| 전문가 3인이 말하는 개인정보 유출 “이것이 문제로다” | 2014.09.26 | |||
개인정보 유출, 홈페이지 위·변조·SW오류·웹사이트 관리 미흡
[보안뉴스 김경애] 올해는 유독 개인정보 유출사고가 많았다. 굴지의 대기업부터 모범이 되어야 할 공공기관, 보안환경이 열악한 중소기업 등 털리지 않은 곳이 없을 정도다. 이에 본지는 개인정보 유출사고의 원인과 문제점에 대해 짚어보고, 보안전문가들이 제시하는 해법을 들어봤다.
◆홈페이지 위·변조 ‘기승’...개인정보 유출로 확장
우선 개인정보 유출에 있어 가장 큰 문제점으로 홈페이지 위·변조를 꼽은 유엠브이기술의 조혁래 상무는 “홈페이지 위·변조 공격은 국가기관과 기업의 신뢰도, 인지도에 큰 손상을 줄 뿐만 아니라 이용자에게 개인정보 유출에 대한 불안감과 위험을 고조시키고 있다”며 “홈페이지 위·변조 가능성부터 꼼꼼히 점검해야 한다”고 당부했다. 이는 지난 8일 이탈리아 보안전문가 Paolo Passeri가 개인 블로그에서 발표한 2014년 8월 사이버 공격 통계를 봐도 알 수 있다. 공격유형 중 1위(23.9%)가 알려지지 않은 공격이였으며, 2위가 웹페이지 변조(19.7%)였기 때문이다. 홈페이지 위·변조와 관련해 조 상무는 실시간 홈페이지 위변조 탐지 및 복원과 웹소스파일에 대한 이력관리가 이뤄져야 한다고 제시했다. 특히, 웹 소스코드의 이력관리를 통해 소스코드 내의 변경된 부분 확인과 함께 파일 변경 히스토리 관리가 필요하다는 것이다. 또한 대량의 웹사이트에 대한 중앙집중형 관리로 환경설정, 탐지조치, 업데이트 등이 가능해야 한다고 강조했다. ◆SW오류가 개인정보 유출 원인 ‘주범’ 이어 트리니티소프트 최경철 이사는 SW오류로 인한 개인정보 유출 위험성을 우려하면서 △파라미터 특정값 변조 △패킷조작 △프레임워크 사용오류 등의 문제를 지적했다.
패킷조작의 경우 프록시 툴 등을 이용해 데이터베이스 계정정보를 취득할 수 있다. 마지막으로 프레임워크 사용오류는 파라미터에 공격패턴이 삽입돼 SQL Injection Tool을 적용하면 파라미터 처리 미흡으로 적용되지 않는 경우가 많다는 것이다. 따라서 SW오류 테스트가 선행돼야 하며, 그러기 위해선 웹스캐너, 소스코드에 대한 동적·정적 분석이 이뤄져야 한다는 게 최 이사의 설명이다. ◆웹사이트 관리 구멍, 개인정보 ‘줄줄’ 최 이사는 “사용하지 않거나 삭제했다고 생각한 2000년대 초반의 URL이나 홈페이지가 웹 서버에 남아있어 개인정보가 유출됐거나 홈페이지 소스에 주민번호를 키 값으로 사용해 프로그램화 되어 있는 홈페이지에서 개인정보가 유출된 바 있다”고 밝혔다. 이어 최 이사는 개인정보 차단 솔루션이 다운됐을 때 개인정보가 유출되거나 웹방화벽으로 개인정보를 차단하다가 사용자 폭주기간에 개인정보 차단기능을 해제했을 때 개인정보가 유출된 적이 있다고 설명했다. 또한 DMZ 구간에 개인정보 유출 차단 솔루션을 도입했으나, 학과 홈페이지에서 개인정보가 대량 유출된 적이 있다. 뿐만 아니라 SW 형태의 개인정보 차단 솔루션을 도입했지만, 홈페이지 관리 미흡으로 소스코드가 지워지고 다량 검색돼 교과부로부터 지적받은 사례도 있다는 게 최 이사의 얘기다. 특히 개인정보 차단 솔루션을 설치하고, 무의식중에 SSL을 홈페이지 전체에 적용했을 경우에는 개인정보 차단 솔루션에도 SSL 모듈을 설치해야 한다고 최 이사는 강조했다.
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||
 |
