개인정보보호, 단순 관리 넘어 유출 차단까지

현장속으로/세미나 2013.11.04 11:07

10월 23일 코엑스컨벤션센터 그랜드볼룸에서 '안랩 ISF 2013(AhnLab Integrated Security Fair)'이 개최되었다. 안랩은 IT 트렌드 변화 속에서 기업의 비즈니스 환경을 위협하는 차세대 보안 위협 및 법적규제(Compliance Issue)에 대한 최신 정보와 함께 대응 전략을 제시했다. '규제 준수(Security Compliance)', '진화하는 위협(Advanced Threats)', '시큐리티 인사이트(Security Insight)'의 3개 트랙에서 총 12개의 주제 발표가 진행되었다.

그 중 김재열 SW개발실 수석연구원의 <개인정보보호의 진화, 관리를 넘어 '유출 차단'까지>를 들어보았다. 그는 개인정보보호의 범위가 개인정보 관리나 검색 위주에서 유출 차단까지 하는 형태로 진화했다고 강조했다. 다음은 주요 내용.  

개인정보보호법의 핵심

개인정보보호법은 작년 3월 시행되었는데 전체 조항은 많지 않다. 그 중 29조를 보면 전체 개인정보보호법이 말하는 바가 다 담겨있다. 올해 개인정보보호법 개정이 크게 3가지에서 이루어졌다. 과태료가 상승되었고, 주민등록번호는 과거에는 동의가 있으면 수집할 수 있었으나 현재는 수집 금지되었다. 그리고 기업대표 또는 임원이 처벌대상에 포함된다. 이것은 처벌수위 대상이 높아졌기 때문에 그만큼 법이 강화된다는 것이다. 개인정보보호법은 아직 활성화가 부족하지만 앞으로 발전할 것이라고 생각된다.

개인정보보호법이 헷갈리다면 2011 43호 지침을 읽어보면 굉장히 자세하게 나와있다. 이 지침은 개인정보보호법에 기술적인 부분을 어떻게 할지에 대한 체계적인 설명을 볼 수 있다.

 

<개인정보보호를 위한 기술적 보호조치 근거 조항>

제5조 비밀번호 관리

개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성 규칙 수립/적용

제6조 접근통제 시스템 설치운영

개인정보가 인터넷홈페이지, P2P, 공유 설정 등을 통하여 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치

제7조 개인정보 암호화

암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장

제9조 보안프로그램설치운영

보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 1일 1회 이상 업데이트를 실시

이것으로는 조금 부족하다고 느낀다면 모든 파일이 어떻게 생성되고 파기되는지 전체를 관장할 수있는 개인정보 통합 유통 관리가 필요하다. 기술적으로 조금 어려울 수도 있으나 작년 금융권에서 안랩이 참여하여 구축을 했다.

다음으로 검색조항을 살펴보면 검색시간이 어마어마하게 오래 걸린다. 백신은 파일을 탐지할 때 패턴을 보고 판단하지만 검색은 문장을 분석해야 한다. 그렇기 때문에 검색 시간이 오래 걸린다. 또한 검색했던 것을 암호화하는 것이 불안정하다. 또 개인정보보호법에 의해 굉장히 들어가야 할 것들이 많기 때문에 서버가 너무 많아 서버관리자들이 필요하다. PC 에이전트 또한 엄청난 수로 필요하게 된다. 그러다보면 검색시간이 6시간 정도 소요된다. 이는 CPU를 굉장히 많이 사용하게 된다.


뉴런 검색(Neuron Search) 기술

안랩이 이런 부분을 해결하기 위해 3초 만에 검색을 하는 기술을 개발하였다. 패러다임을 바꿔 뉴런 DB를 구축했다.

뉴런 DB는 PC에 있는 개인정보 DNA를 DB화를 미리 해놓는것이다. 검색이라는 절차를 완전히 없애버리고 뉴런 DB를 최초에 한번 구축해 놓으면 그 다음부터는 실시간으로 개인정보를 생성될 때만 생성정보를 뉴런 DB로 업데이트하는 것이다. 이때 걸리는 시간이 3초 이내이다. 이런 방법으로 검색의 절차는 사라지는 것이다. 항상 나의 PC 상태가 개인정보를 몇 개 갖고 있는지 실시간 유지해주는 상태로 발전하는 것이다.


개인정보유출 방지 솔루션

개인정보 유출의 79%가 퇴직 직원에 의해 동영상, 휴대폰 등 다양한 방법으로 이루어진다. 내부 정보 유출을 방지하는 솔루션 중 DLP 솔루션은 네트워크가 지나가는 패킷을 분석하기 때문에 불완전하다. 또한 구축비용이 많이 들며 네트워크 트래픽을 모두 분석하기 때문에 네트워크의 성능을 저하시킬 수 있다. 이러한 문제를 해결하고자 안랩은 패턴을 보지 않고 행동 기반 복합 분석을 수행하는 뉴런 엔진(Neuron Prevention Engine)을 개발해 제공한다.  

<뉴런 엔진의 특징>

-탐지 범위 : 알려지지 않은 문서 유출 기법을 완벽하게 방어

-성능 : 이벤트 발생 시점에만 리소스를 사용하기 때문에 최저 수준의 리소스 사용

-통합관리 : APC 기반의 통합 관리

-출력물 : 프린터 접근 제어 및 워터마크 지원

안랩의 개인정보 유출 방지 솔루션인 '안랩 프라이버시 매니지먼트 스위트'는 실시간 검색, 자동 격리 등 개인정보 현황 파악 및 조치는 물론, 유출까지 탐지 및 차단하는 진일보한 솔루션이다. 안랩은 개인정보 파일 유통 통합 관리 시스템을 구현해 개인정보 파일의 유통 관리 및 개인정보보호 효과를 극대화한다. 이로써 개인정보 문서를 안정적으로 유통하고, 개인정보 유출 사고에 대비하는 한편, 통합 관리 및 모니터링할 수 있다. Ahn 


 대학생기자 임지연 / 덕성여대 컴퓨터학과

  

 

댓글을 달아 주세요

  1. 어설 2013.11.04 14:57  Address |  Modify / Delete |  Reply

    좋은 정보였습니다~!!!

사이버 테러 막는 망분리 솔루션 어떻게 구축할까

해킹의 패러다임이 변했다. 과거에 실력을 과시하기 위해 벌어졌던 해킹이 이제는 금전을 목적으로 한 해킹으로 탈바꿈했다. 정보는 돈이 되고, 중요한 정보일수록 그 가치는 커진다. 3.20 사건 외에도 크고 작은 보안 사고가 빈번한 요즘, 개인정보 보호는 또 하나의 뜨거운 이슈이다. 


하나에 10원 꼴로 팔려나간다는 개인정보, '중국에 이미 내 개인정보는 다 팔려갔다'는 웃지 못할 말이 현실인 2013년 현재. 어떻게 하면 개인정보를 지킬 수 있을 것인가, 더 나아가서 어떻게 하면 해킹사고를 예방하고 정보보호 시장을 활성화할 수 있을 것인가, 이 뜨거운 이슈에 대한 뜨거운 관심을 증명이라도 하듯 지난 6월 20일에 코엑스에서 열린 '개인정보보호 페어 2013'에는 비집고 들어가야 할 만큼 많은 인파가 몰렸다. 



3.20 사건 이후, 사이버 테러를 대비해 많은 기관과 기업에서 '망분리' 솔루션을 검토하고 있다. 업계 추정에 따르면 2013년 현재 망분리 시장 규모는 200억원, 2016년에는 1000억원까지 성장할 것이라고 예측하고 있다. 2013년 2월 18일, 정부에서 정보보호 등에 관한 법률 시행령을 개정해 일정 규모 이상의 기업이나 기관에서는 망분리를 의무적으로 해야 하는 상황도 망분리 시장 활성화에 한 몫을 했다. 


개인정보보호 페어 2013의 A트랙 마지막 시간, 정보보호의 화두로 떠오른 망분리 솔루션에 대해 안랩의 권진욱 부장의 <효율적인 망 분리 도입을 위한 가이드>는 주제로 발표가 진행되었다. 다음 내용들은 발표의 내용을 정리한 것이다.



망분리 솔루션은 왜 핫한 이슈가 되었나


기존의 사이버 테러는 단일한 악성코드에 의한 것으로, 감염 PC에 국한된 피해를 입히고 불특정 다수를 공격하는 경향을 보였다. 그러나 최근의 사이버 테러는 다르다. 모듈화된 악성코드가 사용되고 그 악성코드가 업데이트되며(Advanced), 장기간에 걸쳐 취약한 곳을 찾기 위해 은닉하며 한번 공격이 시작될 경우 2차, 3차 공격이 이루어지고(Persistent), 불특정 다수에서 특정한 대상을 탐색해 공격하는(Targeted Threat) APT가 행해지고 있다. 


3.20도 마찬가지로 APT 형태의 사이버 테러였다. 다양한 기술과 여러가지 공격 방식으로 특정 대상에게 지속적인 공격을 하는 APT공격. 전통적인 보안 솔루션으로는 방화벽, 차세대 방화벽, 침입차단시스템(IPS), 유해 사이트 차단 시스템, 안티바이러스 등이 있으나, 이들만으로는 더이상 고도로 지능화된 APT에 대응할 수 없다. 


뚫으려는 자의 방식이 발전한다면 막으려는 자의 방식 또한 발전하는 법. APT공격에 대응하기 위해 망분리 솔루션에 관한 관심이 고조되었고, 3.20 이후 망분리에 관한 관심이 달아오르기 시작했다. 알려진 공격에 대해서만 대비할 수 있었던 이전 보안 솔루션에 비해, 망분리는 인터넷으로부터의 보안 위협 자체를 모두 차단하는 것은 물론, 새로운 보안 위협 또한 차단할 수 있고 여러 보안 솔루션으로 구성된 보안 체계보다 훨씬 높은 수준의 보안 체계를 구현할 수 있다는 이점이 있다. 망분리 솔루션은 APT의 효과적인 대응책으로 떠오르며 핫한 이슈가 되었다. 




망분리란 무엇인가


망분리란, 인터넷 영역과 업무 영역을 동일한 하나의 네트워크에서 사용하는 방식 대신 

물리적 또는 논리적(가상화) 기술을 이용하여 네트워크 및 PC를 분리하는 것을 의미한다.


즉, 네트워크 망을 나누어 외부의 침입으로부터 내부의 자료를 안전하게 할 수 있는 방법이 망분리 솔루션이다. 정부는 2006년부터 해킹 대처 방안을 수립해 시법사업을 완려하였고, 2010년부터 망분리 사업을 진행, 확대하고 있다. 2010년 이전까지는 물리적 망분리에 관심이 있었다면, 2010년 이후부터는 논리적 망분리로 관심이 옮겨가고 있다. 물리적 망분리는 2대의 PC를 이용하거나, 망분리 전환 장치를 이용하거나, 멀티 PC를 이용하는 것으로  실행할 수 있고, 논리적 망분리는 SBC(Server Based Computing)방식이나 터미널 서버를 이용하는 것으로 실행할 수 있다. 


2009년까지는 국가 기관의 망분리를 2대 PC를 이용하는 물리적 망분리를 원칙으로 했고, 불가피한 경우에만 논리적 분리가 허용이 되었다. 그러다가 2010년부터 가상화 기술을 이용한 논리적 망분리가 검토되기 시작했고, 2011년부터는 논리적 망분리 도입이 본격화 된 상태이다. 또, 정통망법에 따라 전년 말 기준 직전 3개월간 평균 100만명 이상의 개인정보 보유 사업자, 혹은 정보통신 서비스 부문 전년 매출액 100억 이상인 사업자는 온 오프라인 경로에 상관 없이 망분리를 의무적으로 시행해야 한다.  




망분리 방식 비교 및 고찰


제일 간단한 방식은 물리적 망분리 방식이다. 새로운 망을 구축하고 인터넷만 쓸 수 있는 PC를 따로 두는 것이다. 물리적 망분리는 물리장비가 늘어나는 것이기 때문에 무엇보다도 보안의 가시성 확보가 쉽다. 하지만 치명적인 약점들이 있는데, 대표적인 경우가 USB를 통한 감염이다. 인터넷망에서 USB를 통해 업무PC로 전달되는 케이스들이 발생한다. 그래서 공공기관에서 물리적 망분리를 도입할 경우 보안 USB를 사용하거나 두 영역간의 파일 교환을 위한 부가적인 망 연계 솔루션을 같이 도입하도록 한다. 


다음으로 랜카드를 추가로 설치하는 방법이 있다. 그렇게 되면 업무서버와 인터넷망을 자유롭게 오갈 수 있으나, 관리가 제대로 되지 않는다면 망분리 효과를 볼 수 없게 되는 단점이 있다. 물론, 물리장비를 설치하기 위한 설치공간이 필요하고, 설치한 장비만큼 소비전력도 늘어나게 된다. 또한 운영하기 위한 예산이 많이 필요하다는 단점도 존재한다.


논리적 망분리 방식으로는 서버 기반과 PC기반 두 가지 방식이 있다. 


서버 기반의 논리적 망분리 방식은 인터넷을 연결하는 망 쪽에 가상 서버를 두는 방식이다. 그렇기 때문에 인터넷에서 악성코드가 들어온다 하더라도 가상서버에만 영향을 미칠 뿐, 업무서버에는 영향을 미치지 않는다.  그러나 물리적 망분리 만큼의 예산이 필요하고, 다양한 인터넷 환경에 대한 호환성을 검증해야 한다는 단점이 있다.


PC 기반의 논리적 망분리 방식은 기본적으로 사용자 PC와 인터넷 망 사이에 망분리 게이트웨이를 두는 방식이다. 낮은 비용으로 물리적 망분리 수준의 보안성을 확보할 수 있고, 영역 전환이 편리하여 편의성이 좋다. 또한 구축 기관도 짧은 편이다. 그러나 다양한 PC에 대한 호환성 검증이 필요하다.


어떤 방식이 가장 좋다고 할 수는 없다. 각 기업이나 기관의 업무 스타일에 맞추어 최적의 망분리 방식을 적용해 구축하는 것이 좋다. 물론, 망분리를 구축할 수 없는 사례도 존재한다.




망분리 구축을 어떻게 체계적으로 할 것인가?


망분리 솔루션을 도입하기 위해서는 기존 보안 제품을 도입하는 것과는 다른 프로세스를 필요로 한다. 첫째로 환경분석을 해야하고, 구축을 한 뒤에는 안정화 단계를 거쳐야 한다.


환경분석은 사용하는 소프트웨어, 인터넷 등을 분류하는 단계이다. 쉽게 말해서, 사용자가 사이트에서 쓰는 소프트웨어들, 사용자가 접근하는 인터넷, 우리 업무 서버가 어떤 것들에 접근하는지, 혹시 외부와는 연결이 되어야 하는지, 내부 업무망쪽의 PC들은 어떻게 업데이트 할 것인지 등등을 분석하는 과정이다. 즉 요구사항들을 분석하는 것이다. 망분리 게이트웨이 구성을 위한 네트워크를 분석하고, 업무 및 사용 프로그램 분석을 통해 망분리 환경을 구성하고, 사용자의 업무 연속성을 보장할 수 있는 대책을 마련하는 과정이 모두 포함된다. 


환경분석한 결과를 토대로 망분리 솔루션 및 제반 시스템을 구축한다. 파일럿 운영, 시범 설치를 통해 계속해서 장애를 최소화 한 뒤에 점차 확산을 시키는 것이다. 망분리 솔루션, 망 연계 솔루션을 구축하고 메일 서버를 분리하는 등의 작업이 구축 단계에서 행해진다. 이렇게 인프라 구축을 하고 나면 안정화 단계를 거치게 되면 망분리 솔루션을 통한 보안성을 확보하게 되는 것이다. 로 보안성을 확보하게 되는 것이다.


확실히 다른 일반 IT인프라를 구축하는 것에 비해 힘들고 손이 많이 가지만, 망분리 구축을 하면 많은 보안 위협으로부터 안전해질 수 있다.




이게 최선입니까? 확실해요?


업무서버와 인터넷망을 분리하는 방법이라니. 그럼 망분리만 된다면 보안 이슈는 사라지는 것 아닌가? 애석하게도, 망분리 솔루션이 모든 보안 이슈를 해결하는 솔루션은 아니다. 그럼 소용 없는 것 아닌가? 그건 또 아니다. APT에는 분명히 효과적인 대응 방안이다. 


보안위협은 계속해서 새로워질 것이다. 가장 안전하다고 생각했던 방법도 결국에는 무용지물이 되는 떄가 온다. 뚫으려는 자는 계속해서 새로운 방법을 찾아낼 것이고, 막으려는 자는 계속해서 새로운 공격에 대한 대응을 찾아낼 것이다. 망분리는 분명 현재 APT에 효과적으로 대응할 수 있는 방법이고 최선의 방법일지도 모른다. 하지만 보안의 세계에서 영원히 확실한 방어 방법은 존재하지 않고, 존재하지 않을 것이고, 존재 할 수 없을 것 같다. 우리는 늘 최선의 방법을 찾기 위해 노력해야 하고, 허를 찌르는 공격에 한 번 당하면 반복해서 당하지 않도록 노력해야 한다. 


망분리 솔루션이 효과적인 대응이 되지 못하는, 위태로워지는 날이 언젠가는 올 것이다. 늘 경우의 수를 생각하며 여러가지 방안을 끊임없이 모색하는 것, 그것만이 우리가 할 수 있는 최선의 해결책이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 정바 2013.07.04 12:34 신고  Address |  Modify / Delete |  Reply

    많이 배우게 되는 글이네요~~

선량한 관리자가 되기 위한 필요조건

현장속으로/세미나 2013.06.14 08:43

지난 5월 14일, 양재동 엘타워에서 '스마트 융합 시대에 필수적인 개인정보보호와 금융보안'이라는 주제로 'FPIS 2013 금융보안&개인정보보호 페어'가 열렸다.

오전 세션에는 오프닝 연설과 기조연설이 진행되었고, 오후 세션에는 트랙A와 트랙B로 나뉘어 발표가 구성되었다. 발표장 바깥에는 전시부스가 마련되어 개인정보보호 관련 솔루션 등 다양한 프로그램의 체험이 가능했다.

소만사(소프트웨어를 만드는 사람들)의 김대환 대표의 기조연설 '컴플라이언스와 개인정보보호 2.0'를 들어보았다. 아래는 주요 발표 내용.

<개인정보 / 보안 침해사고 동향>

개인정보 유출사고의 원인에는 크게 두 가지가 있다. 첫째는 경제적 목적, 둘째는 정치적 목적이다. 개인정보를 통해 얻게 되는 이득이 커짐에 따라 개인정보 침해사고의 방식은 더욱 다양하고 치밀해지고 있다. 개인정보 침해사고의 신규 동향을 살펴보자. 

1. 웹서버나 어플리케이션에서의 개인정보 취득 : 어플리케이션 서버를 경유하여 개인정보를 조회한 후, 유출한다. 한번에 한 두건씩, 누적시켜 수십만건의 정보를 조회한다. 기존의 탐지 방식으로는 사용자의 이상조회를 식별할 수 없으므로 피해가 발생하게 된다.

2. APT 공격 : DB접속 권한자의 PC를 악성코드 배포를 통해 해킹하고, 권한자가 부재중일때 DB에 접속하여 개인정보 파일을 취득한 후 외부로 전송한다.

3. 웹서버에서의 개인정보 취득: 사용자들에게 활성화 되어 있지 않은 개발용 웹서버도 타겟이 된다. 웹어플리케이션 서버는 외부에 노출되어 있으므로, 가장 손쉬운 해킹의 대상이며, 웹서버 해킹만으로 수백만건의 개인정보 유출사고가 발생할 수 있다.

<개인정보 법적 분쟁 분석>

카드사, 증권사, 통신사 등 다양한 업종의 회사로 부터 개인정보가 유출된 사례가 있으며, 경로는 출력물, 웹서버, 이메일, FTP, 어플리케이션 등으로 다양하다. 이는 개인정보 집단 소송으로 불붙어 보안 사고 후의 화두가 되고 있다. 소송에 대한 법원의 판단 근거는 '선량한 관리자로서의 기술적 관리적 보호조치 의무를 다하였는가?' 이다. '선량한 관리자로서의 기술적·관리적 보호조치 의무'는 아래와 같다.


<개인정보 컴플라이언스>

개인정보에 대한 통제 체제(가버넌스)를 획득하기 위해서는 개인정보 보유 현황을 분석하고, 개인정보 조회와 취득을 통제하고, 개인정보 전송과 유출의 3단계에 대한 통제 및 감사가 이루어져야 한다. 

개인정보 보유 현황 파악 및 보호 조치 단계에서는 PC뿐 아니라, DBMS나 서버의 개인정보 보유현황을 체크해야 한다.

다음으로 개인정보 조회와 취득에 대한 통제 단계에서는 쿼리툴을 통한 개발자/DB관리자 접근, 어플리케이션을 통한 일반 취급자 접근, Shell service를 통한 시스템 관리자 접근에 대한 분리가 이루어져야 한다.

마지막으로 개인정보 전송과 유출 통제 단계에서는 인터넷을 통한 개인정보 전송, USB등 미디어를 통한 복사 및 전송, 망분리 요건, 비업무 사이트 통제 등의 통합 관리 체제가 이루어져야 한다.

<개인정보 기술적 보호조치 기술적 신동향>

사례 몇 가지만 살펴보자. 사례1의 'Content-Aware DB 접근통제'는 쿼리 자체의 통제가 아닌 개인정보 응답값 분석을 통한 통제를 통해 이루어진다. 사례4의 '개인정보화일 (웹)서버 저장 현황 분석'은 어플리케이션 서버, 파일 서버, 웹서버, 개발 서버에 무단보관된 개인정보 파일 분석/삭제/암호화를 활용한다. 사례5의 '출력물 개인정보 감사 통제'는 텍스트나 이미지 형태로 추출하여 로그를 저장하여 선별한다. 이 과정에서 개인정보가 포함된 것이 발견되면 결재를 필요로 하게 된다. 사례 6의 '오픈 소스코드 기반 분산병렬처리 분석(빅데이터 분석)'은 검색 조건에 따른 필드별 집계 표시로 상관 관계를 분석하여 실행한다.

발표를 통하여 개인정보 유출을 다루는 법적인 시각과 기술적인 부분을 모두 알아볼 수 있었다. 다양한 개념에 대해 심도있는 설명으로 뒷받침 하여, 가벼운 내용들이 아님에도 쉽게 이해할 수 있었다. 
잃고 나서 수습하는 것을 '소 잃고 외양간 고친다'라고 한다. 그러나 보안의 경우 '소를 잃고도 외양간을 고치지 않는' 기업들이 많다고 한다. '선량한 관리자의 의무'를 법적, 기술적으로 피해를 줄일 수 있는 방안이라 여기고 미리 지킬 수 있도록 해야 할 것이다. 알아야 지킬 수 있고, 지켜야 지킬 수 있다.Ahn

 

 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.


댓글을 달아 주세요

개인정보보호법 시행 2년, 무엇이 달라졌나

현장속으로/세미나 2013.04.11 07:00

2013년 3월 26일, 서울 교육문화회관 가야금홀에서 G-PRIVACY 전국 공공·지자체 개인정보보호 컨퍼런스가 개최되었다. 행사는 9시 30분부터 오후 5시 30분까지 진행되었으며, 컨퍼런스 외에도 전시회 부스가 마련되어 참석자의 다양한 참여를 유도하였다.

컨퍼런스에서는 개인정보보호법에 대한 실무교육과 성공 구축 사례를 소개했으며, 참석 대상은 전국 공공/지자체/교육기관 개인정보보호 책임자와 개인정보 취급자 등이었다.

500여 명이 참가한 컨퍼런스 현장

개인정보보호 컨퍼런스에 참석하여 안전행정부 한순기 과장의 발표로 진행된 '개인정보보호 실태 진단 및 정책소개' 발표를 취재해 보았다. 다음은 주요 내용.

1. 현황

개인정보보호 현황은 4가지 단계로 나눌 수 있다. 보안에 대한 기본적인 인식은 되어있으나, 보안에 대한 실질적인 대비는 하지 않고, 그로 인해 치명적 손실을 입게 되는 식으로 단계를 밟아간다. 또한 개인정보의 활용은 늘어가는데, 그에 대한 보안 대책은 제대로 세워지지 않고 있는 실정이다. 보안에 대한 인식의 전환을 통해 보안에 힘써야 한다.


2. 법 시행 개요 및 성과

2011년 9월부터 시행된 개인정보보호법은 모든 개인정보처리자를 규율하며, 개인정보 처리에 대한 기본원칙을 정립하며, 정보주체의 권리 및 피해 구제를 강화한다.

<개인정보보호법의 주요 내용>

1) 수집이용 및 제공 제한 : 정보주체 동의 원칙/ 명확한 고지/ 필요 최소성, 목적 명확성 원칙

2) 저장 관리시 의무사항: 관리·기술·물리적 안전성 확보조치/ 처리 위탁 및 양도시 제한사항/ 개인정보 파기조치

3) CCTV 설치운영 제한: CCTV 설치목적 제한/ 개인영상물 안전관리 및 제공 제한

4) 권리 구제 및 보장: 개인정보 열람, 정정삭제, 처리정지 요구/ 유출통지 및 신고제/ 집단분쟁조정 및 단체소송

이로써 2012년에는 관계법령을 일괄 정비하고 개인정보보호 가이드 라인을 마련하고 배포하는 등의 법 시행 후속조치가 이루어졌으며, 범 정부 대책이 마련·추진되고, 침해 예방 및 실태 검사가 진행되었다. 또한 체계적인 교육과 홍보를 시작하고 취약분야의 현장 지원책을 마련하는 등의 성과를 이루었다.


3. 12년 관리 수준 진단

12년 관리 수준 진단 결과, 중앙부처나 시도에 비해 지방 공기업의 개선이 요구되며, 위탁 관리나 침해예방 및 관리 활동 또한 개선이 필요하다는 결론을 내렸다.

이와 같은 결론에 따라 위탁업무 관리를 개선하기 위해 개인정보 처리 업무를 위탁하는 경우, 처리에 관한 사항을 문서화하고, 수탁자 교육 및 관리, 감독을 강화하기로 하였다. 또한 개인정보 처리 시스템에 대한 접근 권한과 접속 기록을 정기 점검 하도록 하였으며, 개인정보 파일을 누락없이 등록하여 기관별로 등록항목에 대한 보완을 즉시 조치할 수 있도록 하였다.


4. 향후 계획

안전행정부에서는 2012년에 구축된 개인정보보호에 대한 기반으로 2013년에 제도를 안정화하고, 2014년에는 개인정보보호 수준을 제고하는 단계로의 전략을 세우고 있다. 2013년의 주요 업무 계획은 민관 협업의 보호수준의 향상, 법 제도에 대한 개선 및 보호 강화, 합동 점검 및 실태개선, 기술지원 및 교육 등이다.

이제 개인정보보호는 특정 부서만의 일이 아니다. 개인정보보호 책임자와 시스템운영 관리자와 개인정보 취급자가 함께, 업무를 단계 별로 체크해야 한다.


대학생 기자로서 참가한 이번 컨퍼런스를 통해 개인정보보호법에 대한 폭넓은 이해를 할 수 있었다. 또한 안전행정부를 비롯한 한국인터넷진흥원 및 여러 기업이 개인정보보호를 위해 어떤 노력을 하고 있는지 자세하게 들여다 볼 수 있었다. 우수한 성과도 많지만, 아직 개선해야 할 점도 많다. 보안은 특히나 커뮤니케이션이 잘 이루어져야 하는 부분이므로, 보안을 특정 부서만의 일이 아닌 기업 전체의 일로 여기고 함께 노력해야 할 것이다. Ahn


 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.

댓글을 달아 주세요

개인정보 어디까지 보호해야 하나 핵심 문답 4가지

현장속으로/세미나 2013.04.04 07:00

3월 26일, 서울교육문화회관에서 개인정보보호 실무자를 위한 교육 컨퍼런스인 'G-Privacy 2013'이 개최되었다. 무료참관으로 진행되며 전국 공공기관·지자체·교육기관 개인정보보호 담당자, 개인정보취급자, 개인정보처리시스템운영자, 정보시스템운영자 등 500명여 명이 참석하였다.

'키노트1'은 한국인터넷진흥원의 김민섭 책임연구원이 발표한 '공공기관 개인정보 법령상담 사례를 통한 개인정보 보호책임자의 역할'이었다.

발표에 앞서 김민섭 책임연구원은 "이번 진행되는 'G-Privacy 2013 컨퍼런스'가 실질적인 개인정보보호법 시행 1주년을 맞이하는 중요한 행사라고 생각한다"라고 말하였다. 발표는 한국인터넷진흥원에 있는 개인정보침해신고센터에서 작년 한 해 동안 모아온 데이터를 바탕으로 최근 어떠한 쟁점들이 이슈가 되고있고, 공공기관에서 어떠한 민원들이 많이 접수가 되었는지 중점으로 하여 진행되었다.

   개인정보 침해신고센터

  '개인정보에 관한 권리·이익 침해 구제를 위한 국내 유일의 전문기구'

  (전화) 국번없이 118, (인터넷) pricacy.kisa.or.kr

발표 내용을 바탕으로 주요 민원 또는 질의사항과 답변을 정리해 보았다.

1. 상급기관으로부터 감사를 받을 때 성명·주소·주민번호가 포함된 자료의 제출을 요청받은 경우, 자료를 제공할 수 있는가?

개인정보처리자는 다른 법률에 특별한 규정이 있는 경우 개인정보의 목적 외 이용 또는 제3자 제공이 가능하다. 한편, 주민번호 등 고유식별정보는 그 고유식별정보를 이용하지 않으면 감사가 불가능해지는 경우에 한하여만 제공 가능하다.

2. 암호화해야 하는 개인 정보의 범위는 어디까지인가?

모든 개인정보를 암호화해야 한다고는 규정하지 않는다. 암호화 대상은 '고유식별정보 4가지, 비밀번호, 바이오 정보' 이렇게 6가지이며 그 밖의 정보에 대해서는 기업의 여력이 되는 한 암호화를 하면된다.

3. 안전한 암호화 알고리즘의 기준은 무엇인가?

국내외 정보보호 전문기관(우리나라 경우 국가정보원)의 보안성 평가 제품에 들어가는 암호화 알고리즘으로 본다. 하지만 권고이기 때문에 안전한 암호화 알고리즘에 대한 법적인 범위는 사실상 없다. 하지만 최근 법원 판결에서는 권고되지 않은 암호화 알고리즘 사용도 손해배상 책임의 판단 근거로 삼고 있다는 것을 참고하여야 한다.

4. 검·경에서 수사 목적으로 CCTV 영상정보 제공을 요청해온 경우 제공해도 되는가?

범죄 수사, 공 소제기·유지 등을 위하여 수사기관에서 요청하는 경우 정보 주체의 동의가 없더라도 제공이 가능하다. 다만 이 경우에도 그 요청 목적에 따른 필요 최소한의 영상 정보를 제공해야 하며, 요청 기관 측에서도 관련 법령 및 요청 목적을 명확히 하여 요청할 필요가 있다. Ahn


대학생기자 김대희 /  경기대 컴퓨터과학과


댓글을 달아 주세요

개인 정보 유출 사고의 재발을 막으려면

현장속으로/세미나 2013.04.03 07:00

지난 3월 26일, 서울 교육문화회관 가야금홀에서는 전국 공공기관, 기업체, 보안전문가 등을 대상으로 하는 개인정보보호 컨퍼런스(G-PRIVACY 2013)가 열렸다. 

행사는 오전 9시부터 오후 5시 30분까지 이어졌으며, 이 중 KeyNote 3 은 소만사의 최일훈 부사장이 발표한 “최근 판례로 보는 개인정보유출사고 재발방지기능 소개”였다. 보안전문가가 아닌 일반 대학생이, 그것도 보안과는 다소 거리가 먼 전공을 공부하고 있는 내가 듣기에는 다소 어렵고 생소한 내용들이 있었으나, 구체적인 사례를 통해 기업이 어떠한 대응책을 마련해야 하는지를 살펴볼 수 있었던 유익한 발표였다.

2년 전 모 포탈에서 일어난 개인정보유출 사고 관련 법원 판결을 소개한 뒤, 각 기관에서 어떠한 방식으로 개인정보유출사고를 방지할 수 있을지를 이야기했다. 다음은 주요 내용.


*2년 전 모 포탈의 개인정보유출사고에 대한 위자료 배상 판결! WHY?

지난 2011년 7월, 모 포탈사이트가 가지고 있던 3,500만명의 개인정보가 유출되는 사고가 발생했다. 그리고 2년이 지난 2013년 2월, 법원은 집단소송을 건 원고 2800명에게 피고(모 포탈)는 각각 20만원씩 배상하라는 판결을 내렸다. 

이는, 해킹으로 인한 개인정보유출에 대하여 법원이 최초로 배상판결을 내린 사건이라는 점에서 큰 의의를 가진다. 특히 개인정보유출로 인한 정신적 피해나, 제 3자의 도용으로 인한 추가적 피해 등을 재판부가 인정한 것으로 사용자 정보를 보유한 여러 기관에 경종을 울리는 중요한 판결이라고 볼 수 있다.

그렇다면 어떠한 근거로 이러한 배상 판결이 이루어진 것일까? 법원은, 피고(모 포탈)가 선량한 관리자로서 기술적 관리적 보호조치 의무를 다하지 못 한 것으로 판단하였다. DB 관리자가 DB 접속 후 로그인한 상태로 퇴근하여 심야시간에 개인정보를 조회할 수 있도록 방치한 것, 대량의 개인정보를 파일로 생성한 것에 대한 이상징후를 탐지하지 못한 것, 개인정보의 외부유출을 모니터링하거나 통제하지 못한 것 등은 정보통신망법의 몇 개 항목을 어겼기에 피고(모 포탈)에게 책임을 묻게 된 것이다.


*기존의 DLP(Data Loss Prevention, 정보 유출 방지 기술)

이러한 판례를 통해 보았듯이, 각 기관의 보안 담당자들이 가져야 할 책임이 존재하고, 개인정보를 보호하기 위한 대책이 선행되어야 한다. 사실, 이를 위해 DLP(Data Loss Prevention, 정보 유출 방지) 기술이 존재하는데, 크게 4가지로 볼 수 있다.

- Discovery : 어디에 누가 어떤 정보를 가지고 있는지 파악하고, 적절한 조치(암호화, 삭제)를 하는 것 (ex: PC)

- Network DLP : 네트워크를 통해 유출되는 정보를 모니터링하고 차단하는 것

- Endpoint DLP : 단말의 외부 인터페이스를 통해 유출되는 정보를 모니터링하고 차단하는 것 (ex: 매체제어, USB/외장하드)

- DB DLP : DB상의 정보가 유출되는 것을 모니터링하고 차단하는 것


*DLP 개념의 확장이 필요하다!

그렇지만, 기존의 DLP 기술로는 제대로 된 정보 보호를 할 수 없다. 단지 기술에 의존하는 것이 아니라, 보안 관리자가 직접 모니터링하고 통제하면서 개인정보 보호를 위해 최선을 다해야 한다. 특히 기존의 DLP 범위를 뛰어넘어 더욱 넓은 범위로 확장해야만 한다.

Discovery 영역에서는, 누가 어떤 정보를 가지고 있는지 파악하고 조치를 할 때, PC에만 초점을 맞추는 것이 아니라 서버나 데이터베이스, 모바일 등으로 범위를 확장할 필요가 있다. 특히 최근에는 모바일 영역에서 정보 유출에 대한 기술이 아직까지 부족하기 때문에, 각 기관에서는 이에 유념할 필요가 있겠다.

또한, 메일이나 게시판, 웹하드나 각종 App 등의 네트워크를 통해 유출되는 정보를 잘 감시해야 하며, USB나 외장하드 뿐만 아니라 프린트를 통해 정보가 새나가는 것을 주의해야 한다. 특히 프린트물을 통한 개인정보 유출을 막기 위하여, 출력자 이름/일시가 워터마크되어 출력되는 기술적 보완이 필요하며, 개인정보를 출력하는 사람의 정보를 저장하고, 혹 필요 이상의 정보를 출력한다고 여겨질 때에는 차단하는 시스템이 필요하다.

최일훈 부사장의 말에 따르면, 해커의 공격은 이제 불특정 다수를 향하는 것이 아니라, 특정 집단이나 기관을 노리고 이루어진다. 그만큼 각 기관에서는 개인정보 유출을 막기 위한 ‘전쟁’을 더욱 치열하게 해야 한다. 그렇지만, 이를 단지 보안전문가의 몫으로만 돌릴 수는 없다. 우리 모두가 개인정보를 보호하기 위해 노력해야 개인정보유출사고의 재발을 막을 수 있지 않을까. Ahn


대학생기자 김지수 /  서울대 사회교육과,경영학과

댓글을 달아 주세요

개인정보보호법에서 눈여겨볼 핵심 조문

2011 9 30, 개인정보보호법이 발효됨에 따라 개인정보 침해 대응법도 구체적으로 구현되었고, 정보보호 중요성에 대한 사회의 의식 수준도 높아졌다. 개인정보보호법의 법적 성질과 주요 조문을 분석함으로써 해당 법률의 역할을 살펴보자.

개인정보는 원하지 않은 방식으로 이용되지 않아야

개인정보는 생존하는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보를 의미한다. 개인정보를 법적 권리로 설정할 때, 일반적으로 헌법 제17조에서 규정하는 프라이버시(privacy)라는 개념으로 접근한다. 개인정보의 법적 권리에는 자신에 관한 정보가 자신이 원하지 않은 방식으로 이용되지 않을 권리,’ ‘자신도 모르는 사이에 정보가 남에게 수집되지 않을 권리등이 포함된다.

개인정보 라이프 사이클은 수집, 저장 및 관리, 이용 및 제공, 파기로 이루어지며, 각 단계별로 침해가 발생할 수 있다.

 

개인정보보호법은 기존에 정보통신, 금융/신용, 공공행정, 교육 등의 분야에서 개별적으로 적용되었던 법률들의 체계를 일원화하여 개인정보의 수집, 처리에 관한 일반법으로 기능한다.

개인정보보호법은 기존 개인정보보호 법안의 적용 대상에서 국회, 헌법재판소 등 행정 사무를 처리하는 기관과 오프라인 사업자, 협회, 시민단체 등 비영리단체까지 그 영역을 넓혔다. 보호 범위도 전자적으로 처리되는 개인정보 외에 수기 문서도 포함된다(동사무소 민원신청 서류 등 공공기관의 종이문서 등).

 

눈여겨볼 개인정보보호법 주요 조문

개인정보보호위원회 설치(7· 8)

개인정보에 관한 주요 사항을 심의 의결하는 대통령 소속 개인정보보호위원회를 두고 위원회에 사무국을 설치하였다. 이는 개인정보 보호 정책의 수립, 결정 및 제도 운영 등 중요 사항에 대한 의사 결정의 신중성, 전문성 및 객관성을 확보하고 이해당사자로부터 독립성을 확보하기 위함이다.

개인정보 처리 단계별 보호 기준 마련(15~22)

개인정보 수집, 이용, 제공, 위탁, 파기 등 단계별 처리 기순을 구체화하였다. 이는 개인정보 수집, 이용, 제공, 위탁, 파기 등 단계별로 개인정보 처리자가 준수하여야 할 처리기준을 구체적으로 규정하고 개인정보처리 과정에서 국민의 개인정보 자기결정권을 강화하기 위함이다.

고유식별정보의 처리 제한 강화(24)

주민등록번호 등 고유식별정보는 원칙적으로 처리 금지되며, 법령에서 고유식별정보 처리를 허용하는 경우는 제외한다. 따라서 개인정보처리자는 홈페이지 회원가입 등 개인의 식별정보가 필요한 경우, 주민등록 번호 외에 방법을 반드시 제공하도록 의무화되어 있으며, 개인을 구별하는 정보의 분실, 도난, 변조, 훼손 등의 방지를 위해 암호화 등 안정성 확보 조치를 규정하고 있다. 이는 주민등록번호의 광범위한 사용 관행을 제한하고 무분별한 오·남용을 방지하기 위함이다.

영상정보처리기기의 설치 제한 근거 마련(25)

범죄의 예방/수사를 위한 경우 등의 법령에서 허용하는 경우 외에 공개된 장소에서는 영상정보처리기기의 설치 및 운영이 제한된다. 영상정보처리기기를 설치하거나 운영할 시에는 안내판, 운영 및 관리지침을 마련하는 조치가 필요하다. 해당 조문은 영상정보처리기기의 설치, 운영 근거 및 보호 조치 사항을 구체화했다는 점과, 영상정보처리기기의 무분별한 설치를 방지하여 사상활 감시에 대한 프라이버시를 보호하는 장치를 마련됐다는 점에서 의의가 있다.

개인정보 영향평가제도 도입(33)

공공기관이 대규모 개인정보 파일 구축을 할 때는 사전에 영향평가를 실시해야 한다(공공기관은 개인정보파일 등록 시 평가 결과를 첨부하여 행정안전부에 제출해야 함). 민간 분야는 자율적으로 수행한다. 이 조항을 통해 개인정보 침해를 예방하기 위하여 사전에 위험요인을 분석하고, 이를 조기에 제거할 수 있다Ahn

 

자유기고. 방지희  

 

댓글을 달아 주세요

개인정보보호법 시행됐는데 난 뭘 해야 하지?

독자이벤트 2011.10.13 13:55

개인정보보호법 발효됐는데 난 뭘 해야 할까? 고민하는 분이 많습니다. 
안철수연구소가 그런 분을 위해
개인정보보호 수칙 10계명을 비롯해 바뀌는 개인정보보호법 체크리스트, 효과적인 개인정보보호 3종 세트 - 패스워드의 효과적 관리, 내가 가입한 사이트 한번에 찾기, 피싱에 대한 효과적 대처 - 를 안내합니다.
SNS에 전파하고 내년도 탁상용 캘린더도 미리 찜하세요.^^ 

댓글을 달아 주세요

개인정보보호법 시행되면 내 정보 안전할까

최근 잇달아 발생한 개인정보 유출 사고는 본인이 모르는 대출 시도, 카드 추가 발급 등의 2차, 3차 피해로 이어져 심각성이 다하다. 일련의 사건은 우리 사회가 보안 문제를 진지하게 살펴보게끔 했다. 보안에 대한 관심이 급격히 높아진 이 시점에, 2003년 처음으로 입법 논의가 제기되어 8년여의 기간을 거쳐 수정된 개인정보보호법이 오는 9월 30일부터 시행된다. 

 

개인정보보호법, 이렇게 바뀐다

 

사실 개인정보보호법과 유사한 내용을 담은 법이 전혀 없었던 것은 아니다. 기존 정보통신망법이 있지만 이는 공공기관, 정보통신사업자, 신용정보 제공 및 이용자만을 대상으로 했다. 이와 달리 새로 제정된 개인정보보호법에서는 오프라인 사업자, 의료기관, 동호회나 모임과 같은 비영리단체 등이 대상으로 추가되었으며 수기문서까지 포함되어 보호 의무 적용 대상을 대폭 확대했다.

 

, 앞으로는 어떤 기관이나 혹은 목적을 가진 개인이 아닌 일반 단체의 개인도 개인 정보를 취급하면 개인정보 처리자로서 개인정보보호법의 적용을 받는다. 또한 업무에 따라 자유롭게 개인 정보를 취급할 수 있었던 공공기관도 앞으로는 개인 정보 수집 시 정보 주체의 동의가 있어야만 사용할 수 있다. 반면에, 목적 외의 개인 정보를 사용하는 것도 강력하게 금지되었으나 정보 주체의 동의에 따라 통계 및 학술 연구로는 사용이 가능토록 하는 융통성도 가지고 있다.

 

의무 적용 대상 확대 외에도, 앞서 말한 공공기관의 사례와 목적 외 개인 정보 이용의 사례만 보아도 알 수 있듯이, 개인 정보 처리자의 권한은 줄어들고 정보 주체의 권익은 크게 늘어났다. 처음 정보를 수집할 때 정보 주체에게 정보 수집 목적과 수집할 정보의 항목, 보유 기간 등을 정보 주체가 명확히 인식할 수 있도록 고지 의무를 강화했다. 또한 개인 정보 유출 및 시스템 침해 사고 등의 보안 사고가 발생할 경우, 즉시 정보 주체에게 유출 사실, 유출 정보, 시점, 경위에 대한 사실을 통보하도록 하여, 정보 주체의 개인 정보의 중요성을 강조하였다. 

그리고 주민등록번호 등의 고유식별정보의 사용에 강한 제한을 두었다. 집주소, 전화번호와 쉽게 바뀔 수 있는 정보와는 달리 주민등록번호는 완전하게 개인에게 귀속되므로 개인을 인식하는 데 좋은 도구가 된다. 그러나 그런 만큼, 이 정보가 노출되었을 때의 위험도는 매우 높다.

개인정보보호법에서는 이런 문제를 해결하기 위해 주민등록번호, 운전자면허번호, 여권번호 등의 고유식별정보의 처리를 원칙적으로 제한하고, I-Pin, 공인인증서 등 대체 방안을 사용할 것을 적극 권장한다. 만약, 고유식별정보를 이용할 경우에도, 암호화 등의 안전 조치를 확보할 것을 의무화하도록 하였다.

 

마지막으로 영상 정보 처리 기기에 대한 규제를 강화하였다. 현재까지는 공공기관이 설치 및 운영하는 CCTV에 한하여 규율을 적용했으나 앞으로는 민간까지 규율 적용 대상을 확대하여 설치 여부에 대한 조건을 화재 예방, 교통 단속 등으로 명시하였다. 또한 CCTV뿐만 아니라 네트워크 카메라도 포함하였으며 공중 화장실, 목욕탕 등 사생활 침해 우려가 큰 장소에는 설치를 금지했다.

 

개인정보보호를 위해서는 국가적 노력이 필요

 

개인정보보호가 이렇게 법으로 시행된 것은 큰 의미를 지닌다. 하지만 개인정보보호는 법만으로 이룰 수 있는 것이 아니다. 실제로 이와 같은 보호를 수행할 수 있는 다양한 기술적 보호 조치가 함께 이루어져야 비로소 개인정보보호라는 과제를 해결할 수 있는 것이다. 개인정보보호법 위반 시 2년 이하의 징역 또는 1000만원의 벌금이 처벌로 가해지므로 기술적 보호 조치의 노력은 적극적으로 이루어질 것이며, 이를 뒷받침하기 위한 보안 업계의 서비스 강화도 함께 이루어지게 될 것이다.

 

추세에 맞춰 나가고 있다 안철수연구소에서도 개인정보보호와 관련하여 기존 컨설팅 서비스를 제공하던 것에서 한 걸음 더 나아가 개인정보보호에 특화한 솔루션 정책 등을 반영하여 개인정보보호 맞춤 컨설팅을 펼칠 계획 이러한 . 또한 여러 보안업체에서도 함께 노력을 기울이고 있어 향후 법이 시행된 이후에는 지금과 같은 피해를 방지하기 위한 노력이 전 국가적으로 계속해서 이루어지고 있다.

 

하지만 개인정보보호를 위한 가장 중요한 조건은 따로 있다. 그것은 바로 스스로 개인정보의 중요성을 체감하고 이를 지키기 위해 노력하여야 한다는 점이다. 기업을 통한 개인 정보 유출 사건은 그 규모가 방대하다는 점에서 크게 다가오지만 기업을 통하지 않고서도 개인의 무관심으로 개인 정보가 유출되는 경우도 무척 많다. 오히려 기업에서의 개인정보 유출이 이슈화하는 것에 반해 유출되었다는 사실도 알기 어려울 뿐더러 무관심하게 넘어가기 쉽다는 점에서는 더 심각한 문제라고 할 수 있다.

 

갈수록 디지털화해가는 사회에서 정보의 가치는 점점 더 증가하고 있다. 개인은 새롭게 시행되는 개인정보보호법을 계기로 스스로 정보에 너무 무관심했던 것은 아닌지 되돌아보고, 기업은 법을 준수하며, 정부는 법을 수정보완하며 적절하게 집행할 때 개인정보보호는 막연한 개념이 아닌 현실이 되어 돌아올 것이다. Ahn

대학생기자 최승호 / 고려대 컴퓨터통신공학부

모두가 열정적으로 살지만 무엇에 열정적인지는 저마다 다릅니다.
당신의 열정은 당신의 꿈을 향하고 있나요?
이제 이 길의 끝을 향해 함께 걸어나가지 않으시겠습니까.

댓글을 달아 주세요

집과 공공장소에서 내 정보 지키는 간단한 방법

보안라이프/리뷰&팁 2011.07.05 06:30

A군은 최근 매신저에 접속했다가 당황스러운 일을 겪었다. 누군가가 자신의 아이디로 접속해서 메신저에 등록 된 사람들에게 외설적인 내용의 쪽지를 전송한 것이다. 개인정보 유출과 더불어 이상한 사람으로 오해를 받는 아찔한 상황이 연출 되었다. 오랫동안 비밀번호 변경을 하지 않고 관리를 하지 않았던 것이 화근 이었다. A군은 억울한 오해와 어디선가 팔리고 있을 자신의 개인정보 생각에 걱정이 되었다.

최근 금융권이나 대형 웹사이트들에서 개인정보가 유출되는 일들이 빈번히 발생하고 있고 아직도 웹사이트로 보내는 아이디와 비밀번호가 암호화 되지 않아 앞의 사례처럼 피해가 속출하고 있다. 더 큰 문제는 사생활침해, 메신져피싱, 스팸메일, 그리고 보이스피싱 등의 2차 피해가 함께 증가하고 있다는 점이다. 

어쨌든, A군과 같은 상황에 처하지 않으려면 개인정보를 어떻게 지켜내야 할까? 이 피해를 최소화하기 위해 아이디와 비밀번호를 쉽게 노출 하지 않도록 개인 스스로가 할 수 있는 일에는 다음과 같이 간단한 방법들이 있다.

출처 - http://www.y2kers.com/tag/password

 

■ 집에서


1) 가능하면 자주 바꿔준다!
많은 곳에서 말하고 있는 방법이다. 비밀번호에 대한 암호화가 되어 있더라도 오래 된다면 언젠가는 이를 복호화할 수 있는 약점이 생기기 마련이다. 중요한 정보를 가지고 있지 않다고 생각되는 아이디라도 비밀번호를 자주 바꿔줘야 한다.

2) 웹사이트마다 다르게 한다!
웹사이트마다 아이디와 비밀번호를 다르게 하면 수많은 웹사이트들을 어떻게 다 관리하느냐는 의문이 들 것이다. 하지만 이러한 방법을 쓰면 어떨까? 예를 들면 다음이라는 웹사이트의 비밀번호는 '다음1234', 티스토리는 '티스토리1234'처럼 개인적인 알고리즘을 만들어 관리에 어려움이 없도록 한다. 물론, 이 예를 보고 비슷한 패턴으로 비밀번호를 설정한다면 더 큰 문제점이 발생할 것이다.

3) 단어나 숫자만 사용하지 말자!
만들고, 기억하기 쉽다고 해서 단어나 숫자로만 된 아이디와 비밀번호를 만드는 사람이 많은데, 이는 개인정보보호에 가장 위험한 것 중 하나다. 무차별로 아이디나 패스워드를 넣어보는 brute force 공격이나 사전에 있는 단어들로 넣어, 공격을 한다고 해서 붙여진 dictionary 해킹방법에 취약하기 때문이다. 그렇기 때문에 반드시 가능한 길게 단어, 숫자를 조합해야 하며 할 수 있다면 대소문자를 구별하거나 특수기호를 넣어주는 것이 좋다.

4) 생년월일 등의 정보는 넣지 않는다!
가끔 보면 아이디에 개인 생년월일 (예를 들면 apple1986) 혹은 전화번호를 넣어 만드는 경우가 있다 하지만 이것은 마케팅이 대상이 될 수 있다. 아이디에 따라 스팸메일이나 스팸문자 등의 광고지들로 홍수를 이룰 수 있으니 이러한 가능성 또한 줄여야 한다!


모 사이트에 공개된 당첨자들 - 전화번호, 생년월일을 유추할 수 있다



■ 공공장소에서


공공장소 (학교, PC방, 도서관 등)에서의 비밀번호 관리는 힘들다.
컴퓨터 안에 어떤 프로그램이 설치되어 있는지 모르기 때문이다. 개인이 할 수 있는 일들은 다음과 같다.

1) 로그아웃, 생활화하자
어쩌면 가장 쉬운 일이지만 어려운 일이기도 하다. 웹사이트나 메신저의 로그아웃을 하지 않은 것을 공공장소에서 쉽게 볼 수 있다. 이는 아이디와 비밀번호를 모르고도 계정에 접근할 수 있는 방법이며 의도하지 않은 사람이 해커가 되어 버리는 상황까지 생기기 때문에 공공장소에서 로그아웃은 필수사항이다!

2) 작업표시줄, 작업관리자 확인하자
내 컴퓨터가 아니기 때문에 어떠한 프로그램이 설치되어 있는지 실행되어 있는지 모르는 경우가 태반이기 때문에 이를 항상 확인해야 한다. 특히 최근에는 키보드의 단순한 조작으로 작업표시줄에 표시된 실행되고 있는 프로그램을 감춰주는 프로그램들이 많이 나와 있어 해킹 툴을 감추는 것에 대비해야 한다. 

작업표시줄을 감춰주는 프로그램

3) 나의 데이터가 어디로 흐르는지 확인하자
공공장소 혹은 검증되지 않은 아무 무선 인터넷에 접속하는 것은 간단한 해킹 툴로도 내가 보낸 정보가 정상적으로 가지 않고 해커의 컴퓨터를 거쳐 가는 ARP spoofing 같은 공격에 취약하다. 웹사이트나 프로그램마다 다르겠지만 내가 보낸 데이터가 해커의 컴퓨터를 거친다면 아이디 비밀번호를 쉽게 알아낼 수 있다. 

4) 백신 프로그램 설치하자
물론 가정집에서도 반드시 설치되어 있어야 한다. 공공장소에는 백신 프로그램이 설치되지 않는 컴퓨터들이 부지기수다. 따라서 컴퓨터를 잠깐 사용하더라도 위와 같은 해킹 툴이나 악성코드에 대응하기 위해서는 백신 프로그램을 설치 후 사용하는 것이 좋다. 

V3 Internet Security 8.0 - 실시간으로 네트워크를 감지한다

이 외에도 다양한 방법들로 다운로드(Active X  등) 함부로 받지 않기, 검증되지 않은 URL 클릭하지 않기, 자주 사용하지 않는 사이트는 탈퇴하기 등의 방법이 있다. 이처럼 스스로 개인정보를 보호할 수 있는 여러 가지 방법이 있고 어쩌면 누구나 알고 있는 방법이지만 이 중 하나라도 소홀히 한다면 다른 노력이 헛수고가 될 수 있다. 따라서 ‘자나 깨나 불조심'이 아닌 ‘자나 깨나 개인정보조심’을 생각하며 언제나 어디서나 개인정보보호에 주의를 기울이자! Ahn

대학생기자 김형준 / 원광대 정보전자상거래학부

스물 여섯!

키에 대한 성장판은 이미 닫혔지만
KEY에 대한 성장판은 이제 시작입니다!


 

댓글을 달아 주세요

  1. 영원~* 2011.07.05 12:00  Address |  Modify / Delete |  Reply

    좋은정보감사

  2. 보안짱 2011.07.05 12:01  Address |  Modify / Delete |  Reply

    간만에 좋은글 읽고 갑니다.
    다음에도 더 좋은글
    부탁드립니다.

  3. 홍홍 2011.07.05 13:41  Address |  Modify / Delete |  Reply

    좋은 정보 감사해요
    실천해봐야겠네요~!!

  4. 하나뿐인초록별 2011.07.05 15:56  Address |  Modify / Delete |  Reply

    요새 트위터 보면...
    해킹 사건들도 발생하고...
    가짜 연예인들 트위터도 그렇고...
    ...
    개인정보가...주민번호/비밀번호에만...
    국한되는 것은 아닌 것 같아요...
    ...
    해킹/보이스피싱/플래시 취약점 등등...

  5. jjongmi 2011.07.13 10:39  Address |  Modify / Delete |  Reply

    비밀번호 자주 바꿔야 하는데.... 그게 참 쉽지않은거같아요 ㅠㅠㅎㅎ