개인 식별 정보(PII)란?
PII는 SSN, 이름, 전화번호와 같이 특정한 개인의 신원을 밝히는 데 사용할 수 있는 개인 데이터입니다.
모두 IBM Security를 사용하고 있는 여러 사무실 직원을 보여주는 등각 투영 이미지
개인 식별 정보(PII)란?

개인 식별 정보(PII)는 주민등록번호, 이름, 이메일 주소와 같이 특정한 개인과 연결되어 개인의 신원을 밝히는 데 사용할 수 있는 모든 정보입니다.

사람들이 직장과 개인 생활에서 점점 더 정보 기술에 의존하게 되면서 조직과 공유하는 PII의 양도 증가했습니다. 예를 들어 기업은 시장을 파악하기 위해 고객의 개인 데이터를 수집하고, 소비자는 서비스에 가입하고 온라인 쇼핑을 하기 위해 전화번호와 우편 주소를 기꺼이 제공합니다. 

PII를 공유하면 내비게이션 앱에서 관련성이 높은 검색 결과를 제공하는 것과 같이 기업이 고객의 욕구와 요구에 맞게 제품과 서비스를 조정하는 이점을 누릴 수 있습니다. 그러나 조직에서 수집한 PII의 저장소가 늘어나는 것은 사이버 범죄자의 관심을 끌고 있습니다. 해커들은 PII를 훔쳐 신원을 도용하거나 암시장에서 이를 판매하거나 랜섬웨어를 통해 볼모로 잡습니다. IBM의 2022년 데이터 유출 비용 보고서에 따르면 기업 중 83%가 2회 이상의 데이터 유출 사고를 경험했고, 이로 인한 평균 보안 유출 비용은 435만 달러였습니다. 개인 및 정보 보안 전문가는 이러한 공격 발생 시 데이터 개인정보 보호 상태를 유지하기 위해 복잡한 IT 및 규제 환경을 처리해야 합니다. 
직접 식별자와 간접 식별자

PII는 직접 식별자와 간접 식별자의 두 가지 형태로 제공됩니다. 직접 식별자는 사람마다 고유하며, 여기에는 여권 번호, 운전면허 번호 등이 포함됩니다. 일반적으로 단 하나의 직접 식별자만으로도 개인의 신원을 파악할 수 있습니다.

간접 식별자는 사람마다 고유하지 않으며, 여기에는 인종 및 출생지와 같은 보다 일반적인 개인 정보가 포함됩니다. 단 하나의 간접 식별자로는 개인을 식별할 수 없지만 조합하면 가능합니다. 예를 들어 미국 시민 중 87%(PDF, 303KB) (ibm.com 외부 링크)를 성별, 우편번호, 생년월일만으로 식별할 수 있습니다.
민감한 PII와 민감하지 않은 PII

모든 개인 데이터가 PII로 간주되는 것은 아닙니다. 예를 들면 개인의 스트리밍 습관에 관한 데이터는 PII가 아닙니다. 왜냐하면 Netflix에서 시청한 항목만으로는 개인의 신원을 구분하기 어렵거나 불가능하기 때문입니다. PII는 은행에 연락할 때 신원을 확인하기 위해 제공하는 정보와 같이 특정 개인을 가리키는 정보만을 나타냅니다.

PII 중 일부 정보는 다른 정보보다 민감합니다. 민감한 PII는 개인을 직접적으로 식별하는 민감한 정보로, 유출되거나 도난당할 경우 심각한 피해를 입힐 수 있습니다. 주민등록번호는 민감한 PII의 좋은 예입니다. 많은 정부 기관과 금융 기관이 주민등록번호를 사용하여 개인의 신원을 확인하기 때문에 주민등록번호를 도용하는 범죄자는 공격 대상의 세금 기록이나 은행 계좌에 쉽게 접근할 수 있습니다. 민감한 PII의 또 다른 예는 다음과 같습니다.

  • 운전면허 번호, 여권 번호 및 기타 정부에서 발급한 ID와 같은 고유한 식별 번호
  • 지문 및 망막 스캔과 같은 생체 인식 데이터
  • 은행 계좌 번호 및 신용카드 번호를 포함한 금융 정보
  • 의료 기록

일반적으로 민감한 PII는 공개적으로 사용할 수 없으며, 대부분의 기존 개인정보 보호법에서는 조직이 PII를 암호화하거나, 액세스하는 사용자를 제어하거나, 기타 사이버 보안 조치를 취하여 PII를 보호하도록 요구합니다.

민감하지 않은 PII는 유출되거나 도용되더라도 개인에게 심각한 피해를 입히지 않는 개인 데이터로, 사람마다 고유할 수도, 아닐 수도 있습니다. 예를 들어 소셜 미디어 핸들은 민감하지 않은 PII입니다. 이는 특정한 개인을 식별할 수 있지만, 악의적인 행위자는 소셜 미디어 계정 이름만으로 신원을 도용할 수 없습니다. 민감하지 않은 PII의 또 다른 예는 다음과 같습니다.

  • 개인의 전체 이름
  • 어머니의 결혼 전 이름
  • 전화번호
  • IP 주소
  • 출생지
  • 생년월일
  • 지리적 세부정보(우편번호, 시/도, 시/군/구, 국가 등)
  • 고용 정보
  • 이메일 주소 또는 우편 주소
  • 인종 또는 민족
  • 종교

민감하지 않은 PII는 공개적으로 사용할 수 있는 경우가 많습니다. 예를 들어 전화번호는 전화번호부에서, 주소는 지방 정부의 공공 재산 기록에서 찾을 수 있습니다. 일부 데이터 개인정보 보호 규정은 민감하지 않은 PII의 보호를 요구하지 않지만, 많은 회사에서 어떻게든 안전 장치를 마련합니다. 왜냐하면 범죄자들이 민감하지 않은 PII를 여러 개 조합하여 문제를 일으킬 수 있기 때문입니다.

예를 들어 해커는 개인의 전화번호, 이메일 주소, 어머니의 결혼 전 이름을 사용하여 은행 계좌 앱에 침입할 수 있습니다. 이메일은 사용자 이름을 제공하고, 전화번호를 스푸핑하면 인증 코드를 받을 수 있으며, 어머니의 결혼 전 이름을 사용해 보안 질문에 답변할 수 있습니다.

민감한 PII 또는 민감하지 않은 PII는 대부분 전후사정에 따라 결정됩니다. 전체 이름 자체는 민감하지 않을 수 있지만 특정 의사에게 진료를 받은 사람들의 목록은 민감할 수 있습니다. 마찬가지로 개인의 전화번호는 공개적으로 사용할 수 있지만 소셜 미디어 사이트에서 2단계 인증에 사용된 전화번호 데이터베이스는 민감한 PII가 될 수 있습니다.

민감한 정보가 PII로 간주되는 경우는 언제일까요?

PII인지 여부는 전후사정에 따라 결정됩니다. 예를 들어 집계된 익명의 지리적 위치 데이터는 일반적인 개인 데이터로 간주되는 경우가 많은데, 단일 사용자의 ID를 분리할 수 없기 때문입니다. 그러나 익명의 지리적 위치 데이터의 개별 기록은 최근 연방 통상 위원회(FTC)의 소송 (ibm.com 외부 링크)에서 입증되었듯이 PII가 될 수 있습니다. FTC는 데이터 브로커 Kochava가 PII로 간주되는 지리적 위치 데이터를 판매하고 있었다고 주장했는데, "회사의 맞춤형 데이터 피드를 통해 구매자가 특정 모바일 디바이스 사용자를 식별하고 추적할 수 있기 때문입니다. 예를 들어 야간에 모바일 디바이스의 위치는 사용자의 집 주소일 가능성이 높으며 이를 재산 기록과 조합하면 개인의 신원을 파악할 수 있습니다."

기술 발전으로 인해 더 적은 수의 정보로도 신원을 손쉽게 식별할 수 있게 되면서 일반적으로 PII로 간주되는 항목에 대한 기준이 낮아지고 있습니다. 예를 들어 IBM과 메릴랜드 대학의 연구원들은 익명의 위치 데이터를 소셜 네트워킹 사이트에서 공개적으로 사용 가능한 정보와 결합하여 특정 개인을 식별하는 알고리즘을 고안(PDF, 959KB) (ibm.com 외부 링크)했습니다.
데이터 개인정보 보호법과 PII

글로벌 개인정보 보호 규정

McKinsey (ibm.com 외부 링크)에 따르면 75%의 국가에서 PII의 수집, 보관 및 사용을 규제하는 데이터 개인정보 보호법을 시행하고 있습니다. 관할권마다 다르게 적용되거나 모순되는 규칙이 있을 수 있기 때문에 이러한 규정을 준수하는 것이 어려울 수 있습니다. 클라우드 컴퓨팅과 원격 근무자의 증가도 문제입니다. 이러한 환경에서 데이터는 한 곳에서 수집되어 다른 위치에 저장되고 제3의 위치에서 처리될 수 있습니다. 각 단계의 데이터에 적용되는 규정은 지리적 위치에 따라 다를 수 있습니다.

상황을 더욱 복잡하게 만드는 것은 서로 다른 규정으로 인해 보호해야 하는 데이터의 종류별로 서로 다른 표준이 설정된다는 것입니다. 유럽연합의 개인정보 보호법(GDPR)은 조직이 "식별되었거나 식별 가능한 자연인과 관련된 모든 정보"로 정의된(ibm.com 외부 링크) 모든 개인 데이터를 보호할 것을 요구합니다. GDPR에 따라 조직은 민감한 PII와 민감하지 않은 PII를 보호해야 하지만 정치적 견해, 조직의 제휴업체, 물리적 특성 설명과 같은 다른 상황에서 민감한 데이터로 간주되지 않을 수 있는 항목도 보호해야 합니다. 

미국 개인정보 보호 규정

미국 관리예산실(OMB)은 PII를 다음과 같이 세부적으로 정의(PDF, 227KB)(ibm.com 외부 링크)합니다.

이름, 사회 보장 번호, 생체인식 기록과 같이 단독으로, 또는 생년월일, 출생지, 어머니의 결혼 전 이름과 같이 특정 개인과 연결되었거나 연결 가능한 기타 개인 식별 정보와 조합하여 개인의 신원을 구분하거나 추적할 수 있는 정보

Gartner 분석가인 Bart Willemsen(ibm.com 외부 링크)이 설명한 대로 "미국에서... 지금까지 PII는 이름, SSN, 운전면허 번호 또는 신용카드 번호와 같은 20~30자의 식별자를 나타냈습니다."

미국에는 연방 정부 차원의 데이터 개인정보 보호법은 없지만 정부 기관은 1974년 연방 정부 기관이 PII를 수집, 사용 및 공유하는 방법을 규정한 개인정보 보호법(Privacy Act of 1974)을 따라야 합니다. 미국의 일부 주에는 자체 데이터 개인정보 보호법이 있으며, 특히 캘리포니아가 그렇습니다. 캘리포니아주 소비자 보호법(CCPA) 및 캘리포니아 개인정보 보호 권리법(CPRA)은 소비자에게 조직이 PII를 수집, 저장 및 사용하는 방법에 대한 특정 권리를 부여합니다.

산업별 개인정보 보호 규정

일부 산업에는 자체 데이터 개인정보 보호 규정이 있습니다. 미국에서는 건강 보험 이동성 및 책임법(HIPAA)이 의료 기관이 의료 기록과 환자 PII를 수집 및 보호하는 방법을 규정합니다. 마찬가지로 결제 카드 산업 데이터 보안 표준(PCI DSS)은 신용카드 회사, 가맹점 및 결제 대행업체가 민감한 카드 소유자 정보를 처리하는 방법을 규정한 글로벌 금융 업계 표준입니다.

연구에 따르면 조직은 이처럼 다양한 법률 및 산업 표준을 처리하는 데 어려움을 겪고 있습니다. ESG(ibm.com 외부 링크)에 따르면 지난 3년 동안 데이터 개인정보 보호 감사를 받은 기업 중 66%가 최소 1회 이상 감사를 통과하지 못했고 23%는 3회 이상 통과하지 못했습니다. 관련 데이터 개인정보 보호 규정을 준수하지 못하는 기업에는 벌금, 평판 손상, 매출 손실 및 기타 다른 결과가 발생할 수 있습니다. 예를 들어 Amazon은 2021년 GDPR 위반으로 8억 8,800만 달러(USD)에 달하는 벌금을 부과받았습니다 (ibm.com 외부 링크).
PII 보호

해커들이 PII를 훔치는 이유는 신원 도용, 협박, 암시장에서의 판매 등 다양합니다. 특히 암시장에서 PII는 주민등록번호당 최대 1달러(USD), 여권 번호당 2,000달러(USD)에 팔리고 있습니다(ibm.com 외부 링크). 해커들은 대규모 공격의 일부로 PII를 표적으로 삼을 수 있습니다. 이들은 랜섬웨어를 사용하여 PII를 볼모로 잡거나, PII를 훔쳐 스피어 피싱 및 비즈니스 비즈니스 이메일 도용(BEC) 사기에 사용하기 위해 경영진의 이메일 계정을 탈취할 수 있습니다.

사이버 범죄자는 소셜 엔지니어링 공격을 통해 수상한 낌새를 알아채지 못한 피해자가 PII를 기꺼이 넘겨주도록 속이지만, 다크 웹에서 PII를 구매하거나 대규모 데이터 유출의 일부로 액세스 권한을 얻을 수도 있습니다. PII는 개인의 휴지통을 통해 루팅하거나 잠재적 피해자들이 컴퓨터를 사용할 때 염탐하여 물리적으로 도용될 수 있습니다. 또한 악의적인 행위자는 많은 사람들이 매일 민감하지 않은 PII를 무의식적으로 공유하는 표적의 소셜 미디어 계정을 모니터링할 수 있습니다. 시간 경과에 따라 공격자는 피해자를 사칭하거나 계정에 침입할 만큼 충분한 정보를 수집할 수 있습니다.

조직의 경우 PII를 보호하는 것은 복잡한 문제일 수 있습니다. 클라우드 컴퓨팅 및 SaaS 서비스의 증가는 PII가 중앙 집중화된 단일 네트워크 대신 여러 위치에서 저장되고 처리될 수 있음을 의미합니다. ESG 보고서(ibm.com 외부 링크)에 따르면 2024년까지 퍼블릭 클라우드에 저장되는 민감한 데이터의 양이 두 배가 될 것으로 예상되고, 조직의 50% 이상이 이 데이터가 충분히 안전하지 않다고 여기는 것으로 나타났습니다.

PII를 보호하기 위해 조직은 일반적으로 데이터 개인정보 보호 프레임워크를 구축합니다. 이러한 프레임워크는 조직, 조직에서 수집하는 PII와 준수해야 하는 데이터 개인정보 보호 규정에 따라 다양한 형태를 취할 수 있습니다. 예를 들어 미국 국립 표준 기술 연구소(NIST)는 다음과 같은 샘플 프레임워크를 제공합니다 (ibm.com 외부 링크)

.

1. 조직의 시스템에서 모든 PII를 식별합니다.

2. PII의 수집 및 사용을 최소화하고 더 이상 필요하지 않은 PII를 정기적으로 폐기합니다.

3. 민감도 수준에 따라 PII를 분류합니다.

4. 데이터 보안 제어를 적용합니다. 제어 기능의 예에는 다음이 포함될 수 있습니다.

  • 암호화: 동형 암호화 또는 기밀 컴퓨팅을 통해 전송 중인 PII, 저장된 PII, 사용 중인 PII를 암호화하면 저장 또는 처리 위치에 관계없이 PII를 안전하게 보호하고 규정을 준수하는 데 도움이 됩니다.

  • ID 및 액세스 관리(IAM): 2단계 또는 다단계 인증을 통해 해커와 민감한 데이터 사이에 더 많은 장벽을 배치할 수 있습니다. 마찬가지로 제로 트러스트 아키텍처와 역할 기반 액세스 제어(RBAC)를 통해 최소 권한의 원칙을 적용하면 해커가 네트워크를 침범하여 액세스할 수 있는 PII의 양을 제한할 수 있습니다.

  • 교육: PII의 적절한 취급과 폐기, 자신의 PII를 보호하는 방법(예: 피싱 방지 교육, 소셜 엔지니어링 교육, 소셜 미디어 교육)에 대한 직원 교육이 포함됩니다.

  • 익명화: 데이터 익명화는 민감한 데이터를 식별하는 특징을 제거하는 프로세스입니다. 일반적인 익명화 기술에는 데이터에서 식별자 제거, 데이터 집계 또는 전략적으로 데이터에 노이즈를 추가하는 것이 포함됩니다.

  • 사이버 보안 도구: 데이터 손실 방지(DLP) 도구는 네트워크 전체에서 데이터의 이동을 추적하는 데 도움이 되므로 유출 및 침해를 손쉽게 감지할 수 있습니다. 확장형 감지 및 대응(XDR) 도구와 같이 네트워크 활동을 한눈에 확인할 수 있는 기타 사이버 보안 솔루션도 PII의 사용 및 오용을 추적하는 데 도움이 될 수 있습니다.

5. PII 유출 및 침해에 대한 인시던트 대응 계획의 초안을 작성합니다.

NIST 및 기타 데이터 개인정보 보호 전문가가 데이터의 민감도에 따라 각 데이터 세트에 서로 다른 제어를 적용하도록 권장하는 경우가 많다는 점에 주목할 필요가 있습니다. 민감하지 않은 데이터에 엄격한 제어를 적용하는 것은 번거롭고 비용 효율적이지 않을 수 있습니다.
관련 솔루션
데이터 개인정보 보호 솔루션

데이터 개인정보 보호를 강화하고, 고객과의 신뢰를 구축하며, 비즈니스 성장을 촉진합니다.

데이터 개인정보 보호 솔루션 살펴보기
데이터 보안 서비스

데이터 중심의 강력한 사이버 보안 프로그램은 엔터프라이즈 데이터 환경에서 무단 액세스, 노출 또는 데이터 도용에 대비하여 광범위한 데이터 보호, 중앙 집중식 가시성 및 모니터링을 제공할 수 있습니다.

데이터 보안 서비스 살펴보기
데이터 암호화 솔루션

데이터 기반 보안 솔루션과 서비스를 사용하여 엔터프라이즈 데이터를 보호하고 규정 준수 문제를 해결합니다.

데이터 암호화 솔루션 살펴보기
리소스 2022년 데이터 유출 비용 보고서

2022년 데이터 유출 비용 보고서는 진화하는 위협 환경에 대한 최신 인사이트를 공유하고 시간을 절약하고 손실을 제한하는 방법에 대한 권장사항을 제공합니다.

 데이터 보안이란?

데이터 보안이 오늘날 모든 기업의 웰빙에 중요한 이유를 제시합니다.

 데이터 거버넌스의 개념

데이터 거버넌스를 통해 기업이 데이터 자산을 최대한 활용할 수 있는 방법을 알아봅니다.
다음 단계

단순한 규제 준수를 넘어선 기업들은 고객들과의 신뢰를 구축하고 경쟁사들보다 앞서갈 수 있습니다. IBM Security® 솔루션은 제로 트러스트 원칙과 검증된 데이터 개인정보 보호를 기반으로 데이터 개인정보 보호에 대한 총체적, 대응적 접근 방식을 통해 신뢰할 수 있는 고객 경험을 제공하고 비즈니스 성장을 지원할 수 있습니다.

IBM Security® 자세히 보기