개인정보 유출사고, 해외도 줄줄이 터져 ‘몸살’

스테이슈어·델텍·美해외참전용사회·아이오와주립대 등 줄줄이 유출

서버 접근 통한 개인정보 유출...계정탈취가 주요 원인으로 지목

[보안뉴스 김경애] 영국 여행보험사 스테이슈어(Staysure)에 이어 미국 소프트웨어 제공업체 델텍(Deltek)의 정부사업 입찰 사이트 Gov Win 서비스, 미국 해외참전용사회(VFW), 미국 아이오와주립대, 영국 신발 소매업 오피스 UK 슈즈 등 해외에서도 정보유출 사고가 끊이지 않고 발생하고 있다.

지난 1월 스테이슈어는 고객 9만3000명의 은행카드정보중 하나인 카드 검증값 CVV와 고객정보가 유출됐다. 유출된 정보는 2012년 5월에 가입한 고객정보로 서버 접근을 통해 개인정보가 털린 것으로 알려져 있다.

지난 4월에 알려진 델텍 Gov Win 전자상거래 플랫폼 서비스의 경우 8만명의 고객정보가 유출됐다. 해커가 Gov Win IQ시스템에 무단 접근해 이름, 청구주소, 전화번호, 이메일 주소, 신용카드번호, 지불 카드기록 등의 개인정보를 탈취했다.

이어 같은 달 美 해외참전용사회에서도 5만5000여명의 개인정보가 유출된 바 있다. 해커는 트로이목마 및 악성코드를 사용해 VFW 내부 웹서버 접근권한을 탈취했으며, 이를 바탕으로 사회보장번호, 이름, 주소 등을 유출했다.

이후 아이오와주립대에서도 서버 접근을 통해 사회보장번호, ID 등 개인정보 3만건이 탈취됐으며, UK슈즈에서도 서버 접근을 통해 이름, 주소, 전화번호, 이메일 주소, 계정 암호 등 개인정보가 유출된 사실이 드러났다.

이처럼 해외에서도 개인정보 유출사고로 몸살을 앓고 있다. 특히 주목되는 것은 서버 접근을 통한 계정탈취이다.

최근 버라이즌(Verizon)이 발표한 ‘2014 데이터 유출 보고서(Data Breach Report)’에 따르면, 10번의 피싱 공격으로 계정이 탈취될 가능성은 90%에 달하며, 이를 통해 설치된 악의적인 소프트웨어는 바이러스 백신 및 네트워크 모니터링 툴로 감지되지 않는다고 밝혔다.

그렇다면 계정탈취 방지를 위해서 기업은 어떤 보안전략을 수립해야 할까? 이와 관련 보안전문 업체 보메트릭코리아 이문형 지사장은 “데이터 보안정책은 보안경계선과 방화벽은 언제나 침투 당할 수 있다는 전제하에 마련되어야 한다”며 “모든 해커가 노리는 목표는 데이터로, 형태에 상관없이 ‘데이터 중심 보안’을 해야 한다”고 강조했다.

그러면서 그는 “DB·애플리케이션·파일 시스템·볼륨 등의 시스템 계층에서 보안 컨트롤이 이뤄져야 하며 각각의 계층에는 암호화, 접근제어, 데이터 접근 패턴 모니터링 기능이 추가돼야 한다”고 제시했다.

특히 데이터 보호의 첫 단계라 할 수 있는 ‘암호화’와 ‘접근제어’가 결합될 경우, 비인증된 사용자들은 데이터에 접근하지 못한다는 것. 이는 해커들의 공격 범위를 감소시킬 수 있다는 얘기다. 또한 데이터 ‘암호 키’는 데이터와 별도 위치에서 관리하는 것이 바람직하다고 당부했다.

그러나 기업에서 업무의 효율성과 편이성을 위해 시스템, 네트워크, 클라우드 관리자 권한을 가진 사용자 계정은 데이터를 열람하지 않고도 업무를 수행할 수 있어야 한다는 게 이 지사장의 설명이다.

또한 애플리케이션 및 시스템 접근 권한은 있지만 데이터 접근 권한은 없어야 해킹, 피싱 공격에 의해 계정이 탈취되어도 계정 자체가 데이터 탈취에 활용될 수 없게 된다고 덧붙였다.

이어 그는 계정 내 비정상적 활동이 발생할 경우 신속한 감지로 활동 자체를 중단시켜 현재 진행 중인 공격을 멈출 수 있도록 해야 한다고 당부했다. 이는 사용자 활동에 대한 데이터 접근 로그와 실시간 및 주기적인 감시활동이 이뤄져야 한다는 것이다.

또한 그는 “커널 레벨에서 파일 단위로 암호화해 데이터베이스에 존재하는 정형 데이터뿐만 아니라 로그 파일, 이미지 파일 등의 비정형 데이터에도 동일한 암호화와 접근 제어할 수 있어야 한다”며 “그래야 오라클, SQL 서버, DB2, Sybase, MySQL, PostgreSQL과 같은 여러 종류의 데이터베이스는 물론 로그파일, 이미지데이터, 영상데이터, 음향데이터 등의 비정형 데이터로 저장된 모든 개인정보를 포괄적으로 암호화 및 접근 제어할 수 있다”고 말했다.

[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)