• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2014년 우리를 힘들게 한 보안이슈 11가지 2014.10.14

카드사 고객정보 유출’ 1위, 주민번호 수집금지와 윈도우XP 순
보안담당자들 힘들게 했던 이슈 11가지는?...더욱 힘든 건 ‘사람’


[보안뉴스 김태형] 2014년 올해도 이제 두달 남짓 남았다. 올해 초부터 보안 분야에서는 카드사 정보 유출, KT 해킹, 하트블리드 등과 같은 보안위협과 윈도우XP 서비스 지원 중단, 주민번호 수집금지, 스미싱 피해 확산에 이어 최근에는 배시 버그 사태 등 보안이슈가 끊이지 않았다.

▲ 올 한해 보안담당자들을 힘들게 했던 11가지 보안이슈들은 무엇이었을까?(확인은 아래 표에서). 무엇보다 보안에 대해 무지한 경영진 등 내부 직원들이 가장 힘들게 하지 않았을까?


이로 인해 정보보안 전문가, 정보보안 담당자 및 책임자들과 같은 보안분야 종사자들은 연초부터 바쁘고 힘든 나날을 보내야만 했다. 그리고 이러한 고됨은 현재까지 진행형이다. 올해가 아직 두 달 넘게 남은데다가 보안위협은 끊이지 않고 있어 새로운 보안사고가 언제 또 터질지 모르기 때문이다. 

이에 본지는 정부기관 및 기업 등의 정보보안 담당자 및 정보보안 책임자 등 정보보안 실무자 2782명을 대상으로 ‘올해를 지나면서 가장 큰 보안이슈는 무엇이었다고 보시나요?(중복응답)’라는 질문으로 설문조사를 진행했다.


이번 설문조사는 설문 대상자 2,782명 중 총 1,809명이 설문에 응답했다. 가장 많은 대답은 ‘카드사 고객정보 유출(1위)’이었으며 전체 응답자 중 1,084명(59.9%)이 대답했다.


이 같은 이유로, 이번 카드사 고객정보 유출은 역대 최대 규모인 1억건이 넘었고, 개인별로 20개 이상의 정보가 유출됐다는 점에서 파급효과가 매우 컸다. 또한, 금융당국에서 금전적 피해로 이어지지 않을 것이라고 했지만, 실제로 2차 정보유출 피해로 이어졌다. 이로 인해 대부분의 보안종사자들이 아주 심각한 문제로 인식하고 있는 것으로 풀이된다.


이어서 두 번째로 많은 응답을 받은 것은 ‘주민번호 수집금지(마이핀 제도 시행, 2위)’으로 684명(37.8%)이 응답했다. 이는 지난 8월 7일부터 개인정보보호법 개정안이 시행되면서 주민번호 수집이 전면 금지됐다.


주민번호 수집금지 법정주의는 △법령에 구체적인 근거가 없을 시 △급박한 생명·신체·재산상의 이익을 위해 필요한 경우 △안전행정부령에 정하는 경우에만 수집이 가능하며 이 외에는 주민번호의 수집을 원칙적으로 금지한다는 내용이다.


만약 주민번호를 수집해 누출 시에는 최대 5억원의 과징금이 부과되기 때문에 정보보안 책임자 및 담당자들에게는 큰 이슈로 부각되었다고 볼 수 있다.


이에 따라 기존 본인 확인수단으로 사용했던 주민등록번호의 사용도 크게 줄어들 것으로 기대된다. 또 기존 주민번호 대신 ‘마이핀(My-PIN)’ 제도를 8월 7일부터 시행하고 있다. 마이핀은 온라인이 아닌 오프라인에서 본인을 확인할 수 있는 수단으로 활용되는 무작위의 13자리 숫자로 구성된다.


그리고 세 번째로 많은 응답은 ‘KT 고객정보 유출(3위)’이 612명(33.8%)이었다. 이는 국내 주요 통신사 중의 하나이며 대기업인 KT가 과거에도 정보유출 사건 전력이 있었음에도 허술한 정보보호 체계로 사고가 발생한 것으로 드러나 정보보안 종사자들에게 보안사고에 대한 경각심을 갖게 하기에 충분했다.


이어서 ‘윈도우XP 지원 중단(4위)’이라고 응답한 사람이 400명(22.1%)으로 네 번째로 많은 응답을 받았다. 지난 4월 18일 윈도XP(이하 XP)의 지원이 종료된 바 있다. 이는 4월 18일 이후, 윈도우XP에서 발견되는 취약점 등에 대해 패치를 지원하지 않겠다는 뜻이다.

전문가들이 말하는 가장 좋은 대응방법으로는 상위버전으로 업데이트하는 것이지만 아직도 많은 사용자들이 윈도우XP를 이용하고 있으며, POS나 ATM 등 산업기기 역시 상당수 윈도우XP를 사용하고 있어 잠재적 보안위협이 존재하고 있다.


이 외에도 최근 사물인터넷이 확산되면서 ‘사물인터넷 보안위협(5위)’이라고 응답한 사람이 392명(21.6%)을 차지했고 금융권 보안 이슈로 ‘공인인증서 의무사용 폐지(6위)’가 358명(19.8%)을 차지해 뒤를 이었다.


이는 전자금융거래에서 특정한 인증방법으로만 결제를 진행하는 것보다는 다양한 인증방식을 사용할 수 있게 해 금융회사들이 전자상거래의 보안수단을 자율적으로 선택할 수 있도록 하는 계기가 될 것으로 금융업계는 보고 있다.


그리고 지난 4월 7일 발견되어 국내외 보안업계와 IT기업 전반을 비롯해 스마트폰 사용자로까지 확대되는 양상을 보인 ‘하트블리드 사태(7위)’라고 응답한 사람이 292명 (16.2%)이었다.


OpenSSL 암호화 방식에서 나타난 보안취약점인 ‘하트블리드(Heartbleed)’ 버그는 핀란드 보안업체 코데노미콘의 연구원들에 의해 최초로 알려졌으며 ‘인터넷 역사상 최악의 버그’ 또는 ‘사상 최악의 인터넷 보안위협’으로까지 일컬어지면서 정보보안 담당자들을 긴장시켰기 때문으로 보인다. 그리고 최근에는 순위에는 포함되지 않았지만, 하트블리드 보다 더욱 위험하다는 배시 버그로 인해 전 세계가 떠들썩하다.


이 외에도 ‘스미싱·피싱 피해 확대(8위)’가 251명(13.9%), ‘소셜 엔지니어링 보안위협 부각(9위)’이 130명(7.2%), ‘웹사이트 해킹·웹셸 공격(10위)’이 130명(7.2%), ‘포스(POS) 단말기 해킹(11위)’ 119명 (6.6%), 그리고 ‘기타’ 의견이 3명(0.2%)이 있었다.


이처럼 올해도 보안위협과 보안이슈는 다양하고 지속적으로 발생했다. 보안담당자들에게 매우 힘들고 시련을 주고 있는 한해이자, 전 국민 차원의 보안의식이 제고되면서 보안의 중요성을 널리 알릴 수 있었던 기회의 한해가 되고 있는 셈이다.
[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>