2021-11-29 06:20 (월)
보안컨설턴트가 전하는 정보유출 사례
상태바
보안컨설턴트가 전하는 정보유출 사례
  • 길민권
  • 승인 2012.03.23 02:46
이 기사를 공유합니다

인포섹 우현중 수석, 최근 정보보안 위협 트랜드 7가지 소개
기업들의 보안현황을 가장 잘 알고 있는 전문가들이 바로 일선 보안컨설턴트일 것이다. 우현중 인포섹 컨설팅사업본부 수석컨설턴트는 21일 개인정보보호법 대응전략 세미나에서 정보보안 트랜드에 따라 대표적인 개인정보유출 사례를 들어 참관객들의 개인정보보호에 대한 경각심을 일깨웠다.
 
우 수석은 최근 정보보안 위협 트랜드를 7가지로 요약했다. 다음은 사례별 현황과 문제점을 정리한 내용들이다.
 
◇보이스피싱
보이스 피싱으로 인한 피해 규모가 늘어나고 있는 추세다. 2011년 피해규모가 1,000억원을 돌파해 심각한 사회적인 문제로 인식되고 있다. 특히 해킹을 통해 습득한 정보를 이용해 금융기관을 이용하고 있는 이용자를 대상으로 보이스피싱이 이루어지고 있다.
 
사례를 보면, 얼마전 발신번호로 검찰특수수사과라고 사칭해 사용자에게 전화를 건 후 금융사기단 연루에 대해 출석을 요구, 관련 공문까지 팩스로 전송해 사용자에게 불안함을 심어 주었다. 이들은 신변확인 및 피해사실 확인을 위해서라는 핑계로 피싱사이트로 접속을 유도해 개인정보를 갈취하고 입력된 개인정보를 활용해 사용자의 통장에서 돈을 빼내가는 사건이 있었다.
 
◇SNS
스마트폰 확산으로 인해 일반 사용자의 개인정보위협도 PC에서 모바일로 옮겨지는 추세다. 모바일 취약점을 이용하기 위해 개인정보를 누설하도록 유도하는 텍스트 메시지를 모바일 디바이스로 전송하는 SNS피싱이 늘어나고 있다.
 
우 수석은 “SNS 활용은 공개된 개인정보를 악용해 사생활 침해로 이어질 수 있고 GPS활용으로 인한 개인의 위치를 파악해 스토킹이나 범죄의 표적 대상으로 번질 우려가 있다”고 경고했다.
 
대표적인 예로, SNS 사이트 페이스북(Facebook)의 개인정보 유출 혐의다. 페이스북이 이용자의 현재 위치와 송수신자 리스트 등 가입자들의 인터넷 활동을 추적했다고 소송을 당했다. 또 페이스북에서 제공되는 친구찾기 얼굴인식 기능은 개인정보 유출로 판단된다고 독일법원의 판결이 있었다. 페이스북은 구글과 포털에서 검색이 가능한 수준의 정보제공이라고 하고 있으나, 이미 확산된 SNS 마녀사냥의 빌미가 될 수 있어 개인프라이버시 문제가 우려된다.
 
◇전자금융 거래 인증수단 강화
우 수석은 “전자인증의 가장 근본적인 문제점은 PC나 시스템의 전자적인 형태로 저장되어 인증수단의 기술적인 부분자체에는 보안에 취약하지 않지만 저장된 이후로 복제가 가능하다”며 “금융거래를 위해 필요한 개인정보를 활용한 해킹 기법도 나날이 발전하고 있다. 전자금융거래 인증수단을 활용한 개인정보 편취 시 2차 범죄로 이용될 가능성이 크다”고 지적했다.
 
사례를 보면, 올해 2월말 경 공인인증서를 해킹해 은행계좌에서 게임아이템 구매 후 되파는 방법으로 억대금액을 빼낸 사건이 었었다. 공인인증서로만으로는 금융거래는 불가능하지만 실시간 계좌이체 서비스 등 일부 결제 서비스는 공인인증서만으로 거래가 가능하다는 것을 악용한 사례다.
 
스팸 광고메일을 발송해 악성프로그램을 설치하고 이를 이용해 공인인증서를 복사 후 아이템거래를 통한 은행계좌 거래로 1억 7,000만원 상당의 금액을 빼내간 것이다. 이는 보안카드와 OTP 등 공인인증서로만 가능하지 않은 금융거래를 파악하고, 빼돌린 공인인증서로만 결재가 가능한 서비스를 노린 범죄다.
 
◇온-오프라인 신용카드 보안
우 수석은 “오프라인 신용카드 사용시 발행된 영수증을 활용한 개인정보 수집이 일어날 수 있다”며 “이를 활용한 범죄가 일어날 수 있다”고 말했다.
 
또 “온라인 쇼핑, 금융 등을 이용하는 이용자가 신용카드 정보를 PC에 저장하고 있을 경우 해킹을 통한 유출로 개인정보를 획득한 해커가 악용할 가능성도 있고 수집된 신용카드 정보를 활용해 금전적인 피해나 원치 않는 서비스 사용 등 피해가 일어날 수 있다”고 덧붙였다.
 
예를 들면, 영국 RBS 월드페이 해킹사건이다. 2008년 캐쉬어로 알려진 다국적자로 구성된 해킹그룹이 영국의 RBS 은행의 월드페이 시스템에 침입해 신용카드 정보를 훔쳐 복제 카드를 만들고 신용카드 한도를 높여서 49개 나라에서 2,100개의 ATM기를 이용해 약 950만 달러를 인출한 사건이 있었다. 해킹 과정에서 150만 카드 이용자들의 개인정보와 금융정보, 110만의 노동자 사회보장번호가 유출된 사례다.
 
◇도청장치로 악용되는 노트북
노트북이 도청장치로 활용될 경우 중요한 기밀이나, 대화 내용이 외부로 유출될 수 있다. 이용자의 편리함을 위해 내장된 마이크 기능을 소프트웨어로 통제해 해당 내용을 도청이 가능하도록 만들 수 있는 것이다. 수집된 정보는 회사나, 공공기관의 기밀이 도청되는 부분으로 일반 해킹에 비해서 피해규모가 클 수 있다.
 
사례를 보면, 2011년 12월말 상관의 의중 확인 및 승진을 위한 방편으로 상관을 도청한 사건이 있었다. 현직 경찰 간부가 자신의 상사인 ○○경찰청장의 컴퓨터에 도청과 녹취가 가능한 소프트웨어를 불법으로 설치하고 원격조정 프로그램을 설치 후 임의로 녹취된 자료를 외부로 전송할 수 있게 한 사건이다.
 
◇모바일 보안
이용자의 스마트기기 이해 부족에 따른 취약점과 새로운 방식의 패러다임에 대한 준비부족, 악성 어플리케이션 사용으로 인한 개인정보 유출, 스마트기기로 인한 개인사생활 노출 등이 문제가 되고 있다.
 
사례를 들면, 안드로이드 배경화면을 바꿔주는 무료 애플리케이션이 400만명에 이르는 이용자의 개인정보를 유출한 바 있다. ‘재키 월페이퍼’라는 무료앱은 다운로드 받은 이용자의 인터넷 브라우저와 이용내역, 전화번호, 문자메시지 내용, 음성메일함 비밀번호 등을 수집해 중국에 있는 한 서버로 전송한다. 악의적 의도는 없으나, 개인정보를 과도하게 수집하고 있는 상황이며 악용될 경우 이용자에 피해를 줄 수 있는 2차 피해가 우려된다.
 
◇APT 공격
APT 공격은 대상이 개인보다는 공신력 있는 기관이나 대기업을 대상으로 이루어지고 있다. APT 기술자체가 총체적 공격 방식으로 개인정보 수집을 통해 여러 가지 방법을 이용한 공격으로 피해 규모가 크다. 또 이용자의 보안인식이 높지 않은 상황이고 보안에 대한 기본적인 조치가 이루어져 있지 않아 지속적으로 발생할 확률이 높다.
 
대표적인 사례로 지난해 4월 11일 발생한 농협 전산망 해킹사건을 들 수 있다. 농협 전산망 금융서버가 공격을 당한 것이다. 공격방법은 웹하드 사이트의 업데이트 프로그램으로 위장된 악성코드가 유포되고, 이 악성코드에 감염된 노트북 중 한대가 농협시스템 관리자인 것을 알게 된 해커가 7개월간 노트북을 모니터링 해서 공격을 감행한 사건이다.
 
이로 인해 내부 서버 587대중 273대 서버가 디스크 손상 피해를 입었다. 웹 서버 98대중 45대, 내부서버 440대중 180대, 테스트서버 49대중 48대가 피해를 입은 것으로 드러났다. 또 재해복구용 서버도 파괴됐고, 이 때문에 농협은 2주간 정상영업이 힘들었고 최소 80억원 이상의 피해가 발생했다.
 
우현중 수석은 “사례에서 알 수 있듯 다양한 정보유출 위험성들이 존재하고 더불어 관련법도 강화됐다”며 “기업들은 우선 개인정보보호법을 기반으로 업무특성에 따른 특별법을 분석해 적용 여부를 검토하고 개인정보의 수집에서부터 파기까지 과정을 총괄적으로 파악해야 한다. 또 파악된 Life-Cycle을 중심으로 기술적?관리적?물리적 보호조치 방안을 도출하고 시급성을 고려해 우선 순위부터 개선해 나가길 바란다”고 조언했다.
[데일리시큐=길민권 기자]