2019-10-18 00:39 (금)
소만사 “개인정보유출 통로로 악용될 수 있는 HTTPS, 대응 필요해”
상태바
소만사 “개인정보유출 통로로 악용될 수 있는 HTTPS, 대응 필요해”
  • 길민권
  • 승인 2016.04.24 00:11
이 기사를 공유합니다

최일훈 부사장 “고객주민번호 1천만건을 지메일로 전송한다면 어떻게 될까”
국내 최대 개인정보보호 컨퍼런스 G-Privacy 2016이 지난 4월 6일 양재동 더케이호텔서울 가야금홀에서 정부, 공공, 금융, 교육, 일반기업 개인정보보호 실무자 850여 명이 참석한 가운데 성황리에 개최됐다.
 
이 자리에서 개인정보보호 전문기업 소만사 최일훈 부사장(사진)은 ‘개인정보보호와 DLP 최신 기술동향’이란 주제로 키노트 발표를 진행했다.
 
최 부사장은 개인정보 유출 사고 대응을 위해 소만사(대표 김대환) DLP는 4단계의 방어체계를 갖춘다고 설명했다. 정리하면 아래와 같다.
 
◇1단계: 서버 DLP를 통한 서버와 DBMS에 보관된 개인정보 검출 및 보호조치
서버와 DBMS에 보관된 개인정보 검출 및 보호조치 역할을 한다. 서버에 개인정보가 얼마나 저장되어있는지 검출해 낸다. 특히 DUMP, TAR, 다중압축파일 등 다양한 서버파일 내 개인정보 검출이 가능하다. 즉 압축파일 내 숨어있는 개인정보와 파일포맷이 변경된 경우라도 검출이 가능하다. 또 1G 이상 대용량 파일 내 개인정보 검출도 가능하다.
 
◇2단계: WAS를 통한 개인정보 과다조회 통제
기존 DB방화벽과는 달리 최종 조회자 IP와 ID 추출이 가능하고 최종 사용자가 조회한 개인정보 주체 식별정보를 포함 페이지에 대한 감사기록 축적이 가능하다. 또 개인정보 처리시스템인 WAS, SAP 등을 대상으로 암호화 통신(HTTPS) 처리가 가능하다.
 
이를 통해 실제 사용자 IP와 ID 추출을 통해 누가 했는지, 조회대상 즉 누구 것을 보았는지, 또 최종 사용자가 본 페이지(TEXT, HTML)가 저장된다. 지사나 지점, 대리점, 콜센터 등에서 이루어지는 개인정보 과다조회를 분석, 통제할 수 있게 된다.
 
◇3단계: DB DLP와 엔드포인트 DLP
DB DLP와 엔드포인트 DLP를 결합하면 DB 등 주요 서버 접속 후 유출에 대한 통제와 DB 접속 후 생성, 복사한 개인정보 파일의 추가적인 유출 통제를 강화할 수 있다. 즉 DB 접속 후 생성된 파일을 실시간 검출하고 출력을 통제하고 데이터 카피와 USB 카피를 통제할 수 있다. 사내 직원중에 DB 쿼리툴에서 개인정보를 조회 후 마우스 오른쪽 버튼으로 복사를 선택하면 개인정보 복사 차단이 이루어져 유출을 통제하게 된다.

 
◇4단계: 네트워크 DLP=HTTPS, 암호화 통신의 보안 이슈
HTTPS 암호화 통신은 스니핑(훔쳐보기) 공격을 방어하고 도감청 방지, 프라이버시 보호 등의 장점이 있지만 개인정보유출을 위한 안전한 터널을 보장한다는 단점을 가지고 있다. 또 악성코드 배포를 위한 안전한 장치로 악용될 수 있으며 네트워크 컨텐츠, NDLP 장비를 무력화할 수 있다. 이를 통해 사전통제와 로그확보가 불가능해 질 수 있다는 치명적 보안위협을 동시에 내포하고 있는 것이다. 만약 고객주민번호 1천만건을 암호화 통신을 하는 지메일로 타인에게 전송한다면 어떻게 될까.
 
이에 최일훈 부사장은 소만사 ‘WEB DLP’와 ‘Mail DLP’의 필요성에 대해 강조했다. 그는 “WEB DLP는 HTTPS 프록시와 DLP 일체형 어플라이언스로 구성된다. 이를 통해 지메일로 주민번호 10건 이상 전송시 사전차단을 하며 최근 3년 동안 지메일로 전송된 메일 중 주민번호가 포함된 것을 모두 검색할 수 있다”며 “HTTPS를 HTTP로 복호화 후 차단 여부를 결정하고 이후 다시 HTTPS로 암호화해 전송하게 된다”고 설명했다. 현재 국내 대기업과 공공기관에서 도입해 사용하고 있다.
 
마지막으로 최일훈 부장은 “최근 개인정보 유출사고를 분석해보면 권한자의 의도적 유출이 다수를 차지한다. DB에 접속한 후 개인정보를 USB, 출력물, FTP를 통해 유출한다. 또 APT 공격을 통한 유출도 증가하고 있다. DB접속 권한자 PC에 악성코드를 배포해 감염시킨 후 개인정보를 유출하기도 한다”며 “한편 개인정보 유출은 집단소송으로 이어진다. 최근 개인정보유출사고 소송에서 원고승소 판결이 늘어나고 있다. 침해사고로 소송이 발생할 경우 법원의 판단근거는 ‘선량한 관리자로서 기술적 관리적 보호조치 의무를 다 했는가’가 된다. 즉, 각 기관은 유출사고를 대비해 개인정보의 라이프 사이클에 걸친 선량한 관리자의 의무를 다 해야 한다”고 강조했다.
 
소만사 최일훈 부사장의 발표내용은 데일리시큐 자료실에서 다운로드 가능하다.
 
한편 데일리시큐는 오는 5월 17일 의료기관 개인정보보호-정보보안 컨퍼런스 MPIS 2016을 개최한다. 올해 3회째를 맞는 MPIS 2016은 국내 최대 의료 정보보호 컨퍼런스로 전국 국공립, 대학병원, 대중소 병원 개인정보보호 및 정보보호 실무자 400여 명이 참석한 가운데 최신 보안정보를 공유하는 자리다. 현재 참가를 희망하는 국내외 보안기업을 모집중에 있다. 참가 문의는 데일리시큐 길민권 기자에게 하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com