개인 식별 정보(PII)는 사회보장번호, 성명, 이메일 주소 또는 전화번호 등 개인의 신원을 파악하는 데 사용할 수 있는 특정 개인과 관련된 모든 정보입니다.
사람들이 업무와 개인 생활에서 정보 기술에 점점 더 의존하게 되면서 조직과 공유되는 PII의 양이 증가했습니다. 예를 들어, 기업은 시장을 파악하기 위해 고객의 개인 데이터를 수집하고, 소비자는 서비스 가입과 온라인 쇼핑을 위해 전화번호와 집 주소를 기꺼이 알려줍니다.
PII를 공유하면 기업이 탐색 앱에 더 관련성 높은 검색 결과를 제공하는 등 고객의 필요와 요구에 맞게 제품과 서비스를 맞춤화할 수 있으므로 이점이 있습니다. 그러나 조직이 축적하는 PII의 저장소가 늘어나면서 사이버 범죄자들의 관심을 끌고 있습니다.
해커는 PII를 훔쳐 신원을 도용하거나 암시장에 판매하거나 랜섬웨어를 통해 포로로 잡습니다. IBM의 2023년 데이터 유출 비용 보고서에 따르면 랜섬웨어 공격으로 인한 데이터 유출의 평균 비용은 513만 달러였습니다. 개인과 정보 보안 전문가는 이러한 공격에 맞서 데이터 프라이버시를 유지하기 위해 복잡한 IT 및 법률 환경을 탐색해야 합니다.
최신 데이터 유출 비용 보고서를 통해 데이터 유출 위험을 더 잘 관리할 수 있는 인사이트를 확보하세요.
X-Force Threat Intelligence Index 등록하기
PII에는 직접 식별자와 간접 식별자의 두 가지 유형이 있습니다. 직접 식별자는 개인에게 고유한 것으로 여권 번호나 운전면허증 번호 등이 포함됩니다. 일반적으로 하나의 직접 식별자만으로도 누군가의 신원을 확인할 수 있습니다.
간접 식별자는 고유하지 않습니다. 여기에는 인종, 출생지 등 보다 일반적인 개인 정보가 포함됩니다. 하나의 간접 식별자만으로는 개인을 식별할 수 없지만, 여러 개를 조합하면 개인을 식별할 수 있습니다. 예를 들어, 미국 시민의 87%(ibm.com 외부 링크)는 성별, 우편번호 및 생년월일만으로 식별될 수 있습니다.
모든 개인 데이터가 PII로 간주되는 것은 아닙니다. 예를 들어, 개인의 스트리밍 습관에 대한 데이터는 PII가 아닙니다. 넷플릭스에서 시청한 내용만으로 누군가를 식별하는 것은 불가능하지는 않더라도 어렵기 때문입니다. PII는 은행에 연락할 때 신원 확인을 위해 제공하는 정보처럼 특정 개인을 가리키는 정보만을 의미합니다.
PII 중에서도 일부 정보는 다른 정보보다 더 민감합니다. 민감한 PII는 개인을 직접 식별하는 민감한 정보로, 유출되거나 도난당할 경우 심각한 피해를 입을 수 있습니다. 사회보장번호(SSN)는 민감한 PII의 좋은 예입니다. 많은 정부 기관과 금융 기관이 SSN을 사용하여 사람들의 신원을 확인하기 때문에 SSN을 훔친 범죄자는 피해자의 세금 기록이나 은행 계좌에 쉽게 액세스할 수 있습니다. 민감한 PII의 다른 예로는 다음과 같은 것들이 있습니다.
민감한 PII는 일반적으로 공개적으로 사용할 수 없으며, 대부분의 기존 데이터 개인 정보 보호법에 따라 조직은 PII를 암호화 하거나, 액세스하는 사람을 제어하거나, 기타 사이버 보안 조치를 취하여 PII를 보호해야 합니다.
민감하지 않은 PII는 유출되거나 도난당하더라도 개인에게 심각한 피해를 입히지 않는 개인 데이터입니다. 이는 사람마다 고유할 수도 있고 그렇지 않을 수도 있습니다. 예를 들어, 소셜 미디어 닉네임은 민감하지 않은 PII로, 누군가를 식별할 수 있지만 악의적인 행위자는 소셜 미디어 계정 이름만으로 신원 도용을 저지를 수 없습니다. 민감하지 않은 PII의 다른 예로는 다음과 같은 것들이 있습니다.
민감하지 않은 PII는 일반적으로 공개됩니다. 예를 들어 전화번호는 전화번호부에, 주소는 지방 정부의 공공 재산 기록에 나열될 수 있습니다. 일부 데이터 개인정보 보호 규정은 민감하지 않은 PII를 보호할 것을 요구하지 않지만, 많은 기업이 안전 장치를 마련하고 있습니다. 범죄자들이 민감하지 않은 여러 개의 PII를 조합하여 문제를 일으킬 수 있기 때문입니다.
예를 들어, 해커는 전화번호, 이메일 주소 및 어머니의 결혼 전 이름으로 누군가의 은행 계좌 앱에 침입할 수 있습니다. 이메일은 사용자 이름을 제공합니다. 전화번호를 스푸핑하면 해커가 인증 코드를 받을 수 있습니다. 어머니의 결혼 전 이름은 보안 질문에 대한 답을 제공합니다.
중요한 점은 어떤 것이 민감한 PII로 간주되는지 또는 민감하지 않은 PII로 간주되는지는 상황에 따라 크게 달라진다는 점입니다. 전체 이름 자체는 민감하지 않을 수 있지만 특정 의사를 방문한 사람들의 목록은 민감할 수 있습니다. 마찬가지로 개인의 전화번호는 공개적으로 사용할 수 있지만 소셜 미디어 사이트에서 이중 인증에 사용되는 전화번호 데이터베이스는 민감한 PII가 될 수 있습니다.
컨텍스트에 따라서도 어떤 항목이 PII로 간주될지 여부가 결정됩니다. 예를 들어, 집계된 익명의 지리적 위치 데이터는 단일 사용자의 신원을 분리할 수 없기 때문에 일반적인 개인 데이터로 간주되는 경우가 많습니다. 그러나 익명의 지리적 위치 데이터에 대한 개별 기록은 최근 연방거래위원회(FTC) 소송에서 입증된 바와 같이 PII가 될 수 있습니다(ibm.com 외부 링크). FTC는 데이터 브로커 Kochava가 PII로 간주되는 지리적 위치 데이터를 판매하고 있다고 주장하는데, 그 이유는 "회사의 맞춤형 데이터 피드를 통해 구매자가 특정 모바일 장치 사용자를 식별하고 추적할 수 있기 때문입니다. 예를 들어 야간에 모바일 장치의 위치는 사용자의 집 주소일 가능성이 높으며, 부동산 기록과 결합하여 사용자의 신원을 파악할 수 있습니다."
또한 기술의 발전으로 인해 더 적은 정보로 사람을 식별하는 것이 더 쉬워져 일반적으로 PII로 간주되는 항목의 문턱이 낮아질 가능성이 있습니다. 예를 들어, IBM과 메릴랜드 대학의 연구원들은 알고리즘을 고안했습니다(ibm.com 외부 링크). 이 알고리즘은 익명의 위치 데이터를 소셜 네트워킹 사이트에서 공개적으로 사용할 수 있는 정보와 결합하여 특정 개인을 식별합니다.
McKinsey(ibm.com 외부 링크)에 따르면 75%의 국가가 PII의 수집, 보유 및 사용을 관리하는 데이터 개인정보 보호법을 시행하고 있습니다. 관할 구역마다 규정이 다르거나 심지어 모순되는 규정이 있을 수 있으므로 이러한 규정을 준수하는 것은 어려울 수 있습니다. 클라우드 컴퓨팅과 원격 근무 인력의 증가도 어려움을 안겨줍니다. 이러한 환경에서는 데이터가 한 곳에서 수집되고, 다른 곳에서 저장되며, 제3의 장소에서 처리될 수 있습니다. 지리적 위치에 따라 각 단계의 데이터에 다른 규정이 적용될 수 있습니다.
더욱 복잡한 문제는 보호해야 하는 데이터의 종류에 대해 규정마다 서로 다른 표준을 정하고 있다는 점입니다. 유럽연합의 일반 데이터 보호 규정(GDPR)에 따라 조직은 "식별되거나 식별 가능한 자연인과 관련된 데이터"로 정의된 모든 개인 데이터를 보호해야 합니다(ibm.com 외부 링크). GDPR에 따라 조직은 민감한 개인 정보 및 비민감 개인 정보를 보호해야 합니다. 또한 다른 상황에서는 민감한 데이터로 간주되지 않을 수도 있는 정보도 보호해야 합니다. 이 정보에는 정치적 견해, 소속 조직 및 신체적 특성에 대한 설명이 포함됩니다.
미국 정부의 관리 예산처(OMB)는 PII(ibm.com 외부 링크)를 다음과 같이 더 좁게 정의합니다.
이름, 주민등록번호, 생체 인식 기록 등과 같은 개인의 신원을 단독으로 식별하거나 추적하는 데 사용할 수 있는 정보, 또는 생년월일 및 출생지, 어머니의 결혼 전 이름 등과 같이 특정 개인과 연결되거나 연결될 수 있는 다른 개인 정보 또는 식별 정보와 결합할 수 있는 정보.
Gartner 분석가 Bart Willemsen(ibm.com 외부 링크)은 "미국에서... PII는 역사적으로 이름, 주소, 주민등록번호, 운전면허증, 신용카드 번호 등 20~30개의 식별자를 의미합니다."라고 설명합니다.
미국에는 연방 수준의 데이터 개인정보 보호법이 없지만 정부 기관은 연방 기관이 PII를 수집, 사용 및 공유하는 방법을 관리하는 1974년 개인정보 보호법의 적용을 받습니다. 미국의 일부 주, 특히 캘리포니아주에는 자체 데이터 개인정보 보호 규정이 있습니다. 캘리포니아 소비자 개인정보 보호법(CCPA) 및 캘리포니아 개인정보 보호법(CPRA)은 조직이 PII를 수집, 저장 및 사용하는 방법에 대한 특정 권리를 소비자에게 부여합니다.
일부 산업에는 자체 데이터 개인정보 보호 규정도 있습니다. 미국에서는 의료 기관이 의료 기록과 환자 개인 정보를 수집하고 보호하는 방법에 대해 건강 보험 양도 및 책임에 관한 법률(HIPAA)이 적용됩니다. 마찬가지로, 결제 카드 산업 데이터 보안 표준(PCI DSS)은 신용카드 회사, 가맹점 및 결제 프로세서가 민감한 카드 소유자 정보를 처리하는 방법에 대한 글로벌 금융 산업 표준입니다.
연구에 따르면 조직은 이러한 다양한 법률 및 산업 표준 환경을 탐색하는 데 어려움을 겪고 있습니다. ESG(ibm.com 외부 링크)에 따르면 , 지난 3년 동안 데이터 개인정보 감사를 받은 기업 중 66%가 최소 한 번 실패했으며, 23%는 세 번 이상 실패했습니다. 관련 데이터 개인정보 보호 규정을 준수하지 않으면 조직은 벌금, 평판 손상, 비즈니스 손실 및 기타 불이익을 받을 수 있습니다. 예를 들어, Amazon은 2021년에 GDPR 위반으로 8억 8,800만 달러의 벌금을 부과받았습니다(ibm.com 외부 링크).
해커들은 여러 가지 이유로 PII를 훔칩니다. 신원 도용을 저지르거나, 협박하거나, 암시장에서 판매하여 사회보장번호당 최대 1달러, 여권 번호로 2,000달러를 받을 수 있습니다(ibm.com 외부 링크). 해커는 랜섬웨어를 사용하여 PII를 인질로 잡거나 PII를 훔쳐 스피어 피싱 및 비즈니스 이메일 침해(BEC) 사기에 사용하기 위해 경영진의 이메일 계정을 탈취하는 등 더 큰 공격의 일부로 PII를 표적으로 삼을 수도 있습니다.
사이버 범죄자들은 종종 소셜 엔지니어링 공격을 사용하여 순진한 피해자를 속여 PII를 자발적으로 넘겨주도록 하지만, 다크 웹에서 PII를 구매하거나 더 큰 데이터 침해의 일환으로 액세스 권한을 얻을 수도 있습니다. PII는 사람의 휴지통을 뒤지거나 컴퓨터를 사용하는 동안 감시하는 방식으로 물리적으로 도용될 수 있습니다. 악의적인 행위자는 많은 사람들이 매일 자신도 모르게 민감하지 않은 PII를 공유하는 대상의 소셜 미디어 계정을 모니터링할 수도 있습니다. 시간이 지남에 따라 공격자는 피해자를 가장하거나 계정에 침입하기에 충분한 정보를 수집할 수 있습니다.
조직의 경우 PII를 보호하는 것은 복잡할 수 있습니다. 클라우드 컴퓨팅 및 SaaS 서비스의 성장으로 인해 PII가 중앙 집중식 단일 네트워크가 아닌 여러 위치에 저장 및 처리될 수 있습니다. ESG(ibm.com 외부 링크)의 보고서 에 따르면, 퍼블릭 클라우드에 저장된 민감한 데이터의 양은 2024년까지 두 배로 증가할 것으로 예상되며, 조직의 절반 이상이 이 데이터가 충분히 안전하지 않다고 생각합니다.
PII를 보호하기 위해 조직은 일반적으로 데이터 개인정보 보호 프레임워크를 만듭니다. 이러한 프레임워크는 조직, 수집하는 PII 및 따라야 하는 데이터 개인정보 보호 규정에 따라 다양한 형태를 취할 수 있습니다. 예를 들어, 국립 표준 기술 연구소(NIST)는 다음과 같은 샘플 프레임워크를 제공합니다(ibm.com 외부 링크).
1. 조직 시스템에서 모든 PII를 식별합니다.
2. PII의 수집 및 사용을 최소화하고 더 이상 필요하지 않은 PII를 정기적으로 폐기합니다.
3. 민감도에 따라 PII를 분류합니다.
4. 데이터 보안 제어를 적용합니다. 제어의 예는 다음과 같습니다.
5. PII 유출 및 침해에 대한 인시던트 대응 계획의 초안을 작성합니다.
NIST 및 기타 데이터 개인정보 보호 전문가는 데이터의 민감도에 따라 다양한 데이터 세트에 다른 제어를 적용할 것을 권장하는 경우가 많습니다. 민감하지 않은 데이터에 대해 엄격한 제어를 사용하는 것은 번거롭고 비용 효율적이지 않을 수 있습니다.
데이터 개인정보 보호 강화, 고객 신뢰 구축, 비즈니스 성장 도모
강력한 데이터 중심 사이버 보안 프로그램은 포괄적인 데이터 보호 및 중앙 집중식 가시성을 제공할 수 있습니다. 지속적인 모니터링은 기업 데이터 환경 전반에서 무단 액세스, 노출 또는 데이터 도난을 방지하는 데 도움이 될 수 있습니다.
데이터 중심 보안 솔루션 및 서비스를 통해 기업 데이터를 보호하고 규정 준수 문제를 해결하세요.
현대 기업을 위한 포괄적이고 안전하며 규정을 준수하는 ID 및 액세스 관리.