데일리시큐와 머니투데이가 공동주최한 금융보안&개인정보보호페어 FPIS 2013에서 김대환 소만사 대표는 ‘컴플라이언스와 개인정보보호 2.0’이란 주제로 기조연설을 진행했다.
 
김대환 대표는 개인정보 침해사고 신규동향에 대해 “어플리케이션서버를 경유한 개인정보 조회후 유출되는 경우 기존 DB방화벽은 어플리케이션을 통한 사용자의 이상 조회 식별능력이 부족하고 1천여개의 지점에서 각각 한번씩 조회했는지 한곳에서 1천번 조회했는지 식별도 어려운 상황”이라고 지적했다.
 
또 “DB접속 권한자의 PC에 악성코드를 배포해 해킹한 후 개인정보를 탈취하는 방법도 있다. 타깃이 이메일 첨부파일이나 악성코드 배포사이트를 통해 악성코드에 감염되면 이후 해커는 DB접속 계정과 패스워드를 획득하고 접속 권한자가 부재중일 때 DB에 권한자로 접속해 대량의 개인정보 파일을 탈취해 외부로 전송해 나가는 수법이 사용되고 있다”고 설명했다.
 
그는 “웹어플리케이션서버는 외부에 노출돼 있어 가장 손쉬운 해킹의 대상이며 관리가 소홀한 웹서버가 최초 타깃이 되기 쉽다”며 “DUMP, TAR, 압축된 파일에 개인정보가 포함된 경우 실태 파악은 수작업으로 불가능하며 DB서버접근권한이 없이 웹서버 해킹만으로도 수백만건의 개인정보 유출사고가 발생하고 있다”고 지적했다.
 
이렇게 개인정보유출 사고가 발생해 집단소송에 휘말리면 법원은 소송 판결 기준시, 법규준수와 선관자의 의무를 다했는지 판단하게 된다. 즉 피고측이 선량한 관리자로서 기술적, 관리적 보호조치 의무를 다했는지를 판단하는 것이다.
 
김 대표는 선량한 관리자로서 기술적, 관리적 보호조치 의무를 다하기 위한 몇가지 주요한 내용들을 소개했다.
 
우선 개인정보보호법의 접근통제시스템 설치 및 운영에서 개인정보처리시스템 접속권한을 IP 등으로 제한하고 접속IP 등을 재분석, 불법적 유출시도를 탐지하려면 DB방화벽으로 접근통제와 어플리케이션 경유한 이상징후 분석 등이 필요하다는 것.
 
개인정보의 암호화 항목에서는 인터넷구간 및 인터넷과 내부망의 중간 지점인 DMZ에 고유식별정보 저장시 암호화를 해야 한다는 것이다. 즉 웹서버내 개인정보 파일 검출 및 암호화 조치를 해야 한다는 점이다. 또 개인정보 저장현황을 분석하고 업무용 컴퓨터와 고유식별정보저장시 상용암호화 SW 또는 안전한 암호화알고리즘으로 암호화 저장해야 한다. 이를 위해서는 엔드포인트 DLP, DRM, 파일 암호화 등의 보호조치가 필요하다.
 
또 접속기록의 보관 및 위변조 방지 항목에서는 쿼리 툴을 사용한 DBMS 직접 조회에 대한 로그와 어플리케이션을 경유한 개인정보 조회에 대한 로그를 최소 6개월 이상 보관, 관리 해야 한다. 이때 어플리케이션을 통한 개인정보 조회에 대한 로그 관리의 필요성이 대두된다는 점이다.
 
정보통신망법 고시에서도 유사한 점이 있다.
접근통제 조항에서 개인정보 접근자 최소화 항목을 충족시키기 위해서는 개인정보 취급자 이외의 개인정보접근 단말에서 쿼리 개인정보 결과값 저장, 복사 및 출력 통제가 요구된다.
 
또 접속로그 관리 조항을 충족시키기 위해서는 개인정보처리시스템 접속 수단인 쿼리 툴을 통한 직접접속 조회, 웹어플리케이션 경유 조회, 셀 서비스를 통한 조회 등에 대한 접속로그를 6개월 이상 보관해야 한다.
 
더불어 시스템관리자, DB관리자에 의한 로그위변조를 차단해 법적 증거력을 확보할 필요가 있고 개인정보취급자라 할지라도 PC에 보관된 개인정보는 암호화해서 보관하고 바이러스 백신 솔루션, 악성코드 배포 웹페이지 접속 차단 솔루션 및 패치관리 솔루션이 필요하다. 또 개인정보 출력, 복사기록에 대한 감사로그 확보도 관건이다.
 
김 대표는 또 개인정보에 대한 전사적 통제 체제 즉 거버넌스 획득을 강조했다. 그는 “개인정보에 대한 통제 체제 즉 거버넌스 획득을 위해 개인정보 보유현황 분석과 개인정보 조회 및 취득 통계, 개인정보 전송과 유출의 3단계에 대한 통제와 감사가 필요하다”고 밝히고 또 “선한관리자 의무 준수를 위해 유출 사고재발방지, 컴플라이언스 준수, 동종업계 평균이상 보호조치가 필요하다. 더불어 사고에 대한 선제 대응 및 사후분석을 위해 개인정보 통합관제와 빅데이터 처리 체계가 필요하다”고 강조했다. 좀더 자세히 살펴보면 다음과 같다.
 
개인정보 보유 현황 파악 및 보호조치를 위해 PC뿐 아니라 DBMS, 파일서버 내 개인정보, 스마트폰에 저장된 개인정보파일에 대한 분석 및 보호조치가 이루어져야 한다고 강조한다. 즉 PC의 개인정보 보유현황, DBMS의 개인정보 보유 현황, 파일서버에 보관된 개인정보 보유현황, 스마트폰 및 모바일 디바이스에 보관된 개인정보 보유 현황 등이 필요하다.
 
또 개인정보 취득과 조회 통제를 위해서는 개인정보가 어떻게 조회 및 취득되는지 통제와 감사가 필요하다. 쿼리 툴을 통한 개발자 및 DB관리자 접근(망분리), 어플리케이션을 통한 일반 취급자 접근, 쉘 서비스를 통한 시스템관리자 접근 등 이상징후에 대한 분석 및 감사가 필요하다.
 
그리고 개인정보 전송, 유출 분야는 개인정보의 외부 전송 및 유출 통제를 하는 것이다. 인터넷틀 통한 개인정보 전송, USB 등 미디어를 통한 복사 및 전송으로 그리고 출력물을 통한 적용 복사 및 전송, 출력물을 통한 개인정보 출력, 비업무사이트 통제 및 인터넷 통제가 필요하다.
 
김 대표는 또 APT 공격 대응책과 관련 “비업무 사이트 카테고리를 차단하고 악성코드 배포 페이지 접근 차단, 단말로 다운로드된 파일실시간 동적 분석이 필요하다”며 “웹포트로 접속한 터미널 서비스를 차단하고 표준 HTTP를 따르지 않은 웹접속을 차단할 것”이라며 또 “메일, 웹메일, 웹하드, 웹게시판, 메신저 통한 개인정보 전송시 통제 및 감사 그리고 마지막으로 권한있는 DBA의 접속기록이더라도 응답값에 주민번호 수만건 포함시 차단 혹은 경보를 울려야 한다”고 강조했다.
 
그는 마지막으로 “오픈 소스기반 빅데이터 분석이 중요하다. 즉 보안사고 발생후 분석의 속도, 정확성, 다양성을 제고해야 한다”며 “기존 방화벽 로그분석이 하루~1주일 걸리던 것이 1시간~하루면 끝난다. 웹 접속 로그분석, 메시징아카이빙 감사 분석은 1~2주 걸리던 것이 3초~10초면 끝난다. 기존보다 10배에서 1,000배 속도가 개선될 수 있다”고 소개했다.

FPIS 2013 발표자료는 데일리시큐 자료실에서 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com