[현장스케치] 2014 개인정보보호페어 & CPO 워크샵

현장속으로/세미나 2014.08.17 15:19

 지난 6월 14일 새벽 4시 브라질 월드컵에서 두 축구 강국인 스페인과 네덜란드의 긴장된 대결이 펼쳐졌다. 스페인의 월드컵 2연패 시동이냐, 네덜란드의 설욕전인가를 놓고 두 나라의 대결 결과 예측은 팽팽했다. 지난 월드컵에서 우승컵을 든 스페인의 우위가 점쳐진 가운데, 휘슬은 울렸다. 90분이 흐른 뒤의 결과는 충격적이었다. 스페인의 5:1대패. 구세주라 불리는 카시야스가 막고 있는 골대의 골 망이 5번 흔들렸다는 것에 정신이 없었다. 예상치 못한 일은 커다란 충격을 가져온다.

 지난 1월 또 한 번의 방심으로 크나큰 충격을 입은 일이 있었다. 카드 3사의 대규모 개인정보 유출사고가 그것이다. 그 이후 추가적으로 통신사 등에서 발생한 유출사고가 밝혀졌고, 기업의 책임성에 대한 목소리가 커지는 동시에 개인정보 유출에 대한 불안감도 증가되었다. 

 올해로 개인정보보호법이 시행된 이후 3년째. 개인정보 유출 사건이 해마다 있었지만, 굵직한 개인정보 유출 사건이 빈번했던 올해는 개인정보보호에 대한 시각이 남다를 수밖에 없다. 3년 동안의 성과를 어떻게 평가해야할까? 

서울 삼성동 COEX 1층 그랜드볼룸에서 2014 개인정보보호 페어 & CPO워크숍이 열렸다.

 지난 6월 24일 서울 삼성동 코엑스 1층 그랜드볼룸에서 안전행정부와 개인정보보호위원회 주최로 2014 개인정보보호 페어 & CPO워크숍이 개최되었다. 개인정보보호 페어를 참관하기 위해 삼성동 코엑스를 찾았다.

 1층 그랜드볼룸에서 A,B,C 세 트랙으로 나누어져 25개의 강연이 진행되었다. 로비에서는 강연 중간 중간 휴식 시간에 관람할 수 있는 전시 부스가 마련되었다. 한국의 대표 보안업체인 안랩을 포함해 신도리코, 엔소프테그놀러지, 한국오라클 등 약 20여개의 보안 업체 전시 부스에서 각 회사의 제품에 대한 설명을 들을 수 있었다.

 참석객 4,000여명의 행사규모답게 강연장과 전시 부스에 관람객들이 붐볐다. 한국의 대표 보안 업체인 안랩 전시 부스를 방문했다. 안랩 주요 제품인 'Ahnlab Privacy Management Suite'와 '내PC지키미'에 대한 상담을 하고 있었고, 전시 부스 옆에 간단한 게임과 사은품을 주는 행사로 사람들이 모여있었다.  

 전시 부스 관람 이 후 TRACK B 강연장에서 강연을 들었다. 트랙 B는 보메트릭, 닉스테크, 안랩, 한국오라클 등 7개의 강연이 진행되었다. 대부분 강연들은 강화된 개인정보보호법을 언급하고 그에 대한 방안이나 전략, 자사의 솔루션을 설명하는 방식으로 진행되었다.

 대부분 강연자들은 2013년 7월 30일에 개인정보보호법 개정안이 통과되면서 강화되는 기업 처벌 및 책임에 대해 언급했다. 2014년 8월부터 정부부처 및 공공기관, 민간기업을 대상으로 적용되는 개인정보보호법 개정안은 5억원 이하의 과징금 부과와 개인정보 관리 및 유출방지, 주민등록 번호 수집 전면 금지에 대한 내용을 담고 있었다. 빈번한 개인정보 유출 사고가 불러온 결과라고 볼 수 있다.

 각 회사의 솔루션에서 개인정보 유출 통제 프로세스는 조금씩 달랐지만, 카드 3사 정보유출과 관련하여 관리자 이외 외부로부터 파일 이동에 대한 통제를 염두에 두고 있었다. 닉스테크 장준하 부장은  USB 외부 반출 승인 프로세스나 파일 읽기 및 외부 복사 통제 포로세스에 대해 강조했다. 

 안랩 이건용 과장은 '개인정보, 이제 '관리'를 넘어 '유출차단'까지!' 라는 제목으로 강연을 했다. 제목에서 부터 유출차단을 강화했다는 점을 엿볼수 있었다. 

 안랩 제품인 'Ahnlab 내pc지키미'는 점검 점수에 따른 Network 차단과 강제조치 기능을 제공하면서 차별점을 설명했다. 강제조치 기능은 USB 자동실행 차단, 백신 강제 업데이트 기능을 추가해 취약 항목을 자동으로 조치하는 기능이다. 또한 색상으로 PC점수 및 안전 상태를 쉽게 파악할 수 있는 기능을 추가하여 사용자 편의성을 강화했다고 설명했다.

안랩 이건용 과장이 개인정보 관리와 유출 차단에 대해 강연을 하고 있다.

 또한 안랩 이건용 과장은 보안을 축구로 비유하며 "골대를 안전하게 지키자" 라고 말했고, 디에스앤텍 김봉석 팀장은 보안을 아이언 맨에 비유하며 "아이언 맨의 슈트처럼 정보보호 슈트가 필요하다"라고 말하며 강연을 마쳤다. 

 개인정보유출 사건이 발생하고 7개월. 사건으로 자기 정보에 대한 권리의식을 갖게 되면서 보호되어야 하는 정보에 대한 권리의 목소리가 나오고 있다. "잊혀질 권리"가 최근 대두되는 것도 이와같은 맥락에서 볼 수 있다. 이러한 사회적 분위기가 긍정적으로 보이지만, 한편으로는 사건이 발생하고 나서 반짝하고 다시 사그라드느 게 아닌가 우려도 된다. 올해로 개인정보보호 페어는 3년째를 맞이한다. 개인정보보호 페어가 단순히 CPO의 의식뿐만아니라 모든 사람들에게 개인정보보호에 대한 중요성을 일깨워주는 행사로 자리매김했으면 하는 바람이다.

대학생 기자 김수형 / 경희대학교 경영학부

ksh5059@naver.com


댓글을 달아 주세요

2014 개인정보보호 페어 & CPO워크숍에 다녀오다! (1)

현장속으로/세미나 2014.08.10 22:50

624일 개인정보보호 페어가 삼성동 코엑스에서 열렸다. 코엑스에 사람이 많은 건 이미 알고 있었지만, 막상 가보니 유독 개인정보보 페어에 사람이 몰린 듯한 느낌이었다

그만큼 뜨거웠던 열기와 호응속의 개인정보보호 페어&CPO 워크숍으로 들어가보자!

 

거 인터뷰를 했던 경험이 있는, Pwn&Play의 장기려 대표가 첫 프로그램의 발표를 맡았다. 최신 개인정보 유출 유형별 해킹시연과 방어대책을 정리해서 발표했는데, 정말 흥미로웠다. 특히 인상 깊었던 부분은 PC방 원격 파일 실행과 핸드폰 불법 복제에 대한 내용이다. PC방 원격 파일 실행의 경우에는, 사실 생각지도 못한 부분이었기에 이색적이었다. PC방의 경우에는 카운터 컴퓨터라는 서버와 그 기기를 제외한 PC방에 있는 다수의 컴퓨터. 즉 클라이언트가 존재한다. 이 때 카운터 컴퓨터의 서버 원격 포트를 공격해서, 그에 딸린 클라이언트에게 악성코드를 심을 수 있는 해킹 기술이다. PC방의 원리(?)를 이용한 해킹 기술이라는 점에서 도 인상 깊었던 발표 내용이었다하지만 가장 뜨거운 관심을 이끌었던 것은 핸드폰 불법 복제에 관한 내용이다. 발표를 하는 중간 중간, “총 맞을 각오하고!” 라는 말을 자주 했는데, 정말로 그의 발표 하나하나에서 용기와 노력을 볼 수 있었다. 그는 핸드폰 불법 복제에 대한 해킹 기술을 시연하면서, 얼마나 쉽게 뚫리는지를 보여주고. 이동 통신사에 전화해서 실제 자신의 해킹 기술이 유효했는지를 확인했다. 그리고 실제 통화의 녹음 내용을 들려주었다. 발표장을 꽉 채우는 그의 해킹 기술과 용기는 많은 것을 배우고 깨닫게 해줬다.

 

첫 번째 발표를 마치고 10분 뒤에, 바로 안전행정부의 개인 정보 보호과 문금주 과장님께서 발표해주셨다. 30분 동안의 짧다면 짧은 발표 동안 앞으로 강화될 개인정보 보호에 대해서 저절로 기대가 되었다.

평소에 개인정보의 경우에는 처리 역시 중요하지만, 스스로 지키는 것이 가장 중요하다고 생각한다. 이러한 생각처럼, 앞으로는 개인정보 유출의 소송 때 피해자가 억울함을 입증해야 하기 때문에, 손해 배상을 받기 어려워질 것 같다는 말씀을 하셨다. 또한 개인정보 개정안에 대해서도 얘기를 해주셨는데, 마지막 수정일 것 같다는 말씀과 함께 중복되고, 유사한 내용은 정리하면서 앞으로도 꾸준히 다듬어 나가실 것 같다고 말씀해주셨다. 무엇보다 개인정보는 정보와는 다른 헌법적으로 인격이라는 말씀이 기억에 남는다.

 

두 번째 키노트는 한국정보화 진흥원의 김두현 부장님께서 진행해주셨다. 앞서의 내용이 개인정보를 위협하는 기술과, 그를 막을 수 있다는 내용이었다면. 이번 발표에서는 데이터시대에서 개인정보를 올바르게 쓰기 위해 고려해야 할 요소, 즉 다짐과 향후 과제에 대해서 얘기해주셨다. 발표를 듣다보니, 이 중요한 내용을 30분 동안 듣기에는 너무 짧은 것 같아서 아쉬웠다.

 

처음으로 다녀온 개인정보 보호 페어, 다양한 부스들과 많은 사람들을 보면서 내년이 더 기대되고, 그 후년이 더 기대되었다. 개인정보보호에 대한 현실과 미래를 살펴 볼 수 있는 개인정보보호 페어. 앞으로도 많은 사람들의 관심과 애정 속에서 더 좋은 내용으로 진행되길 바란다.



 안랩대학생기자단 홍수영 / 서울여대 정보보호학과


 omnia tempus habent



댓글을 달아 주세요

안전한 금융 시스템 위한 또 하나의 해법 NAC

현장속으로/세미나 2013.07.18 09:03

514일 화요일, 양재엘타워 그레이스홀에서 머니투데이, 데일리시큐에서 주관한 <FPIS 2013 금융보안&개인정보보호 페어>가 개최되었다. 이 세미나에선 국내외 보안 업계 최고 전문가들이 한 자리에 모여 직접 전하는 2013년도 금융 IT 방향과 함께 금융 보안 시스템 강화를 위한 다양한 보안 솔루션들을 접하는 시간을 가질 수 있었다.

       

2009년 7.7 DDoS 대란, 올해 3.20 사태까지 심각한 보안 사고들이 연달아 발생함에 따라 각 사의 보안담당자들이 보안 업무를 수행하기에 훨씬 어려워졌다. 많은 보안 솔루션을 구비했음에도 해킹에 대한 불안과 염려는 여전히 존재한다

이 날 넷맨(NetMan)의 마정우 전략기획부장이 전한 네트워크 접근 제어(NAC)를 통한 금융사 정보보호 강화 전략은 보안 담당자들이 지닌 걱정의 무게를 덜어주는 시간이었다 그는 현재 일어나는 해킹의 주요 사례와 이를 막는 보안 시스템의 구성, 네트워크 접근 제어(NAC)을 통한 보안, 그리고 이런 솔루션들이 보안 수준을 높이기 위해 어떤 프로세스를 거치는가에 초점을 맞춰 발표를 했다. 다음은 주요 내용.

 

 해킹 

IT 시스템이 만들어지기 시작한 1980년대 초기에는 공격자의 지식과 성향이 해킹을 성공시키는 가장 큰 요소로 작용하였지만, 2000년대로 넘어와선 툴의 활용도와 툴의 강력도가 해킹의 성공 요소로 작용하기 시작하였다. 현재 해킹의 공격 도구는 점점 다양해지고 있으며 해킹의 형태는 점차 웹을 통한 오픈서비스로 발전해 나가고 있다. 1980년대 초기엔 알려진 취약점을 통한 시스템 공격이 주류를 이루었으나, 1990년대 초반부터 2000년대 들어서는 네트워크적인 공격이 주류를 이루게 되었다.

해킹의 주요 사례로는 웹서버의 각종 취약점을 이용해 웹서버 계정을 탈취한 후, 클라이언트 보안 취약점을 통한 Botnet을 구성하여 컴퓨터를 공격하는 ‘DDoS 공격부터, 사용자 PC에 이메일 주소를 이용하여 대량의 스팸메일을 전송하는 스팸 릴레이 공격,’ 또는 해당 시간에 스스로 하드디스크 파괴 악성코드를 삽입하는 ‘PC 파일 시스템 파괴 공격,’ 정보 유출을 위한 폴더 리스트, 파일 리스트를 입수하는 개인정보 유출’ 해킹이 대표적이다. 최근 발생하는 해킹은 특정 공격 기법을 사용하기보다는 가능한 모든 방법을 동원하여 특정 타깃을 노리는 여러 공격의 집합체 형태를 가지고 있다.

 

 보안 시스템

그렇다면 이런 것들을 대응하기 위한 보안 시스템들은 어떤 형태가 있는지 알아보자네트워크에는 사용자, 서버, DB, 전산자원, 단말기 등이 여러 종류의 네트워크 스위치를 통해서 구성되어 있다. 각 접점에는 방화벽, 아이패스, 개인 정보 솔루션, 문서보안솔루션과 같은 각각의 기능으로 중점화된 보안 솔루션들이 각자의 위치에서 제 기능을 수행한다

과거엔 이러한 보안 시스템간의 접점이 보안의 가장 취약점으로 여겨졌으나, 요즘에는 하드웨어적으로 많이 오픈되고 시스템이 많이 강화되면서 공통화 된 보안 기능이 점점 늘어가고 있는 실정이다. 대표적인 예로 UTM 장비의 경우, 과거 UTM은 초기에는 방화벽과 IPS의 기능이 하나의 박스 안에 들어가 있는 형태로 제한되었다

하지만 현재는 Anti-Virus나 웹방화벽, SSL VPN등 각각의 기능을 모듈로 하여 UTM 장비가 만들어져 그 박스 안에서 점차 프로세스 되면서, 하나의 패킷이 안전하게 어플리케이션에 전달되기까지 일련의 과정을 수행하고 있다.

 

 네트워크 접근 제어(NAC)

이런 다양한 보안 솔루션을 사용하는 주체는 사용자로, 각 사에서 운영하고 있는 사용자들이 인터넷을 사용하는 주 대상이다. 하지만 사용자가 인지하지 못하는 사이에 일어난 보안의 허점들은 점차 큰 보안의 허점으로 커지게 되었다

네트워크 접근 제어(NAC)는 이런 보안 문제들을 해결하기 위한 사용자 인증 장치로, 사용자가 갖고 있는 권한 만큼만 접근할 수 있도록 인지하는 장치다. 비정상 활동을 탐지하고, 사용자가 정상적인 활동을 유지했을 때만 네트워크를 유지할 수 있도록 하는 장치로, 이러한 NAC를 통한 네트워크 보안의 필요성은 나날이 커져가고 있다.

                                 

현재 PC사용자들이 가장 불편을 토로하는 사항은 너무 많은 보안솔루션이 존재하여 PC를 한 번 켤 때마다 최소한 서너번 이상의 로깅을 해야지만 업무를 볼 수 있도록 시스템이 오픈된다는 사실이다. 그래서 NAC는 기존 보안제품과의 유기적 연동을 함으로써 각각 보안솔루션들의 좋은 기능을 모듈화 한 보안 체계를 보안 프로세스의 첫 요건으로 두고 있다 

NAC의 내부적 정책 몇 가지를 좀 더 설명하자면 사용자 권한에 대한 권리, 필수 소프트웨어 검증, 임시 사용자 검증, 우회 네트워크 경로 차단, IT 자산 통계가 있다. NAC는 차단 소프트웨어가 설치되어 있거나, 설치되어 있어야할 소프트웨어가 설치되어 있지 않은 경우 무조건 네트워크를 격리하여 설치 페이지나 제어 페이지로 리베이트시켜서, 사용자가 왜 네트워크에 접속하지 못했는가를 알림 창을 통해 확인하게끔 해준다. 또한 임시 사용자가 비정상적인 에이전트를 사용하거나 NAC가 희망하는 소프트웨어를 설치하지 않은 경우, 네트워크를 임시 사용자와 완전히 분리시켜 위험요소를 줄여준다.

한편 최근 사용자들은 스마트폰을 통한 테더링을 하여 회사망을 통하지 않고도 인터넷을 얼마든지 사용하고 있다. 하지만 문제는 보안 솔루션이 대부분 PC를 지원하고 스마트폰에는 정상적으로 지원되지 않아서 회사 내부에만 존재해야 할 중요 파일들이 테더링하는 과정에서 외부로 유출되는 상황이 발생하게 된다. 이러한 우회 네트워크와 같은 경우, 중요 정보 유출 피해가 일어날 수도 있기 때문에 NAC는 자동으로 우회 네트워크를 차단하는 정책을 시행하고 있다.

마지막으로, IT 자산 관리 기능의 경우 NAC는 에이전트를 통해서 확보가 되어있는 하드웨어와 소프트웨어 정보를 통해 회사에서 인가가 된 상태인 PC만 사용자가 생성할 수 있게끔 자산에 대한 관리, 소프트웨어에 대한 관리를 지원한다.

 

 보안 프로세스

마지막으로, 어떻게 보안의 취약점들을 최소화하고 보안의 효과를 극대화할 수 있는지 보안 프로세스 관점에서 보자. PC를 사용하든 노트북을 사용하든 각각의 자산을 사용하기 위한 프로세스는 반드시 필요하다

보안 프로세스는 단말사용자의 규제 준수 여부 등을 고려하여 프로세스 준수 여부를 파악하고 망 내 시스템의 네트워크 접속 정책과 연동하는 시스템이다. 이러한 보안 프로세스는 어떤 제품을 사용하는가의 문제가 아니라 어떤 절차를 시행하는가의 문제로, NAC는 각각의 프로세스를 단일화시킴으로써 프로세스를 통한 보안의 안정성을 높이는 역할을 한다. 

정보보안 시장에서 최근 네트워크접근제어(NAC) 솔루션에 대한 관심이 다시 높아지고 있다. 최근, 스마트폰과 태블릿 PC 등의 스마트 디바이스를 활용한 기업 업무 시스템이나 네트워크 접속이 점점 증가하고 있어, 보안 관리의 중요성도 나날이 커져가고 있다. 이에 따라 사내 보안정책을 준수하지 않는 경우나 네트워크 시스템에 접속하는 모든 단말에 대한 통제 및 관리를 하는 NAC는 필수적인 보안 대책으로서 주목받는 것이다. Ahn 

 


대학생기자 윤덕인/ 경희대 영미어학부

항상 배우는 자세를 잊지 말고 자신을 아낄 것

온몸을 던져 생각하고, 번민하고, 숙고하자

 


댓글을 달아 주세요