데이터 프라이버시에 대한 뼈아픈 교훈: 3,400만 건 기록 유출 사고

최근, 한국/아시아의 한 선도적 전자상거래 기업에서 최근 10년 내 최대 규모 중 하나의 데이터 유출 사고가 발생했다. 약 3,400만 건의 고객 기록이 노출되었으며, 여기에는 이름, 이메일 주소, 전화번호, 주소, 주문 내역이 포함되어 있었다. 결제 정보나 로그인 계정은 유출되지 않았지만, 노출된 개인 정보만으로도 신원 도용, 피싱, 사칭, 특정 대상을 노린 사회공학적 공격까지 가능했다.

이번 사고에서 가장 충격적인 부분은 규모뿐 아니라, 유출이 발생한 방식이었다. 초기 조사 결과, 전(前) 직원의 내부 로그인 계정이 잘못 사용된 것으로 드러났다. 단 한 번의 누락된 관리로 인해 비인가 액세스는 거의 5개월 동안 조용히 지속되었고, 사고가 진행된 후에야 발견되었다.

이 사고는 단지 퇴사자의 내부 로그인 계정이 비활성화되지 않은 채 남아 있어, 대량의 개인식별정보(PII)에 접근할 수 있었기 때문에 발생했다.

이와 유사한 유출 사건은 전 세계 다른 기업에서도 발생해왔다.

이 사건은 현대의 개인정보 보호 준수가 단순히 규제를 충족하거나 인증을 받는 것에 그치지 않는다는 사실을 강하게 상기시킨다. 이러한 피해를 일으키는 데 정교한 사이버 공격이 필요한 것도 아니다. 이러한 사건은 종종 거버넌스·리스크·컴플라이언스(GRC), 적절한 역할 및 권한 관리의 문제—불충분한 액세스 제어, 책임 관리의 허점, 취약한 내부 프로세스, 오래된 계정—를 반영한다.

왜 GRC와 접근 권한 유출이 SAP 고객에게 중요한가?

이번 사건은 많은 SAP 고객에게 단순한 사실을 보여준다. 위험한 것은 데이터 자체가 아니라, 그 데이터에 누가 액세스할 수 있는가이다. SAP 환경은 크고 복잡하며 다양하게 통합되어 있다. 직원 프로필, 급여 이력, 재무 정보, 공급 업체 데이터, 고객 기록 등 매우 민감한 PII를 포함한다. 이 모든 데이터는 비즈니스 운영에 필수적이며, 유출되게 둘 수는 없다.

비즈니스 운영이 확장되고 SAP 환경이 변화함에 따라 데이터는 증가한다. 사용자 접근 권한도 시간이 지나며 늘어나고, 의도치 않은 리스크가 생기기도 한다.

1. 조용히 누적된 역할과 권한

팀이 커지고, 업무가 변하고, 프로젝트가 시작·종료되면서 권한이 쌓여간다. 그중 일부는 삭제되지 않는다. 시간이 지나면 SAP 접근 권한은 마치 집 안의 잡동사니처럼 쌓여간다. 누가 일부러 놓은 것은 아니지만, 1년이 지나면 누구도 기억하지 못하는 것들로 가득해진다.

2. 너무 많은 데이터를 볼 수 있는 비즈니스 사용자

SAP 역할과 권한이 어떻게 설계되었는지는 액세스 제어의 용이성에 큰 영향을 준다. 일부 조직은 지나치게 크고 복잡한 역할을 설계하여, 비즈니스 사용자가 실제로 어떤 권한을 갖고 있는지 파악하기 어렵게 만든다. 합법적인 업무 수행 중이라도, 불필요하게 많은 민감 데이터에 노출되는 경우가 발생한다.

3. 오랜 기간 활성화 상태인 휴면 계정

대부분의 SAP 환경에는 비활성 개발자, 통합 파트너, IT/Basis 팀 계정이 존재하며, 비활성화되었어야 했음에도 여전히 작동한다. 이러한 계정은 종종 민감한 개인식별정보(PII)에 액세스할 수 있으며, 실제로는 아무도 그 계정을 책임지지 않는다. 이는 바로 아시아에서 발생한 데이터 유출의 원인이기도 했다.

4. 여러 시스템에 퍼지는 민감 개인식별정보(PII)

운영 데이터는 종종 교육 또는 문제 해결을 위해 개발, QA, 테스트 환경으로 복제된다. 이 복사본에는 개인식별정보(PII)가 포함되는 경우가 많지만, 마스킹이나 익명화 없이 만들어지는 경우도 있다.

2025년부터 글로벌 규제 기관은 운영·비운영 시스템을 구분하지 않는다. 개인식별정보(PII)가 저장되거나 처리되는 경우, 테스트 목적일지라도 동일한 법적·윤리적 의무가 적용된다. Paul Hammersley의 블로그를 읽어, SAP 지원 계약이 테스트 시스템에 대해 실제로 요구하는 사항을 확인해 보세요.

5. 당신이 알고 있다고 생각한 현황

많은 조직이 자신들은 누구에게 접근 권한이 있는지 알고 있다고 믿는다. 그러나 제대로 검토해 보면, 더 이상 필요 없는 역할, 비활성 계정, 업무 변경 후에도 남아 있는 접근 권한이 발견된다. 적절한 모니터링이나 강력한 GRC 검토가 없다면, 액세스 제어는 누구도 예상하지 못한 속도로 흐트러진다. 그때는 이미 늦으며, 로그는 보호가 아니라 증거가 된다.

결론은, 조직이 너무 많은 데이터를 보관한다는 것이 아니라, 데이터의 안전은 그 데이터에 대한 통제와 액세스 관리에 달려있다는 것이다.

SAP 데이터 프라이버시와 액세스 거버넌스를 어떻게 강화할 수 있을까?

이번 아시아의 사고는 두 가지 주요 과오에서 비롯되었다:

1. 너무 오래 활성 상태로 남아 있던 로그인 계정
2. 그 로그인 계정을 통해 자유롭게 액세스할 수 있었던 데이터

SAP 고객은 민감한 개인식별정보(PII)에 액세스할 수 있는 사람을 줄이고, 데이터가 어디에 존재하며, 액세스가 어떻게 모니터링되는지를 강화함으로써 이를 예방할 수 있다. 이는 단순히 규제 인증을 위한 체크리스트가 아니라, 의도적인 통제가 필요하다.

강력한 SAP 프라이버시 및 데이터 거버넌스 전략은 다음을 포함한다:

• 사용자 액세스를 정기적으로 검토해 비활성·만료된 역할과 불필요한 접근 권한 제거
• 제어 및 검토가 용이하도록 SAP 역할을 단순하고 기능적으로 재설계
• GRC 프로세스를 강화해 사용자 접근 권한이 업무 역할과 책임에 맞게 유지
• 필요하지 않은 개인식별정보(PII)를 가리거나 스크램블 하거나 마스킹 해 노출 최소화
• 비운영 시스템에 실제 개인식별정보(PII)를 두지 않도록 관리
• 활동을 지속적으로 모니터링하여 비정상적 행동을 조기에 탐지

EPI-USE Labs의 솔루션과 파트너 Soterion은 내부 액세스 사고가 대규모 유출로 발전하는 것을 방지하는 데 함께 기여한다.

Data Secure는 SAP 인증 솔루션으로, 민감 개인식별정보(PII)를 비운영 환경에서 스크램블 해 비식별화한다. 이는 비운영 시스템에 실제 개인식별정보(PII) 대신 마스킹 또는 익명화된 데이터를 유지하도록 하며, 로그인 계정이 악용되는 경우에도 개인을 식별할 수 있는 정보가 노출되지 않도록 한다.

Data Redact 는 규칙 기반 시스템을 통해 민감한 개인식별정보(PII)를 감사 목적으로 반드시 유지해야 하는 정상적인 비즈니스 데이터와 분리하여, 전체 시스템 전반에서 노출되는 민감 데이터의 양을 줄여준다. 더 이상 원본 형태로 보관할 필요가 없는 개인식별정보(PII)를 비식별화·마스킹 함으로써, 업무 운영에 영향을 주지 않으면서도 보안 리스크를 크게 낮춘다.

EPI-USE Labs와 파트너 Soterion은 SAP 환경 전반의 액세스 제어 문제를 신속히 파악하고 해결할 수 있는 민첩한 GRC 솔루션을 제공한다. Soterion 솔루션은 명확하고 효율적인 사용자 액세스 검토, SoD(업무 분리) 충돌 식별, 역할 정리 단순화, 비즈니스 오너의 사용자 접근 권한 리스크 이해를 지원한다. 이는 데이터 보호와 액세스 제어 사이의 연결고리를 강화하여, 데이터가 존재하더라도 적절한 사용자만 액세스할 수 있도록 한다. Soterion이 어떻게 SAP 엑세스 거버넌스를 강화하도록 지원하는지 더 알아보세요.

기다리지 마세요! 지금 GRC를 강화하십시오

SAP 데이터 프라이버시 및 데이터 거버넌스 개선은 미룰 수 있는 프로젝트가 아니다. 다음 사고가 발생하기 전에 조치를 취해야 한다

EPI-USE Labs Data Privacy Suite와 파트너 Soterion을 통해 조직은 접근 권한을 더욱 강화하고, 민감 개인식별정보(PII의 양을 줄이며, 보안 및 규정 준수를 유지하는 데 필요한 가시성을 확보할 수 있다.

면책 조항: 이 글은 교육 목적을 위한 것이며, 본문 또는 보고된 기타 사례에서 언급된 기관과의 어떠한 제휴 관계나 공식 정보를 대표하거나 암시하지 않습니다.