2024-03-29 17:05 (금)
개인정보유출 사고의 기술적 원인분석과 보호대책
상태바
개인정보유출 사고의 기술적 원인분석과 보호대책
  • 길민권
  • 승인 2012.01.17 05:38
이 기사를 공유합니다

악의적 해커의 DBMS 무단접근…방어전략 세워야
개인정보유출은 대부분 개인정보가 체계적으로 저장되어있는 개인정보처리시스템인 DBMS에 대한 무단접근으로 이루어지며 이를 방어하기 위하여 ‘DB방화벽’(접근통제)과 DB암호화 솔루션이 기술적 보호조치로써 제시된다.
 
‘DB방화벽’으로 일컬어지는 네트워크보안장비는 접근권한이 없는 사용자의 접근을 통제하고 DB접속에 대한 감사로그 축적이 주역할이다.
 
‘DB암호화’는 복호화 권한이 없는 사용자나 애플리케이션의 개인정보무단취득방지가 주역할이다. 이러한 1세대 개인정보보호장비는 권한없는 사람을 쫓아내는 것에(keeping bad guys out ) 초점을 맞추고 있었다.
 
그러나 최근에는 권한있는 사용자(애플리케이션)가 접속한 것으로 보이지만, 정말 그 접속이 권한있는 사용자로부터 나왔는지 분별하기가 갈수록 난해해지고 있다.
 
2008년, A사의 1800만건 개인정보유출 사고는 웹서버를 해킹하여 DBMS접근권한을 획득한 후 웹서버에서 DBMS로 개인정보를 정당하게 조회하여 일어났다. 2010년, S포털 3,000만건 개인정보유출사고는 APT(Advanced Persistent Threat) 공격으로 DB접속권한을 가진 사용자 PC를 경유하여 DBMS내 개인정보를 유출한 것으로 드러났다.


<인터넷의 익명성을 풍자한 미국 만화가 피터스타이너의 카툰>
 
PC가 APT공격 등으로 좀비 PC로 변모하면, 그 PC의 원래 사용자가 가졌던 모든 접근권한이 해커에게 넘어갔다고 볼 수 있다. 미국 만화가 피터스타이너는 '인터넷에선 당신이 개라는 사실을 아무도 모른다(On the Internet nobody knows you're a dog)'는 유명한 경구를 남겼다.
 
인터넷상에서 상대방이 ‘개’인지 ‘사람’인지 구별할 수 없는 것처럼 DBMS접속자가 정당한 권한자인지, (ID와 비밀번호 심지어 공인인증서까지 도용한) 해커인지 구별하는 것은 점점 어려워지고 있다.
 
특히, 애플리케이션이 요구하는 쿼리(query)는 정당한 쿼리인지 해커가 던지는 것인지 구별하기가 어렵다. 해커가 웹서버를 해킹하여 웹서버 최상위권한을 획득한 경우에는 DBMS자체를 암호화하더라도 웹서버에서 던지는 쿼리에 대해서는 (대부분의 경우)복호화되어 평문으로 전송되기 때문에 개인정보를 쉽게 유출할 수 있다.
 
(복호화를 DBMS단이 아니라 어플리케이션단에서 수행한다면 단순한 웹서버 해킹으로는 암호화를 풀기 어려워진다. 그러나 이러한 방식은 어플리케이션단까지 수정작업이 들어가야 하며 정교한 키관리 방식의 암호화가 선행되어야 한다.)
 
이제는 권한있는 사용자(애플리케이션)의 접근만 기계적으로 통제하는 것에서, 권한있는 사용자라도 이상징후를 감지하고 통제하며 개인정보 조회 이후의 행동까지 추적, 통제하는 것으로 진화해야 한다.
 
권한있는 사용자(혹은 애플리케이션)라 할지라도, DB내 개인정보를 과다조회(예: 주민번호 1만건)하거나 혹은 반복적으로 (예: 100건씩 매일 100번 조회)조회했다면 경보해야 하며 조회 이후 행동에 대해서도 일관성있게 추적하여 통제해야 한다.
 
암호화도 마찬가지로 ‘대용량 정보의 복호화 시도’ 혹은 ‘지속적인 복호화 시도’가 이루어진다고 하면, 경보할 수 있어야 한다.
 
G사 개인정보유출 사고는 권한있는 사용자가 한번에 1천~1만건씩 꾸준히 조회한 후에 이를 엑셀파일로 저장하여, USB로 유출한 경우이다. S카드사의 개인정보유출 사고는 내부자가 개인정보를 조회한 후 출력을 통해 유출한 경우라고 알려져 있다.
 
이러한 사고 재발을 위하여 권한있는 사용자의 접근이라 하더라도, 개인정보 조회 후 복사하여 붙여넣거나, 출력하거나, 파일로 저장하는 것을 통제하거나 경보해야 한다.
 
개인정보를 눈으로만 조회해야지 복제하거나 재가공해서는 안되는 것이다. 개인정보를 대량으로 조회한 PC에 대해서는 조회 후 인터넷 전송, USB 파일복사와 출력을 엄격하게 제한하는 것을 들 수 있다.
 
PC에서 조회된 이후 외부로 유출되는 수단은 크게 USB저장, 인터넷전송, 출력 3가지이다. 해커의 경우에는 웹메일, 웹하드, 터미널 서비스 등 인터넷 전송을 선호할 것이며, 내부자인 경우에는 USB와 출력물을 선호할 것이다.
 
네트워크 DLP와 엔드포인트 DLP는 이러한 사외와 사내 경계선을 벗어나는 유출에 대해서 차단 혹은 감사로그 축적 등의 역할을 수행한다. 사내에서 이뤄지는 원격 터미널서비스 차단에 특화된 기능을 탑재한 네트워크보안장비도 조금씩 등장하는 것으로 보인다.
 
내부원리는 생각보다 간단하다. (원리를 소개하면 해커들이 우회할 것이니 방식에 대한 소개는 나중에 하도록 한다.) 요컨대, DB에 대한 접근통제와 암호화는 고도화되어서 권한자의 비정상적인 접근을 경보, 통제할 수 있는 기능을 탑재해야 하며, 개인정보조회 이후에 인터넷, USB, 출력물을 통한 유출까지도 일관성있게 통제해야 할 것이다.
 
이는 DB에서의 조회, PC에서의 저장, 외부로의 전송경로까지 개인정보 라이프사이클 전체에 일관되게 적용되는 Privacy Data의 Governance를 달성하는 길이기도 하다.
[최일훈 소만사 연구소장 acechoi@somansa.com]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★