2024-05-23 13:10 (목)
"왜 최신 개인정보 차단 솔루션에도 불구하고 정보 유출이 계속될까?"
상태바
"왜 최신 개인정보 차단 솔루션에도 불구하고 정보 유출이 계속될까?"
  • 길민권 기자
  • 승인 2024.04.22 11:50
이 기사를 공유합니다

대부분 기관의 웹 시스템의 구성도. 엘세븐시큐리티 제공.
대부분 기관의 웹 시스템의 구성도. 엘세븐시큐리티 제공.

개인정보보호에 대한 이슈가 생기기 시작한것도 벌써 20여년이 되어간다. 개인정보의 유출은 다양한 방법으로 이루어 지고 있다. 또한 개인정보가 유출 되는 시스템도 다양하다. 특히 자주 발생 하는것이 해킹에 의한 고객 DB의 유출이다.  그러나 오늘은 해킹을 차단 하는것 보다는 조금 쉬운 개인정보차단 솔루션을 통하여  홈페이지의 게시판을 통한 개인정보 노출차단에 대해서 알아보자. 

해킹에 의한 것은 외부에서 악의적으로 침입하지만 홈페이지 게시판을 통한 개인정보의 유노출은 담당자의 실수나 일반시민의 실수로 인하여 개인정보가 유출 되는 경우가 대부분이다. 작년에 발생하였던  개인정보 노출 사례를 분석해보면 담당자의 실수로 인해 발생 하였다고 보지만 이것 역시도 차단 할 수 있는 방법은 있었다. 결론적으로 다운로드의 차단( Outbound 차단)이 중요했다. 이 기능만 작동 되었다면 개인정보의 유노출은 없었을 것이다. 

개인정보 차단 솔루션이 있었음에도 개인정보가 유출 되는 사례를 분석해보면 다음과 같다. 

위의 그림에서 보듯이 WAS 서버는 내부망에 연결 된 경우가 많다. 또 외부망에 있어도 마찬가지이다. 웹 시스템을 운용하는 기관의 운영자나 관리자는 웹 서버를 통하지 않고 바로 WAS 서버에 접속을 하여 글을쓰거나 공지사항을 등록하고나, 민원에 대한 답변을 쓴다. 이뜻은 상단에 설치된 개인정보차단 솔루션을 통과 하지 않는 다는 것이다. 

이와 같이 운영자나 관리자가 등록하는 글에 개인정보가 있었디면 바로 노출이 되고 구글이나 네이버 등과 같은 검색엔진을 통하여 유출 사고가 날수 밖에 없다. 물론 담당자가 주의 해야 하지만 실수로 올렸다고 하더라도 차단 할 수 있으면 더욱 좋았을 것이다. 이와 같은 실수에 대해서도 차단을 하려면 상단에 있는 개인정보 차단 솔루션이 다운로드 차단 기능이 있으면 된다. 

다운로드 차단(Outbound 차단) 기능이라는 것은 사용자가 게시판의 글을 클릭 했을때 사용자에게 전송할 글 안에 개인정보가 있으면 차단 할 수 있는 기능이다. 만약 구글이나 네이버와 같은 검색엔진 로봇이 들어 왔을때에도 다운로드 차단 기능이 있으면 외부로 개인정보의 유출은 없앨수 있다. 개인정보의 유출 차단에서 가장 중요한 기능중에 하나이다. 

이 기능이 매우 간단해 보이고 당연히 있어야 하는 기능이지만 개인정보 담당자는 이 기능을 간과 하는 경우가 많다. 개인정보차단 솔루션이 있으니 당연히 다 될것이라는 안일함이 큰 피해를 가져온다. 개인정보보호 솔루션 개발사들도 이 기능이 잘 작동 할 수 있도록 노력해야 한다. 하루종일 게시판에 글을 쓰는 사용자 보다는 게시판의 글을 클릭 하는 사용자가 훨씬 많고 최근에는 문서내의 텍스트만 개인정보를 탐지 하는 것이 아니고 문서내의 이미지까지도 탐지하고 차단 할 수 있어야 하기에 개인정보차단 솔루션의 부하를 없애면서 이미지에 대한 탐지도 잘하면서 개인정보를 차단 할 수 있어야 한다. 

엘세븐시큐리티의 원찬영 상무는 “개인정보의 유출을 차단 하는 방법에서 다운로드의 차단 기능은 매우 중요하지만 고객이 잘 모르고 있는 것이 안타깝다”고 말하면서 지금 쓰고 있는 개인정보 차단 솔루션이 이 기능이 되는지 한번만 테스트를 하여보고 이미지까지도 탐지 하면서 홈페이지 속도가 떨어지지 않는지를 테스트 해 보면 된다고 말한다. 엘세븐시큐리티가 납품한 거의 모든 사이트는 이미지에 대한 개인정보를 탐지 하면서 다운로드 차단 기능을 지원하기에, 특히 트래픽이 많은 대형 사이트 일수록 엘세븐시큐리티의 제품을 도입한다고 자신감을 보였다. 

다운로드 차단 기능을 지원 하기 위해서는 트래픽 처리량이 커야하고 대용량의 파일과 대용량 트래픽 처리 기술이 접목 되어야 한다. 또한 이미지 속 개인정보의 처리를 잘 하기 위해서는 OCR의 성능은 기본적으로 따라 줘야 하기도 한다. 기술이 발달 하면서 이미지에 대한 개인정보 차단도 반드시 해야 하는 필수 과제가 되었다. 

다운로드 차단 기능은 2022년, 2023년 개인정보 관리 수준진단에서 평가 항목으로 발표될 정도로 개인정보보호 위원회에서도  중요하게 보고 있는 기능이다. 다운로드 차단 기능이나 이미지에 대한 개인정보 차단 기능은 많은 제품들이 지원하는 기능이기에. 트래픽 처리량이 충분한 제품을 도입해서 개인정보유출도 차단 하고 안정적인 웹 시스템 운영이 되도록 해야 한다고 원찬영 상무는 말한다. 

 

 

 

 

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★