2011년 보안 사고의 특징들(Security Trends)과 대응 방안 2, SMB 중심

 

지난 번 이야기 "2012/02/13 - [IT/Social 이야기] - 2011년 보안 사고의 특징들(Security Trends)과 대응 방안 1"에 이은 두 번째 이야기 입니다.

지난 번 이야기에서는 아래의 5 가지가 그 주된 내용이었습니다.

1. 해커들의 주된 공격 목표는 고객 정보(Customer Record, Personal Identifiable Information) 이다.
2. 음식과 식/음료 산업(Food and Beverage Industry)의 침해 사고가 꾸준히 증가하고 있다.
    이유는 개인 정보의 집합체이기 때문이다.
3. 도입된 제3자 소프트웨어(3rd Party SW)의 보안 결함(Security Deficiencies)로 발생한 침해 사고 또한 꾸준히 중
   가하고 있다.
4. 통신 구간에서 불법으로 정보를 빼 내는 경우(Data harvesting in Data in-transit)가 많았다.
5. 여전히 "password1" 등 연상이 쉽고 도용이 용이한 패스워드를 사용하는 경우가 있는 데 이 자체를 보안 시스템에
   서 강제하지 못하는 경우가 있다.


이번에는 위에서 정보 침해의 사례가 증가하고 있는 것으로 보고되었고, 상대적으로 소규모이면서 보안 시스템에 대한 투자에 제한을 둘 수 밖에 없는 음식과 식/음료 산업 과 같은 SMBs(Small to Midsize Businesses)들은 위한 보안 시스템의 적용(Deploying The Security System(DAM) For Small to Midsize Businesses)에 대하여 말씀을 드리도록 하겠습니다.

먼저 외국의 보안 침해 사례 몇 가지를 소개 하겠습니다.

1. 오스트리아 국영 TV 시청료 징수 기관 'AustrAnon'이라는 해커 그룹에게 서버를 해킹으로 96,000 건의 은행계좌 정보 등의 민감정보(Sensitive Data)가 포함된 214,000 개의 파일을 도난 당함 [기사보기]

2. Virus에 감염된 레스토랑의 POS System으로부터 고객의 카드(Debit, Credit) 정보가 유출 됨 [기사보기]

3. 신용카드 단말기의 해킹(통신 구간 해킹)으로 지역 레스토랑을 이용한 고객의 신용 정보가 유출 됨 [기사보기]

4. Lady Gaga의 웹사이트가 해킹당해 펜들의 개인정보가 유출 됨 [기사보기]

위의 4가지의 사례를 보면 개인 정보를 수집(Data Harvesting; Hacking)은 On/Off 라인의 구별없이 정보가 존재하는 곳에는 어디서나 이루어진다는 것을 알 수 있습니다.

그럼 어떤 대책을 세워야 미래에 발생할 수 있는 정보의 침해사고를 막을 수 있을까요. 우리나라의 개인정보보호법을 기준으로 설명을 드리도록 하겠습니다.

1. 보호해야 할 정보의 대상인 개인 정보(Personal Identifiable Information)에 대해서 알아야 합니다.

 

2. 개인정보 보호란 무엇인지 알아야 합니다.

 

* 개인정보 자기결정권
   - 정보주체(고객, 이용자)가 자신의 개인정보가 언제, 어디서, 어떻게, 어느 범위까지 수집, 이용, 제공되는지에 대해 스스로 판단, 결정할 수 있는 권리를 말한다. 개인정보 자기결정권은 헌법재판소에서 국민의 기본권으로 인정하고 있으며, 정보통신망법 등 관련 법률에 구체적으로 반영되어 있다.


3. 정보보호의 구체적 내용을 알아야 합니다.

 

4. 관련 법(개인정보보보호법, Compliance)에서 제안하는 기술적 조치사항에 대한 이해가 있어야 합니다.

 

 

 

 

5. 관리 체계 구성, 즉 보안을 위한 프로세스와 정책의 정리 및 시스템의 도입이 있어야 합니다.

아래 NHN의 사례와 같이 "정보보호의 방향성"과 "개인정보의 생명주기"에 맞게 이루어져야 하는 것이 모범답안 입니다.

- 정보보호의 방향성

 

[출처 : 발표자료 : "개인정보의 기술적, 관리적 보호조치 구현 사례" p7 이미지 캡춰]

위와같이 서비스 또는 시스템 이용자의 관점에서 보안의 방향성을 잡아야 보호 대상 데이터를 중심으로 하는 서비스 또는 시스템 이용자의 모든 행위를 점검, 감시, 제어 할 수 있게 됩니다.

결국은 보호 대상 데이터의 무결성을 확보함과 동시에 사용에 대한 모든 데이터를 확보할 수 있게 되는 것이지요.

또한 정보보호의 방향의 중간에 정보보호를 위한 실질적인 보안 시스템이 위치하게 되는데요. 위 그림의 표현과 같이 "서비스 가용성", "데이터 기밀성"을 확보, 유지할 수 있는 시스템의 도입이 필요 합니다.


[다음 3편으로 계속]