Home > 전체기사
개인정보 1300만 건 중 680만 건 직접 해킹...무엇이 문제였나?
  |  입력 : 2010-04-09 11:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보 수집 한 만큼 책임도 커...개인정보 수집 최소화 필요


부산지방경찰청 사이버수사대는 개인정보 1,300만 건을 판매한 일당을 붙잡았다고 9일 밝혔다.


중국해커와 공모해 보안에 취약한 대부업체 등 378개 웹사이트를 해킹해 680만 건의 개인정보를 빼내고, 미리 구매해 보관하던 620만 건까지 포함해 1300만건의 개인정보를 판매한 일당이 부산지방경찰청에 붙잡혔다. 


이들이 해킹해 얻은 680만 건의 개인정보는, 정보의 양의 문제가 아니라 정보통신망법이 개정한 이후에 발생한 해킹사고라는 점에서 의미가 크다. 개인정보 해킹과 유출이라는 관점에서 문제점을 진단해보자.


개인정보 유출 관련 법률

  ※ 개인정보해킹·유출 :

    - 정보통신망이용촉진등정보보호등에관한법률 71조제11호,제49조

     (타인의 비밀 침해, 누설) : 5년 이하 징역, 5천만원 이하 벌금

    - 동법 72조제1항제1호,48조제1항

      (정보통신망침입) : 3년이하 징역, 천만원 이하 벌금

 ※ 개인정보판매 :

     - 주민등록법 37조제9호

      (영리목적 주민등록번호에 관한정보 알려주는 자) … 3년이하 징역,1천만원이하

  ※ 개인정보 기술적·관리적 보호조치위반(피해업체) :

     동법 73조제1호,28조제1항제2호~제5호 (개인정보 보호조치)

      … 2년이하 징역, 1천만원 이하 벌금 


보안이 취약한 국내 웹사이트...주문형 해킹시도

개인정보를 전문으로 판매하여오던 피의자 오 모씨는 아직도 스팸메일이나 문자 발송을 원하는 사업자가 많다는 사실을 알고 범행을 시작했다. 이런 개인정보를 원하는 사업자들의 대부분은 음란·성인 도박사이트, 게임, 쇼핑몰 사이트들이였으며, 역으로 이들 사이트들은 보안에 취약한 상황이었다. 이에 따라 오 씨는 그동안 적발됐던 중국 해커로부터 개인정보를 구입해서 판매하는 방식과 달리,  직접 중국 해커와 공모해 위 사이트들을 직접 해킹한 다시 수요자에게 판매하는 수법을 사용했다.


비전문가에 의한 개인정보시스템 관리허점

현행 법률에 따르면, 개인정보를 보유 관리하는 정보통신서비스 업자는 개인정보보호조치를 위해 개인정보관리책임자, 개인정보 취급자를 지정하여 전문적으로 관리하여한다. 그러나 이를 지정하지 않거나, 전산 비전문가인 중간관리자를 형식적으로 업무지정해둔 경우가 많았다. 또한 프로그램 개발 전문가가 보안까지 맡은 업체가 상당수로 드러나 형식적인 관리가 이루어진 것으로 밝혀졌다. 게다가 경찰의 통보를 받기 전까지 해킹 당한 사실이나 개인정보가 유출된 사실을 모르고 있는 경우가 대부분이었다고 경찰은 이야기 한다.


기초적인 해킹기법인 ‘웹쉘 업로드’에 대한 보안조치 미흡

피해사이트 대부분이 사전에 허용된 개인정보자료 파일(zip, jpg, doc, hwp) 이외에 악의적으로 제작된 스크립트파일(asp, jsp, php)까지도 파일업로드를 허용해 서버로 전송되는데 아무런 제약이 없었던 것으로 드러났다. 이에 따라 백도어 기능을 가진 악성코드 파일에 손쉽게 감염될 수 있었다고 경찰은 이야기했다.


게다가 첨부파일이 업로드 되는 디렉토리에서 아무런 제한 없이 업로드된 악성파일이 실행되도록 파일접근권한을 방치하였기 때문에 감염된 백도어가 해커의 의도대로 실행되어 개인정보를 해킹할 수 있었던 것으로 나타났다.


기본적인 비밀번호 암호화 원칙(일방향) 미준수

형행법(정보통신망법)에 따르면, 개인정보를 보유한 웹사이트들은 이용자의 비밀번호는 쉽게 추측되지 못하도록 숫자와 문자를 조합하여 8-10자리 이상을 지정해야 하고 설령 유출되더라도 알아볼 수 없도록 암호화해야한다. 그러나 이 같은 기본적인 규정도 준수하지 않은 곳이 대부분인 것으로 파악됐다. 설사 비밀번호가 암호화 되더라도 비밀번호 분실시 이를 찾기 위한 2차 ‘질문 답변 글’이 암호화되지 않고 평문으로 저장돼 사실상 비밀번호가 노출되는 결과를 야기했다.


새로 도입된(’10.1.28.시행) 개인정보 암호화 규정에 대한 무관심

개인정보가 유출되더라도 피해최소화를 위해 주민등록번호를 포함 모든 개인정보를 암호화하여 보관하도록 한 개정 방송통신위원회 고시(’10.1.28.시행, 개인정보의 기술적·관리적 보호조치 기준)의 내용을 업체들 대부분이 모르고 있고, 알더라도 정보처리시스템의 속도가 느려지고 비용이 많이 든다는 이유로 시행을 하지 않고 있는 것으로 조사됐다.


개인정보 유출 피해자들의 2차 피해 우려

보통 다수 사이트에 동일 ID/비밀번호를 사용하고 있고, 이미 개인식별의 핵심정보인 주민등록번호가 대부분 노출되어 있어 ID나 주소, 전화번호를 변경하더라도 유출된 주민번호로 다시 개인정보를 취득할 수 있다. 이런 계정 정보를 이용하면, 인터넷뱅킹 무단이체나 메신저피싱 등 2차 범행에 이용될 우려가 있다.


회원가입시 개인정보 과다요구 문제점 대두

회원가입이나 물건 구매시 ‘성명’이나 ‘주민번호’, ‘주소’, ‘전화번호(집 전화번호까지 요구)’, ‘이메일 주소’ 등 필수 요구사항으로 개인정보를 지나치게 요구하고 있음에도 불구, 수집된 정보들을 제대로 암호화 하지 않는 등 관리가 소홀한데 문제가 나타나고 있다. 경찰에 따르면, 실제 해킹 피해업체 에서 회원가입 당시 약관과 다르게 이용자의 동의 없이 주민등록번호를 보관하다가 해킹으로 유출된 업체도 적발됐다고 전해진다.


개인정보 관리 보안조치 위반 업체 대규모 입건·행정통보 사례

이번 사건으로 입건된 업체들은 해킹피해를 주장하기도 하나, 영리를 목적으로 웹 사이트를 운영하면서 그에 걸 맞는 보안 관리를 하지 않은 것으로 파악됐다. 따라서 경찰은 업체들에 대해 법적책임을 물을 것으로 전해졌다. 경찰은 이와 같은 사건을 계기로 정보 수요자와 정보 공급자, 정부부처 모두에게 취약한 보안 관리의 심각성을 인식해야 한다고 전했다. 아울러 필요이상으로 개인정보를 보유하는 업체행태에 대해서도 반성이 필요하다고 덧붙였다.


네티즌들 비밀번호 주기적으로 변경해야

대부분 개인정보 유출 사고가 2차 피해로 이어지고 있다. 그 이유는 대부분 네티즌들이 비밀번호를 동일하게 이용하고 있기 때문. 따라서 네티즌들이 개인정보유출피해를 최소화하기 위해서는, 공신력 있는 웹사이트를 선별하여 가입하고 과도한 개인정보를 요구하는 경우 가입에 유의하며, 비밀번호를 주기적으로 변경하고 사이트별로 ID와 비밀번호를 다르게 만들어야 피해를 최소화할 수 있다고 경찰은 당부했다.


웹사이트 운영자들도 개인정보 보호에 신경 써야

경찰은 해킹 피해업체라고 하더라도 개인정보 보호규정을 준수하지 않으면 법에 따라 사법처리 될 수 있음을 명심해야한다고 경고했다. 그리고 수익자부담의 원칙에 따라 현행법상 개인정보의 보호조치 규정을 잘 지켜야하며, 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립 시행해야 한다고 조언했다. 특히, 웹셀업로드 해킹수법은 현재 인터넷에서 손쉽게 취득할 수 있는 비교적 손쉬운 해킹기법이면서도 해킹을 당하면 심각한 피해를 야기하므로 피해업체가 아니라 할지라도 이번기회에 서버의 취약점을 점검해 볼 필요성이 있다고 당부했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)