개인정보 유출사고 기업들의 공통점 6가지

개인정보 유출사고 공통점, 비망분리·비암호화·비보안코드 등 문제

 

 

최근 발생한 개인정보 유출사건에는 개인정보보호 조치가 제대로 되지 않거나 관리 미흡 등 공통적인 특징이 있다. 게다가 개인정보를 많이 취급하는 기업이나 보안이 취약한 곳이 공격자의 주요 타깃이 된다.

 

이에 본지는 ‘2015 개인정보보호페어 & CPO워크숍’에서 발표한 경찰청 사이버안전국 김진환 경위의 강연내용을 중심으로 개인정보 유출사건의 특징과 공통점을 살펴보고자 한다.

 

 

개인정보 유출사건의 특징

 

먼저 최근 개인정보 유출사건의 특징을 살펴보면 △공격자는 포털, 게임사, 대기업의 개인정보를 집중 공략한다. △대상을 표적화하고, 기간을 장기화하며, 공격 수법이 고도화된 APT 공격이 특징이다. 이러한 APT 공격은 갈수록 증가하는 추세다. 뿐만 아니라 악성코드 유포수법 역시 지능화되고 있으며, 금요일과 새벽시간대와 같은 취약한 시간대에 집중 공격한다. 또한, 백신이 탐지하기 전 공격자는 개인정보를 유출하기 때문에 사전징후 탐지가 어려운 게 개인정보 유출사건의 특징이다.

 

이에 대해 경찰청 사이버안전국 김진환 경위는 “SW 업데이트 또는  패치 서버를  악성코드를 심는데 이용하고 있다”며 “IE, 자바, 플래시의 취약점을 이용한 제로데이 공격 등 악성코드 유포수법이 점차 지능화되고 있다”고 말했다.

 

 

개인정보 유출사건의 공통점

 

특히, 개인정보 유출사건의 경우 △비망분리 △비암호화 △비보안코드 △개인정보취급자 관리 미흡 △접근통제 미흡 △정보보호 장비를  맹신하는 문제점들이 공통점으로 발견됐다.

 

첫째, 비망분리에 대해 김진환 경위는 “개인정보 유출사건이 발생한 기업들을 살펴보면 인터넷망에 연결된 운영자 PC가 공격당하거나, 인터넷망에서 상용서비스망으로 접근이 가능하다”며 “운영자 PC에서 시스템 IP주소, 아이디, 비밀번호 등을 탈취한다”고 말했다.

 

둘째, 비암호화의 경우 속도저하의 이유로 DB 암호화를 하지 않거나 일부만 적용한다. 또한 통신구간에는 암호화를 적용하지 않으며, 복호화가 용이한 암호화를 적용한다는 게 그의 설명이다.

 

셋째, 개인정보 유출사건이 발생한 기업에서 디버깅, 디어셈블리 기법 등을 통해 통신 프로토콜을 취득하거나 서비스 클라이언트 프로그램에서 Text 형식의 암호 대칭키가 공통적으로 발견된 것으로 드러났다.

 

넷째, 개인정보취급자 관리 미흡에 대해 김진환 경위는 “심지어 자신이 ‘개인정보취급자’인지를 모르는 경우도 있으며, 퇴직한 개인정보취급자의 인증정보가 유효하거나 정보보호교육을 형식적으로 진행하거나 실제 시행하지 않는 곳도 상당수”라고 지적했다.

 

다섯째, 접근통제 미흡의 경우 개인정보취급자가 아님에도 불구하고 개인정보 접근이 가능하거나 외부 서비스망은 보안이 잘 되어 있는 반면, 내부망이 허술하게 관리되는 곳도 적지 않다는 지적이다.

 

이와 관련 김진환 경위는 “서비스망내 시스템간 모든 IP나 포트를 개방해 놓거나 OTP 등 별도 인증 수단을 사용하지 않는 문제도 공통사항”이라고 지적했다.

 

또한, 법령에서 규정하는 장비를 설치했지만, 장비 설치 이후 실질적인 운영은 하지 않고 방치해둔 기업도 상당수라는 설명이다.

이외에도 김진환 경위는 “공격자가 노후된 서비스를 대상으로 공격하거나 테스트 시스템을 통해 공격한다”며 “기업의 정보보호에 대한 인식 부족으로 인해 개인정보 유출사고가 발생한다”고 말했다.

 

 

출처: 보안뉴스 etnews http://www.boannews.com/media/view.asp?idx=46867

김경애 기자 boan3@boannews.com