2024-03-29 14:45 (금)
해커의 공격일까, 정당한 접속일까…알쏭달쏭
상태바
해커의 공격일까, 정당한 접속일까…알쏭달쏭
  • 길민권
  • 승인 2012.01.04 17:33
이 기사를 공유합니다

소만사, 2012년 개인정보보호 유출 대비 7계명 제안
개인정보보호 전문기업 소만사(대표 김대환)에서 개인정보유출에 기업들이 주의해야 할 사항들을제시했다. 다음은 소만사의 2012년 개인정보유출대비 7계명 내용이다.  
 
1. 직원으로 위장한 해커! 정당한 사용자를 위장한 유출 공격을 대비하라.  
해커의 공격인지, 정당한 사용자의 접속인지 구별하기가 어려워지고 있다. APT공격으로 사내 PC가 원격조종되면 해당 PC 사용자의 모든 권한이 해커에게 넘어갔다고 할 수 있다.
인증을 모두 통과한 사용자라도 DB에서 주민등록번호를 1만건 취득해간다면 경계해야 한다. 또 웹서버에서 카드번호 1만건을 요청한다면 경보/차단해야 한다. 해커의 조종일 가능성이 높다.
 
2. 가장 취약한 링크! 웹애플리케이션서버(WAS)를 보호하라.
웹애플리케이션은 대부분 DB내 데이터에 대한 복호화권한을 가지고 있다. 따라서 웹애플리케이션이 뚫리면 DB암호화는 효과가 없을 수도 있다.
웹서버에서 DB서버로 고객 주민번호 1만건을 요청한다면 차단해야 한다. 웹서버에 개인정보파일 (tar파일, temp파일, DAT파일)이 방치되어 있지 않는지 점검해야 한다. 원격터미널서비스(telnet/ftp 등)으로 웹서버에 접근하는 모든 이력을 기록해야 한다. 웹서버 취약점 점검도구를 상시적으로 활용하고 웹방화벽을 설치해야 한다.  
 
3. 사내와 사외 사이 경계! 경계를 이탈하는 자료를 통제하라.  
일단 회사의 경계선을 벗어나면 보안통제가 불가능하며, 유출을 각오해야 한다. 최소한 누가, 어떤 정보를 내보냈는지는 알고 있어야 한다.  
경계선을 이탈하는 3대 수단은 모바일디바이스, 출력물, USB 등이다. 주요정보가 스마트폰으로 대표되는 모바일 디바이스에  방치되는 것을 막아야 한다.
개인정보가 출력될 때는 기록해야 한다. 개인정보파일을 USB에 복사할 때는 결재를 거쳐야 하며 파일사본을 회사에서 보관해야 한다.
 
4. 최소화가 해답! 개인정보 보유를 최소화하라.
해킹을 완벽하게 막을 수는 없다. 노출 및 방치되는 개인정보 최소화가 해답이다. PC, DBMS, 웹서버, 스마트폰에  개인정보가 방치되지 않아야 합니다. 파기하거나 암호화 저장 해야 한다.  
보유기간이 지난 개인정보파일은 파기한다. 6개월 이상 장기보관된 개인정보는 파기가 원칙이다.보안은 한번으로 끝나면 안된다. 지속적인 관리가 중요하다. DB암호화를 했더라도, DB안에 평문으로 된 View Table, Temp Table이 생성되는지 지속적으로 관리해야 한다.   
 
5. 클릭 한번이면 유출! 네트워크를 주시하라.
메일, 웹메일, 웹하드, 메신저, 웹게시판은 가장 손쉬운 유출수단이다. 개인정보 포함 파일을 외부로 전송할 때는 차단하거나, 결재 후 전송하도록 해야 한다. 원격터미널, 특히 웹포트로 우회하는 터미널 서비스를  통제해야 한다.  
 
6. 악성코드 배포지! SNS를 통제하라.  
기존 DDos공격은 주로 웹하드와 파일공유 서비스를 통해서 이루어졌지만 앞으로는 SNS가 악성코드 배포의 주요 매개가 될 것이다. 사내 SNS 활용방침을 만들고 준수해야 한다.  
SNS상의 이상한 애플리케이션 실행 금지, 업무시간에 주요 PC에서의 SNS접속 원칙적 금지 등의 조항을 포함해야 한다.  
 
7. 심장마비 구급약! 개인정보소송 대비 매뉴얼을 구비하라.
아무리 노력해도 유출사고는 발생할 수 있으며 따라서 소송에 처할 수 있다. 유출사고 발생시에는 어떻게 대처할 것인지 비상대책 매뉴얼 한권쯤은 구비하고 훈련해야 한다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★