2024-03-28 21:25 (목)
사내 개인정보 현황과 흐름을 통제하라
상태바
사내 개인정보 현황과 흐름을 통제하라
  • 길민권
  • 승인 2011.06.27 06:08
이 기사를 공유합니다

소상공인-솔루션 도입보다는 관리적 보호조치 중심으로
기업들-확실한 개인정보보호를 위한 기술적 보호조치 강화해야
해킹사고가 빈번하게 발생하고 있다. 국내뿐 아니라 해외에서도 예외는 아니다. 해킹 대부분이 제로데이 취약점과 사람을 이용한 해킹이 주를 이루고 있다. 여기에 9월 30일 시행되는 개인정보보호법은 사회 전반의 개인정보보호에 대한 강한 의지를 요구하고 있다.
 
개인정보보호법은 기업이 반드시 지켜야 할 개인정보의 기술적 관리적 보호조치 기준을 주고 그 기준 이상으로 개인정보보호를 충실히 이행했음에도 불구하고 유출사고가 발생하면 어느 정도 면죄부를 주겠다는 방침이다. 반면 기술적 보호조치 기준도 이행하지 않은 상황에서 정보유출 사고가 발생하면 더욱 매서운 철퇴를 가하겠다는 것이다. 
 
옥션이 지난 1심에서 승소하게 된 결정적 이유도 ‘개인정보의 기술적 관리적 보호조치 기준’을 준수했다고 법원에서 인정했기 때문에 나온 결론이다.
 
◇개인정보 라이프사이클 거버넌스 전략=그렇다면 기업들은 어떤 준비를 해야 하나. 해킹 기술은 항상 한발 앞서가기 때문에 개인정보 유출을 100% 막을 수는 없다. 하지만 개인정보보호를 위해 최선의 노력을 다하고 있다는 것을 입증한다면 유출발생시 불가피한 소송에서 유리한 판정을 받을 수 있다.
 
개인정보보호를 제대로 하고 법적으로도 인정을 받기 위해서는 어떻게 해야 할까. 최근 선도적 동향은 라이프사이클에 걸친 프라이버시 데이터 거버넌스 전략을 적용하는 것이고 기술적인 거버넌스는 현황파악(Discovery)과 흐름통제(Flow control)가 핵심요소다.
 
김대환 소만사 대표는 최근 ‘개인정보 라이프사이클 거버넌스를 위한 기술적 보호조치’를 강조하고 있다. 김 대표는 “개인정보보호법 시행에 맞춰 소상공인의 경우는 전문적 솔루션 도입보다는 관리적 보호조치 중심으로 준비해야 하고 선도 기업들은 법 제정 취지와 기술발전의 추세에 맞춰 기술적 보호조치를 강화해야 한다”고 강조했다.
 
김 대표는 또 “프라이버시 거버넌스의 시작은 현황파악(Discovery)이다. 누가 무엇을 가지고 있는지 파악하지 못하고는 어떤 보안정책도 강제할 수 없다. PC에 얼마나 많은 고객의 개인정보가 보관되어 있는지 추적해야 하고 이들 내용을 지속적으로 삭제권고 혹은 암호화 보관 여부를 확인해야 한다”고 강조하고 “또 PC뿐만 아니라 DBMS, 파일서버 내 개인정보, 스마트폰에 저장된 개인정보파일에 대한 보호조치도 필요하고 개인정보가 어떻게 조회되고 취득되는지, 어떻게 보관되고 어디로 전송 및 유출되는지 라이프사이클에 걸쳐서 통제할 수 있어야 한다”고 덧붙였다.
 
웹서버 해킹을 통한 대량 개인정보 유출 대응 솔루션=웹서버를 경유한 DB해킹이 주로 많이 발생했다. 대형 정보유출 사고들 대부분이 이러한 경우에 속한다. 해커는 관리가 취약한 웹서버를 발견하고 인터넷에서 구할 수 있는 해킹 툴을 사용하거나 중국 해커를 고용해 웹쉘을 설치하고 웹서버 관리자 권한을 획득한다. 이후 웹서버에서 DB서버에 쿼리를 던져서 개인정보를 빼내가는 수법이다.
 
어플리케이션 서버를 통해서 오는 쿼리는 대부분 신뢰하기 때문에 접근통제가 되지 않아 해커 입장에서는 개인정보 취득이 손쉬워진다. 또 DB서버 해킹보다는 웹서버 해킹이 더 쉽기 때문에 웹서버를 통한 침해사례가 많은 이유다.    
 
김 대표는 방어 대책에 대해 “웹접속에 대한 SQL인젝션을 차단하기 위해서는 웹방화벽과 웹애플리케이션 보안 솔루션들이 필요하다. 또 웹서버에 대한 스캐너를 주기적으로 돌려서 취약점 점검을 실시해야 하고 웹서버의 OS에 대한 보안통제 도입을 위해 서버보안제품도 필요하다”며 “특히 어플리케이션 서버는 DB암호화를 하더라도 복호화권한을 가지고 있어 평문으로 결과값이 노출될 위험이 있다. 이 때는 DB방화벽을 통해 어플리케이션 서버에 의한 DB쿼리 일지라도 개인정보를 다량으로 요청하는 경우라면 로깅과 차단을 해야 안전하다”고 강조했다.
 
◇PC해킹을 통한 개인정보 탈취 대응 솔루션=웹사이트에서 코드를 배포하거나 메일에 첨부된 파일을 통해 PC에 트로이목마와 같은 악성코드를 감염시킨 후, PC에 있는 파일을 통째로 빼내가는 사고도 빈번하다. 또 PC에 보관된 개인정보 파일을 공유폴더나 특히 P2P공유 폴더를 통해 빼내가고 있다.
 
이를 차단하기 위해서는 개인정보 취급자 이외 직원들이 PC에 보관하고 있는 개인정보 파일을 검출해 삭제해야 하고 장기간 보관하고 있는 개인정보파일을 찾아내고 삭제를 유도해야 한다. 개인정보 보유 통제 솔루션이 필요하다.
 
개인정보 취급자 PC에 개인정보를 암호화해 보관해야 하는데 이를 위해서는 오피스 패스워드 설정, 혹은 전문 암호화 솔루션 도입이 필요하고 개인정보 보유통제 솔루션도 필요하다. 또 P2P 공유폴더와 윈도우 공유폴더를 자동 검출 및 해제해야 하는데 이때 PC보안과 개인정보 보유통제 솔루션이 필요하다. 물론 안티바이러스 제품은 기본이다.
 
원격 터미널 서비스를 통한 해킹 대응 솔루션=지난해 2월 게임아이템 도난 사건이 발생한 적이 있다. 이때 해커는 사내 IP에서만 가능하도록 한 방화벽 설정을 우회해 DB에 접속했다. 이들은 외부에서 터미널 서비스를 통해 회사내 PC에 접속하고 이후 DB에 접속후 쿼리를 날려서 정보를 빼내가는 수법을 썼다.
 
이러한 공격을 방어하기 위해서는 VNC, RADMIN, TELNET, FTP 원격터미널 서비스 외부 접속을 차단하는 DLP솔루션이 필요하다. 또 사내에서 DB접속 가능한 PC에서 접속이라 할지라도 개인정보 과다 취득시 차단 혹은 경보를 울려야 한다. DB방화벽이 이런 역할을 수행한다.
 
DB내 개인정를 암호화해 권한이 없는 자가 복호화하지 못하도록 권한관리도 필요한데 이때는 인가 받은 전문 DB암호화 제품이 필요하다.
 
김대환 소만사 대표는 “개인정보 DB 데이블에 대한 통제를 위해서 어떤 테이블에 개인정보가 있는지 자동적으로 식별할 수 있는 시스템이 필요하다. 또 NT계열의 파일서버와 리눅스/유닉스 계열의 파일서버에 보관된 개인정보, 스마트 및 모바일 디바이스에 숨어있는 개인정보 등등 사내 숨어있는 개인정보를 찾아서 통제관리하는 것이 가장 중요하다”며 “개인정보에 대한 전략적인 현황파악(Discovery)과 흐름통제(Flow control)가 필요하다”고 강조했다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★