밀번호
• 생체 인식 정보

비민감 및 간접 PII에는 앞서 언급한 준식별정보가 포함되며, 이는 종종 공공 기록의 문제이거나 익명으로 수집되어 그 자체만으로는 개인과 쉽게 연결되지 않는 경우가 많습니다.

다음은 민감하지 않은 PII의 몇 가지 예입니다:

• 우편번호
• 인종
• 성별
• 생년월일
• 출생지
• 종교

이러한 준식별자 각각은 직접 식별자와 함께 개인을 식별하는 도구로 사용될 수 있지만, 그 자체로는 악의적인 행위자에게는 거의 가치가 없습니다. 많은 비민감 PII는 운전면허증, 여권 또는 청구 기록의 구성 요소입니다. 하지만 직접적인 식별자가 없으면 아무리 뛰어난 해커라도 사기 목적으로 이를 사용하려고 시도할 때 막다른 골목에 부딪히는 경우가 많습니다.

누가 공식적으로 개인 식별 정보를 수집하나요?

오늘날 거의 모든 비즈니스는 어느 정도 PII를 수집, 저장, 전송 및 처리합니다. 그러나 의료 기관이나 자동차 부서 또는 국과 같은 일부 조직은 다른 조직보다 더 민감한 정보를 보유하고 있습니다.

이를 통해 빅 데이터는 오늘날 비즈니스의 주요 동력이 되었으며, 기업들은 고객의 구매 패턴, 검색 행동, 지리적 위치 등에 대한 인사이트를 얻을 수 있습니다. 즉, 데이터가 현대 비즈니스의 구성 요소가 되었으며 소비자는 항상 더 많은 PII를 제공하고 있습니다.

개인 식별 정보에 접근하려는 일부 비공식 악의적 행위자

이러한 중요한 정보를 공유할 때 발생하는 문제는 데이터 유출이 지속적으로 증가하고 있다는 점입니다. 사이버 공격자들은 이러한 정보의 가치를 인식하고 있으며, 이는 금융 정보를 포함한 누군가의 인생 스토리를 알아내는 지름길로 작용합니다.

해커가 데이터 유출 피해자의 정보를 직접 훔칠 수 없는 경우, 피해자의 사회보장번호를 사용하여 신용카드 계좌 개설 등을 시도함으로써 개인의 평판을 손상시킬 수 있습니다.

개인 식별 정보가 해커와 사기꾼에게 중요한 이유는 무엇인가요?

사이버 공격자들은 데이터 유출을 통해 가능한 모든 부당한 이득을 얻을 방법을 끊임없이 찾고 있습니다. PII는 세부 정보가 풍부하여 병원, 은행 또는 국세청을 신뢰해야 하는 개인을 빠르고 쉽게 식별하고 위협할 수 있습니다.

도둑은 어떻게 개인 식별 정보에 접근하나요?

데이터 도난과 대규모 데이터 유출이 너무 흔해져서 개인은 자신에게 직접적인 영향을 미치지 않는 한 거의 주의를 기울이지 않습니다.

모두가 고려해야 할 가까운 곳의 위험도 있습니다. 사실 우리 모두는 매일 PII를 공유하기 때문에 모든 사람에게 위험이 도사리고 있으며, 일단 제3자의 손에 넘어가면 다른 신발이 떨어질 때까지 기다리는 것과 같은 느낌입니다.

다음은 도둑이 개인이 원하든 원하지 않든 개인 정보를 통해 개인을 알아내는 몇 가지 방법입니다:

• 사서함 도난. 온라인 뱅킹과 청구서 결제 덕분에 우편물을 우편함에 며칠씩 방치하는 경우가 많습니다. 각 우편물에는 차량국의 통지서, 의료비 청구서, 신용카드 명세서 등 다양한 데이터가 들어 있습니다.
• 덤프스터 다이빙. 쓰레기통이나 쓰레기통은 우편함 다음 단계이므로 범죄자가 누군가의 현관으로 들어가는 위험을 감수하고 싶지 않다면 쓰레기통을 이용하는 것이 더 안전합니다. 버려진 메일에서도 큰 관심을 끌지 않고도 동일한 정보를 모두 찾을 수 있습니다.

범죄자가 PII에 액세스하는 다른 방법으로는 보안되지 않은 무선 액세스, 분실물 사고, 피싱, 사칭 사기, 소셜 미디어, 사회 공학적 수법 등이 있습니다.

이는 도둑이 개인의 신원에 접근하는 몇 가지 다른 방법일 뿐입니다. 하지만 개인 정보나 식별 정보를 훔치기 위해 시작된 데이터 유출 사고만큼이나 개인에게도 위험합니다.

GDPR은 PII를 어떻게 처리하나요?

유럽연합(EU) 소비자의 개인정보 보호와 데이터 보호를 주요 목표로 하는 일반 개인정보 보호 규정 GDPR이 2019년 5월에 발효되었습니다. GDPR에 따라 EU 및 전 세계 모든 기업은 데이터, 직원, 고객, 타사 공급업체를 보호하기 위한 광범위한 요구 사항을 준수해야 합니다.

비즈니스가 보호해야 하는 정보에는 PII가 포함되며, 모든 비즈니스는 이를 안전하게 보호해야 할 법적 의무가 있습니다.

유럽 의회는 무엇보다도 EU 소비자를 보호하기 위해 GDPR을 설계했으며, 이는 기본적으로 소비자에게 자신의 PII를 자유롭게 관리할 수 있는 권한을 부여합니다. 다음은 EU 소비자가 비즈니스를 수행할 때 자신의 개인 정보를 제어할 수 있는 몇 가지 방법입니다:

• 비즈니스에 PII 삭제 요청
• 사실 오류 수정 요청
• 저장된 개인 데이터에 대한 액세스 요청
• 검토 및 사용을 원하는 경우 개인 데이터 내보내기를 요청할 수 있습니다.

기업이 PII를 보호할 수 있는 가장 좋은 방법은 무엇인가요?

모든 비즈니스는 모두의 이익을 위해 고객 PII를 보호하기 위한 특별한 조치를 취할 수 있습니다. 온라인을 비롯한 모든 곳에서 이 중요한 정보를 범죄자로부터 안전하게 보호하는 가장 좋은 몇 가지 방법을 소개합니다:

• 전자적으로 공유하거나 저장할 때 데이터 암호화하기
• 스마트폰, 태블릿, 노트북에 강력한 비밀번호 정책을 구현하세요.
• 직원들이 각 웹사이트, 애플리케이션, 계정마다 다른 비밀번호를 사용하도록 권장하세요.
• 웹사이트 보안 질문과 같은 추가 보안 프로토콜 만들기
• 사용하지 않는 컴퓨터와 기타 디바이스는 폐기하거나 기부하기 전에 하드 드라이브를 제거하고 파기하는 등 각별히 주의하세요. 마지막으로 수행해야 할 단계는 장치를 원래 설정으로 복원하여 폐기하기 전에 지워지는지 확인하는 것입니다.
• 문서 세단기를 사용하여 하드카피 문서를 적절히 폐기하세요. 각 문서를 철저히 파쇄하여 PII를 식별할 수 없도록 하세요.
• 직원과 경영진에게 PII가 포함된 문서를 복사기나 파일 작업 중 멈출 수 있는 다른 곳에 두지 않도록 상기시키세요.

기업이 PII에 대한 경계를 늦추지 않을수록 데이터 유출 및 기타 위협으로부터 안전하게 보호할 수 있는 확률이 높아집니다.