개인 식별 정보 (PII)

개인 식별 정보 (PII) 는 개인을 식별하기 위한 민감한 정보 또는 데이터입니다.PII의 단일 항목으로 특정 개인을 식별할 수 있는 경우도 있지만, 개인과 정확히 일치하기 위해 기타 관련 PII 세부 정보가 필요한 경우도 있습니다.

악의적인 행위자는 이러한 개인 정보를 제공해야 하는 필요성이 커지는 것을 악용합니다.해커는 수천 명의 PII 개인이 포함된 파일을 가져와 그들의 개인 데이터를 이용해 그들의 삶에 혼란을 야기할 수 있습니다.이들은 종종 하나 이상의 직접 식별자를 사용하여 특정 개인의 신원을 구별하거나 추적할 수 있습니다.

미국 일반 서비스청 (GSA) 개인 정보 보호법 및 개인 식별 정보 처리를 위한 행동 규칙 (PII) 에 따라 적절하게 사용될 경우, 이 중요한 정보는 의료 시설, 주 자동차 기관 및 보험 회사의 속기 식별자 역할을 합니다.

개인 식별 정보로 간주되는 것은 무엇입니까?

개인 식별 정보 (PII) 는 운전 면허증이나 여권에 필요한 데이터와 같이 누군가의 신원을 정확히 찾아낼 수 있는 직접 식별자를 포함할 수 있는 모든 것입니다.이러한 신분증, 서적 또는 기타 문서의 정보에는 집 주소, 사회보장번호 또는 운전면허증 번호가 포함될 수 있습니다.

인종 유산에 관한 정보와 같은 준식별자를 생년월일 (DOB) 을 비롯한 다른 준식별자와 결합하여 사용하여 개인을 성공적으로 식별할 수 있습니다.

사업체가 개인을 식별하는 데 사용하는 주요 PII 유형은 다음과 같습니다.

  • 전체 이름
  • 우편 주소
  • 전화번호
  • 이메일 주소
  • 의료 기록
  • 신용 카드 번호, 은행 계좌 또는 신용 보고서 정보와 같은 금융 정보
  • 여권 정보 (예: 여행 장소 및 날짜)
  • 인터넷 계정 번호 및 암호
  • 생체인식 정보

민감하지 않은 간접 PII에는 이전에 언급된 준식별 정보가 포함됩니다. 이러한 정보는 종종 공개 기록의 문제이거나 너무 익명으로 수집되어 그 자체로는 개인과 쉽게 연관되지 않습니다.

다음은 민감하지 않은 PII의 몇 가지 예입니다.

  • 우편번호
  • 레이스
  • 성별
  • 생년월일
  • 출생지
  • 종교

이러한 각 유사 식별자는 직접 식별자와 함께 개인을 식별하는 도구로 사용될 수 있지만, 그 자체로는 악의적인 행위자에게 거의 가치가 없습니다.민감하지 않은 많은 PII는 운전면허증, 여권 또는 청구 기록의 구성 요소입니다.하지만 최고의 해커들은 직접적인 식별자가 없는 경우에도 사기 목적으로 이를 사용하려 할 때 막다른 골목에 부닥치는 경우가 많습니다.

개인 식별 정보를 공식적으로 수집하는 사람은 누구입니까?

오늘날 거의 모든 기업이 PII를 어느 정도 수집, 저장, 전송 및 처리합니다.그러나 일부 조직은 다른 조직보다 더 민감한 정보를 보유하고 있습니다 (예: 의료 기관, 자동차 부서 또는 사무국).

이를 통해 빅 데이터는 오늘날 비즈니스의 주요 원동력이 되어 기업에 고객의 구매 패턴, 브라우징 행동, 지리적 위치 등에 대한 통찰력을 제공합니다.즉, 데이터는 현대 비즈니스의 구성 요소가 되었으며 소비자는 항상 더 많은 PII를 제공하고 있습니다.

일부 비공식 악의적 행위자는 개인 식별 정보에 대한 액세스를 원합니다

이렇게 중요한 정보를 공유할 때 생기는 문제점은 데이터 침해 지속적으로 증가하고 있습니다.사이버 공격자들은 이 정보의 가치를 인식하며, 이는 금융 정보를 포함한 누군가의 인생 이야기를 알아가는 지름길 역할을 합니다.

해커가 데이터 유출 피해자로부터 직접 훔칠 수 없는 경우 주민등록번호를 사용하여 신용 카드 계좌 개설 등을 시도함으로써 개인의 평판을 손상시킬 수 있습니다.

개인 식별 정보가 해커와 사기꾼에게 유용한 이유는 무엇입니까?

사이버 공격자들은 데이터 침해로 인해 발생할 수 있는 모든 부당한 이익을 찾아내는 방법을 끊임없이 모색합니다.PII는 세부 정보가 풍부하기 때문에 병원, 은행 또는 IRS를 신뢰해야 하는 개인을 빠르고 쉽게 식별하고 위협할 수 있습니다.

도둑은 어떻게 개인 식별 정보에 접근합니까?

데이터 도난과 대규모 데이터 침해는 너무나 흔해져서 개인은 직접적인 영향을 받지 않는 한 거의 주의를 기울이지 않습니다.

집 근처에는 모든 사람이 고려해야 할 위험이 있습니다.사실 우리 모두는 매일 PII를 공유하고 제 3자의 손에 넘어가면 다른 신발이 떨어지기를 기다리는 것처럼 느껴지기 때문에 모든 사람에게 위험이 도사리고 있습니다.

도둑이 좋아하든 원하지 않든 PII를 통해 개인을 알아가는 몇 가지 방법은 다음과 같습니다.

  • 사서함 도용.온라인 뱅킹과 청구서 납부 덕분에 많은 사람들이 우편함에 며칠씩 우편물을 두고 갑니다.각 우편물에는 자동차국에서 보내는 알림, 의료비 청구서, 신용카드 명세서 등 풍부한 데이터가 담겨 있습니다.
  • 쓰레기 수거통 다이빙.우편함 다음으로 들를 곳은 쓰레기통이나 쓰레기통입니다. 따라서 범죄자가 누군가의 현관에 들어가는 위험을 무릅쓰고 싶지 않다면 쓰레기 수거통을 이용하는 것이 더 안전합니다.그들은 그다지 주의를 끌지 않고도 버려진 우편물에서 동일한 정보를 모두 찾을 수 있습니다.

범죄자가 PII에 액세스하는 또 다른 방법으로는 보안되지 않은 무선 액세스, 분실물 발견 사건, 피싱, 사기, 소셜 미디어, 소셜 엔지니어링 활동 등이 있습니다.

이는 도둑이 개인의 신원에 접근할 수 있는 몇 가지 대안일 뿐입니다.하지만 이러한 위험은 개인 정보 또는 식별 정보를 도용하기 위해 시작된 데이터 침해만큼이나 개인에게 위험합니다.

GDPR은 PII를 어떻게 다루나요?

일반 데이터 보호 규정 GDPR유럽 연합 (EU) 소비자의 개인 정보 보호 및 데이터 보호를 주요 목표로 2019년 5월에 발효되었습니다.GDPR은 EU 전역과 전 세계 기업이 데이터, 직원, 고객 및 타사 공급업체를 보호하기 위한 광범위한 요구 사항을 준수하도록 요구했습니다.

기업이 보호해야 하는 정보에는 PII가 포함되며, 모든 기업에는 PII를 안전하게 보관해야 할 법적 의무가 있습니다.

유럽 의회는 무엇보다도 EU 소비자를 보호하고 기본적으로 PII를 자유롭게 통제할 수 있도록 하기 위해 GDPR을 제정했습니다.EU 소비자가 비즈니스를 수행할 때 개인 정보를 관리할 수 있는 몇 가지 방법은 다음과 같습니다.

  • 기업에 PII를 삭제하도록 요청
  • 사실적 오류에 대한 수정 요청
  • 저장된 개인 데이터에 대한 액세스 요청
  • 검토 및 사용을 원하는 경우 개인 데이터 내보내기를 요청하여 검토 및 사용할 수 있습니다.

기업이 PII를 보호할 수 있는 가장 좋은 방법은 무엇입니까?

모든 기업은 모두의 이익을 위해 고객 PII를 보호하기 위한 특별한 조치를 취할 수 있습니다.온라인은 물론 전 세계의 범죄자들로부터 이 중요한 정보를 안전하게 보호할 수 있는 가장 좋은 몇 가지 방법은 다음과 같습니다.

  • 전자적으로 공유하거나 저장할 때 데이터를 암호화합니다.
  • 스마트폰, 태블릿 및 노트북에 대한 강력한 암호 정책 구현
  • 직원들이 웹 사이트, 애플리케이션, 계정마다 다른 비밀번호를 사용하도록 권장하세요.
  • 웹 사이트 보안 질문과 같은 추가 보안 프로토콜 생성
  • 폐기된 컴퓨터 및 기타 장치는 특별히 관리하여 하드 드라이브를 폐기하거나 기증하기 전에 제거하거나 파기하십시오.마지막으로 수행해야 할 단계는 장치를 원래 설정으로 복원하여 폐기하기 전에 깨끗한지 확인하는 것입니다.
  • 문서 인쇄본을 적절히 폐기하려면 파쇄기를 사용하십시오.PII를 식별할 수 있는 부분이 없도록 각 문서를 완전히 파쇄하십시오.
  • 직원과 경영진에게 PII가 풍부한 문서를 복사기나 파일 작업 중에 멈출 수 있는 다른 곳에 두지 않도록 상기시키세요.

기업이 PII에 대해 더 많은 주의를 기울일수록 데이터 침해 및 기타 위협으로부터 PII를 안전하게 지킬 가능성이 높아집니다.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?