개인 식별 정보(PII)는 사회보장번호, 성명, 이메일 주소 또는 전화번호 등 개인의 신원을 파악 및 도용하는 데 사용할 수 있는 특정 개인과 관련된 모든 정보입니다.
사람들이 업무와 개인 생활에서 정보 기술에 점점 더 의존하게 되면서 조직과 공유되는 PII의 양이 증가했습니다. 예를 들어, 기업은 시장을 파악하기 위해 고객의 개인 데이터를 수집하고, 소비자는 서비스 가입과 온라인 쇼핑을 위해 전화번호와 집 주소를 기꺼이 알려줍니다.
PII를 공유하면 기업이 탐색 앱에 더 관련성 높은 검색 결과를 제공하는 등 고객의 필요와 요구에 맞게 제품과 서비스를 맞춤화할 수 있으므로 이점이 있습니다. 그러나 조직이 축적하는 PII의 저장소가 늘어나면서 사이버 범죄자들의 관심을 끌고 있습니다.
해커는 PII를 훔쳐 신원을 도용하거나 암시장에 판매하거나 랜섬웨어를 통해 포로로 잡습니다. IBM의 2024년 데이터 유출 비용 보고서에 따르면 랜섬웨어 공격으로 인한 데이터 유출의 평균 비용은 568만 달러였습니다. 개인과 정보 보안 전문가는 이러한 공격에 맞서 데이터 프라이버시를 유지하기 위해 복잡한 IT 및 법률 환경을 탐색해야 합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
PII에는 직접 식별자와 간접 식별자의 두 가지 유형이 있습니다. 직접 식별자는 개인에게 고유한 것으로 여권 번호나 운전면허증 번호 등이 포함됩니다. 일반적으로 하나의 직접 식별자만으로도 누군가의 신원을 확인할 수 있습니다.
간접 식별자는 고유하지 않습니다. 여기에는 인종, 출생지 등 보다 일반적인 개인 정보가 포함됩니다. 하나의 간접 식별자만으로는 개인을 식별할 수 없지만, 여러 개를 조합하면 개인을 식별할 수 있습니다. 예를 들어, 미국 시민의 87%는 성별, 우편번호 및 생년월일만으로 식별될 수 있습니다.
모든 개인 데이터가 PII로 간주되는 것은 아닙니다. 예를 들어, 개인의 스트리밍 습관에 대한 데이터는 PII가 아닙니다. 넷플릭스에서 시청한 내용만으로 누군가를 식별하는 것은 불가능하지는 않더라도 어렵기 때문입니다. PII는 은행에 연락할 때 신원을 확인하기 위해 제공할 수 있는 정보와 같이 특정 개인을 가리키는 정보만을 의미합니다.
PII 중에서도 일부 정보는 다른 정보보다 더 민감합니다. 민감한 PII는 개인을 직접 식별하는 민감한 정보로, 유출되거나 도난당할 경우 심각한 피해를 입을 수 있습니다.
사회보장번호(SSN)는 민감한 PII의 좋은 예입니다. 많은 정부 기관과 금융 기관이 SSN을 사용하여 사람들의 신원을 확인하기 때문에 SSN을 훔친 범죄자는 피해자의 세금 기록이나 은행 계좌에 쉽게 액세스할 수 있습니다. 민감한 PII의 다른 예로는 다음과 같은 것들이 있습니다.
민감한 PII는 일반적으로 공개적으로 사용할 수 없으며, 대부분의 기존 데이터 개인 정보 보호법에 따라 조직은 PII를 암호화 하거나, 액세스하는 사람을 제어하거나, 기타 사이버 보안 조치를 취하여 PII를 보호해야 합니다.
민감하지 않은 PII는 유출되거나 도난당하더라도 개인에게 심각한 피해를 입히지 않는 개인 데이터입니다. 이는 사람마다 고유할 수도 있고 그렇지 않을 수도 있습니다. 예를 들어, 소셜 미디어 닉네임은 민감하지 않은 PII로, 누군가를 식별할 수 있지만 악의적인 행위자는 소셜 미디어 계정 이름만으로 신원 도용을 저지를 수 없습니다. 민감하지 않은 PII의 다른 예로는 다음과 같은 것들이 있습니다.
민감하지 않은 PII는 공개적으로 이용 가능한 경우가 많습니다. 예를 들어, 전화번호는 전화번호부에 기재될 수 있고, 주소는 지방 정부의 공공 재산 기록에 기재될 수 있습니다. 일부 데이터 개인정보 보호 규정은 민감하지 않은 PII를 보호할 것을 요구하지 않지만, 많은 기업이 안전 장치를 마련하고 있습니다. 범죄자들이 민감하지 않은 여러 개의 PII를 조합하여 문제를 일으킬 수 있기 때문입니다.
예를 들어, 해커는 전화번호, 이메일 주소 및 어머니의 결혼 전 이름으로 누군가의 은행 계좌 앱에 침입할 수 있습니다. 이메일은 사용자 이름을 제공합니다. 전화번호를 스푸핑하면 해커가 인증 코드를 받을 수 있습니다. 어머니의 결혼 전 이름은 보안 질문에 대한 답을 제공합니다.
중요한 점은 어떤 것이 민감한 PII로 간주되는지 또는 민감하지 않은 PII로 간주되는지는 상황에 따라 크게 달라진다는 점입니다. 전체 이름 자체는 민감하지 않을 수 있지만 특정 의사를 방문한 사람들의 목록은 민감할 수 있습니다. 마찬가지로 개인의 전화번호는 공개적으로 사용할 수 있지만 소셜 미디어 사이트에서 이중 인증에 사용되는 전화번호 데이터베이스는 민감한 PII가 될 수 있습니다.
컨텍스트에 따라서도 어떤 항목이 PII로 간주될지 여부가 결정됩니다. 예를 들어, 집계된 익명의 지리적 위치 데이터는 단일 사용자의 신원을 분리할 수 없기 때문에 일반적인 개인 데이터로 간주되는 경우가 많습니다.
그러나 익명화된 위치 데이터의 개별 기록은 최근 연방거래위원회(FTC) 소송에서 증명된 바와 같이 개인정보(PII)가 될 수 있습니다.
FTC는 데이터 브로커 Kochava가 PII로 간주되는 지리적 위치 데이터를 판매하고 있다고 주장하는데, 그 이유는 "회사의 맞춤형 데이터 피드를 통해 구매자가 특정 모바일 장치 사용자를 식별하고 추적할 수 있기 때문입니다. 예를 들어 야간에 모바일 장치의 위치는 사용자의 집 주소일 가능성이 높으며, 부동산 기록과 결합하여 사용자의 신원을 파악할 수 있습니다."
또한 기술이 발전하면서 더 적은 정보만으로도 사람을 식별하기가 쉬워지면 일반적인 PII의 기준이 낮아질 수도 있습니다. 예를 들어 IBM과 메릴랜드 대학의 연구원들은 알고리즘을 고안했습니다. 익명의 위치 데이터를 소셜 네트워킹 사이트에서 공개적으로 사용할 수 있는 정보와 결합하여 특정 개인을 식별하는 알고리즘입니다.
McKinsey에 따르면 75%의 국가가 PII의 수집, 보유 및 사용을 관리하는 데이터 개인정보 보호법을 시행하고 있습니다. 관할 구역마다 규정이 다르거나 심지어 모순되는 규정이 있을 수 있으므로 이러한 규정을 준수하는 것은 어려울 수 있습니다.
클라우드 컴퓨팅과 원격 근무 인력의 증가도 어려움을 안겨줍니다. 이러한 환경에서는 데이터가 한 곳에서 수집되고, 다른 곳에서 저장되며, 제3의 장소에서 처리될 수 있습니다. 지리적 위치에 따라 각 단계의 데이터에 다른 규정이 적용될 수 있습니다.
더욱 복잡한 문제는 보호해야 하는 데이터의 종류에 대해 규정마다 서로 다른 표준을 정하고 있다는 점입니다. 유럽연합의 일반 데이터 보호 규정(GDPR)에 따라 조직은 "식별되거나 식별 가능한 자연인과 관련된 데이터"로 정의된 모든 개인 데이터를 보호해야 합니다.
GDPR에 따라 조직은 민감한 개인 정보 및 비민감 개인 정보를 보호해야 합니다. 또한 다른 상황에서는 민감한 데이터로 간주되지 않을 수도 있는 정보도 보호해야 합니다. 이 정보에는 정치적 견해, 소속 조직 및 신체적 특성에 대한 설명이 포함됩니다.
미국 정부의 관리예산국(OMB)은 PII를 더 좁게 정의한 바 있습니다.
이름, 주민등록번호, 생체 인식 기록 등과 같은 개인의 신원을 단독으로 식별하거나 추적하는 데 사용할 수 있는 정보, 또는 생년월일 및 출생지, 어머니의 결혼 전 이름 등과 같이 특정 개인과 연결되거나 연결될 수 있는 다른 개인 정보 또는 식별 정보와 결합할 수 있는 정보.
Gartner 분석가 Bart Willemsen은 이 정의를 이렇게 설명했습니다. "미국에서... PII는 역사적으로 이름, 주소, 주민등록번호, 운전면허증, 신용카드 번호 등 20~30개의 식별자를 의미합니다."
미국에는 연방 수준의 데이터 개인정보 보호법이 없지만 정부 기관은 연방 기관이 PII를 수집, 사용 및 공유하는 방법을 관리하는 1974년 개인정보 보호법의 적용을 받습니다. 미국의 일부 주, 특히 캘리포니아주에는 자체 데이터 개인정보 보호 규정이 있습니다. 캘리포니아 소비자 개인정보 보호법(CCPA) 및 캘리포니아 개인정보 보호법(CPRA)은 조직이 PII를 수집, 저장 및 사용하는 방법에 대한 특정 권리를 소비자에게 부여합니다.
일부 산업에는 자체 데이터 개인정보 보호 규정도 있습니다. 미국에서는 의료 기관이 의료 기록과 환자 개인 정보를 수집하고 보호하는 방법에 대해 건강 보험 양도 및 책임에 관한 법률(HIPAA)이 적용됩니다.
마찬가지로, 결제 카드 산업 데이터 보안 표준(PCI DSS)은 신용카드 회사, 가맹점 및 결제 프로세서가 민감한 카드 소유자 정보를 처리하는 방법에 대한 글로벌 금융 산업 표준입니다.
연구에 따르면 조직은 이러한 다양한 법률 및 산업 표준 환경을 탐색하는 데 어려움을 겪고 있습니다. ESG(ibm.com 외부 링크)에 따르면 지난 3년 동안 데이터 개인정보 감사를 받은 기업 중 66%가 최소 한 번 실패했으며, 23%는 세 번 이상 실패했습니다.
관련 데이터 개인정보 보호 규정을 준수하지 않으면 조직은 벌금, 평판 손상, 비즈니스 손실 및 기타 불이익을 받을 수 있습니다. 예를 들어 Amazon은 2021년 GDPR을 위반하여 8억 8,800만 달러의 벌금을 부과받았습니다.
해커들은 여러 가지 이유로 PII를 훔칩니다. 신원 도용을 저지르거나, 협박하거나, 암시장에서 판매해서 사회보장번호당 최대 1달러, 여권 번호로 2,000달러를 받을 수 있습니다.
해커는 랜섬웨어를 사용하여 PII를 인질로 잡거나 PII를 훔쳐 스피어 피싱 및 비즈니스 이메일 침해(BEC) 사기에 사용하기 위해 경영진의 이메일 계정을 탈취하는 등 더 큰 공격의 일부로 PII를 표적으로 삼을 수도 있습니다.
사이버 범죄자들은 종종 소셜 엔지니어링 공격을 사용하여 순진한 피해자를 속여 PII를 자발적으로 넘겨주도록 하지만, 다크 웹에서 PII를 구매하거나 더 큰 데이터 침해의 일환으로 액세스 권한을 얻을 수도 있습니다. PII는 사람의 휴지통을 뒤지거나 컴퓨터를 사용하는 동안 감시하는 방식으로 물리적으로 도용될 수 있습니다.
악의적인 행위자는 많은 사람들이 매일 자신도 모르게 민감하지 않은 PII를 공유하는 대상의 소셜 미디어 계정을 모니터링할 수도 있습니다. 시간이 지남에 따라 공격자는 피해자를 가장하거나 계정에 침입하기에 충분한 정보를 수집할 수 있습니다.
조직의 경우 PII를 보호하는 것은 복잡할 수 있습니다. 클라우드 컴퓨팅 및 SaaS 서비스의 성장으로 인해 PII가 중앙 집중식 단일 네트워크가 아닌 여러 위치에 저장 및 처리될 수 있습니다.
ESG의 보고서에 따르면, 퍼블릭 클라우드에 저장된 민감한 데이터의 양은 2024년까지 두 배로 증가할 것으로 예상되며, 조직의 절반 이상이 이 데이터가 충분히 안전하지 않다고 생각합니다.
PII를 보호하기 위해 조직은 일반적으로 데이터 개인정보 보호 프레임워크를 만듭니다. 이러한 프레임워크는 조직, 수집하는 PII 및 따라야 하는 데이터 개인정보 보호 규정에 따라 다양한 형태를 취할 수 있습니다. 예를 들어, 국립 표준 기술 연구소(NIST)는 다음과 같은 샘플 프레임워크를 제공합니다.
1. 조직 시스템에서 모든 PII를 식별합니다.
2. PII의 수집 및 사용을 최소화하고 더 이상 필요하지 않은 PII를 정기적으로 폐기합니다.
3. 민감도에 따라 PII를 분류합니다.
4. 데이터 보안 제어를 다음 예시처럼 적용합니다.
5. PII 유출 및 침해에 대한 인시던트 대응 계획의 초안을 작성합니다.
NIST 및 기타 데이터 개인정보 보호 전문가는 데이터의 민감도에 따라 다양한 데이터 세트에 다른 제어를 적용할 것을 권장하는 경우가 많습니다. 민감하지 않은 데이터에 대해 엄격한 제어를 사용하는 것은 번거롭고 비용 효율적이지 않을 수 있습니다.