check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[DLP 바로알기①] 서버에 방치된 개인정보에 대해 생각해본 적 있는 사람?

네트워크와 PC만 막으면 개인정보 유출 위험 사라질까?...서버내 개인정보는?

길민권 기자 mkgil@dailysecu.com 2018년 06월 08일 금요일

▲ 데일리시큐 자료 이미지.
▲ 데일리시큐 자료 이미지.
최일훈 소만사(대표 김대환) 연구소장의 <DLP(Data Loss Prevention) 바로알기> 칼럼을 연재할 예정이다. 짧고 쉬운 문체로 설명한 만큼, DLP에 대한 이해도를 높이고 내부정보유출방지를 목적으로 DLP 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. [편집자 주]

5년 전, DLP에 대해 소개한 적이 있었지. DLP의 뜻은 Data Loss Prevention, 내부정보유출방지를 의미해. DLP는 내부자에 의한 정보유출 사고를 막아주는 솔루션이야. 도면이나 고객개인정보 같은 중요정보가 나가는 것을 막아주는 것이 주요 목적이지. 데이터 중심의 개인정보보호 조치라고 할 수 있어.

DLP는 보통 네트워크를 통한 유출을 막는 네트워크 DLP와 PC를 통한 개인정보 유출을 막는 엔드포인트 DLP로 나눌 수 있어. 하지만 여기서 더! 네트워크와 PC만 막으면 개인정보 유출 위험이 사라질까? 아니야. 잊고 있는게 한 가지 있어.

서버에도 개인정보보호 조치를 취해야 해.

◇공용장소에 짐 쌓이듯 방치된 서버 내 개인정보

왜냐하면 서버안에도 공용장소에 짐 쌓이듯 개인정보가 방치되어 있거든. 심지어 어떤 개인정보가 얼마나 방치되어 있는지 아무도 몰라. 내가 보안담당자를 만나면 항상 하는 이야기가 있어. “담당자님의 회사 서버에 개인정보가 얼마나 방치되어있는지 아세요? 전 1억건 이상이라고 생각합니다. 내기 해볼까요?“

담당자들은 코웃음을 치지. 설마 그렇게 많이 저장돼 있겠냐고. 근데 검출해보면 실제로 그래. 놀랍지?

서버에 개인정보가 짐 쌓이듯 방치되는 이유는 두 가지로들 수 있어.

첫번째는 DB암호화 후에도 DB서버에 개인정보를 평문으로 방치하는 경우야. 신규 생성 테이블이나 Temp Table에 평문 개인정보를 방치하는 케이스지. 실제로 유효기간이 만료된 파기대상 개인정보를 DB서버에 방치해서 1천만명의 고객정보가 유출된 사고가 발생한 적도 있어.

두번째는 해커가 노리는 웹서버에 개인정보를 방치한 경우야. DMZ 구간의 웹서버, WAS서버, 개발서버, 테스트 서버는 해커가 노리기에 딱 좋은 서버인데 해커가 여기에 취약점 공격을 하고 해킹툴을 설치해 방치되어 있던 개인정보를 유출한다면? 사고 나기에 딱 좋지.

◇방치된 개인정보는 반드시 삭제, 필요한 정보는 암호화

그렇기 때문에 먼저 개인정보를 점검하는 것이 중요해. 주민번호, 운전면허번호 같은 고유식별번호뿐만 아니라 핸드폰번호, 카드번호 등 모든 개인정보를 분석할 수 있어야 할거야. 그리고 파일포맷에 상관없이 그 안에 들어있는 모든 개인정보를 검출할 수 있어야 하고. 압축파일도 물론이지!

점검 후에 방치된 개인정보가 발견됐다면 꼭 삭제하는 것이 중요해. 만약 꼭 필요한 정보라면 암호화하는 것 잊지마. 그리고 DBMS 암호화 이후에도 하루에도 수십건씩 평문화된 개인정보가 생성되니까 꾸준하게 추적하고 삭제하는 것이 중요해.

또 한가지 더 당부할 것은 파일공유 서비스를 서버에 연동하는 행위는 매우 위험해. 서버와 클라이언트 PC 사이에 송수신 구간을 연결해 파일을 옮기다가 해커에 의해 개인정보가 유출되면 큰일이거든. 조심해야 해.

◇전사적으로 서버 내 개인정보를 파악하는 것 중요

요즘에는 전사적으로 서버내 개인정보가 얼마나 있는지, 부서별로 얼마나 보유하고 있는지, 주민번호가 몇건이나 있는지 한 화면으로 확인할 수 있는 제품들도 나와 있어. 어떤 제품은 솔루션 하나로 모든 OS(Solaris, AIX, 리눅스기반 SUSE, Debian 등), DBMS를 버전 상관없이 한번에 확인할 수 있다고 해. 버전별, 그룹별로 호환이 되지 않아 각자 개별 서버보안 솔루션을 설치하고 수십번, 수백번 서버를 점검하고 관리했던 지난 세월에 비하면 기술이 많이 발전했지. 이런 제품이 있다는 것도 참고하면 좋겠어. (To be continued...)

글. 최일훈 소만사 연구소장 / acechoi@somansa.com

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
관련기사
목록