2020-02-27 07:50 (목)
악성파일과 해커의 통신, 리버스 커넥션 차단해야!
상태바
악성파일과 해커의 통신, 리버스 커넥션 차단해야!
  • 길민권
  • 승인 2012.06.14 05:40
이 기사를 공유합니다

김대환 대표 “DB쿼리 결과값에 개인정보 다량 포함…무조건 차단”
“인터넷 접속 모드와 개인정보 처리시스템 접근 모드로 분리해야”
데일리시큐가 주최한 개인정보보호법 위험도분석표 컨퍼런스가 지난 6월 12일 팔래스호텔 그랜드볼룸에서 개최됐다. 이날 행사는 행정안전부 개인정보보호과의 도움과 소만사의 운영지원으로 이루어졌다.
 

<소만사 김대환 대표 발표 장면>

소만사 김대환 대표는 ‘Challenge to Privacy Data Governance-APT 공격과 망분리’라는 주제로 첫 발표를 진행했다.
 
김대환 대표는 “2008년 이후 개인정보 유출은 관리가 소홀한 웹서버를 해킹한 후 DB서버에 접속해 개인정보를 탈취해가는 방법을 취하고 있다. 실제로 A사, H사, L사 등이 웹서버 해킹에 의해 DB서버가 공격당한 사례들”이라며 “관리가 허약한 웹서버의 취약점을 활용해 웹쉘을 설치해서 관리자 권한을 획득하고 개인정보를 빼내가는 수법이다. 이때 정당한 웹서버의 DB쿼리로 위장해 정보를 빼내가기 때문에 암호화도 우회가 가능하다”고 강조했다.
 
또 김 대표는 “DB접속 권한자의 PC를 악성코드 배포를 통해서 해킹을 하는 방법이 사용되고 있다. 소위말하는 APT 타깃 공격이다. 주로 이메일의 첨부파일을 이용해 타깃 인물의 PC에 악성코드를 감염시키고 이후 DB계정과 패스워드를 탈취한다”며 “접속 권한자가 부재중일 때 인가자 권한으로 DB에 접속해 개인정보 파일을 탈취하는 수법이다. 이때도 DBA의 합법적인 DB접속임을 가장해 DB에 접속하기 때문에 DB가 암호화되어 있더라도 복호화가 가능하게 된다”고 설명했다.
 
그는 APT 공격에 대한 단계적 방어를 강조했다. 우선 그는 “대량 악성코드 배포는 P2P, 웹하드 등 사이트에서 이루어지고 있는데 이에 대한 카테고리 접속차단이 이루어져야 하고 PC로 다운로드 되는 악성 실행파일에 대해 동적인 행위분석이 이루어져야 차단이 가능하다”고 밝히고 “만약 악성코드가 실행됐다면 해커와 통신이 이루어져야 하는데 이때는 웹포트 이외 모두 차단하고 웹 우회 트래픽의 정당성도 철저히 분석해야 한다. 또 대량의 개인정보를 조회하는 정당한 사용자의 이상징후도 통제해야 하며 빠져나가는 인터넷 통신 채널을 틀어 쥐고 통제하는 것이 중요하다. 그리고 개인정보처리시스템과 접속시스템에 대한 분리도 필요하다”고 설명했다.  
 
특히 터미널, 프락시, 터널링 서비스에 대한 블랙리스트 방식의 차단이 필요하다고 그는 설명했다. 김 대표는 “다운로드된 악성 실행파일과 사이버 범죄자의 접속을 차단하기 위해서 웹과 SMTP 외에는 모두 차단해야 한다. 표준 웹접속인지 무늬만 웹접속인지 식별해야 하고 NetCat, SSH통신, Xwindows통신, VNC통신 등을 차단해야 한다”며 “오직 사내 프락시를 경유하는 통신만 허용해야 한다”고 강조했다. 
 
또한 “개인정보 유출은 결국 DB쿼리 결과값으로 이루어진다. DB쿼리 결과값에 개인정보가 다량 포함된 경우에는 무조건 차단해야 한다”고 밝히고 “DLP 솔루션으로 메일, 웹메일, 웹하드, 메신저, 게시판, SNS 등으로 전송되는 개인정보 파일 내용 기록 및 내용기반 차단을 해야 한다”고 설명했다.
 
한편 망분리에 대해서도 김대환 대표는 “망분리를 위해 PC구매와 유지 비용이 10만명 회사의 경우 1200억의 초기 투자와 매년 200~300억의 운용비용이 필요한 상황이다. 또 망의 단절로 인한 업무 효율성 저하는 필연적”이라며 “인터넷 접속 모드와 개인정보 처리 시스템 접근 모드로 분리하는 것이 효과적이다. 개인정보 처리 시스템 접근시에는 외부 인터넷 접속을 차단하고 인터넷 접속 모드에서는 개인정보 처리시스템 접속모드에서 생성된 파일에 대한 접근을 차단하는 것이 효율적”이라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com