-
KT의 고객정보 유출 사태를 보면서.. 과연 보안의 어떤 부분에 헛점이 생겼던 것일까?Security 2012. 7. 30. 15:00반응형
이번에 KT의 개인정보 유출 사건으로 인해 아주 떠들썩하다. 개인정보 유출의 내용 자체도 문제지만 KT의 대응방식도 문제가 되고 있다. 말장난같은 문구로 인해서 더욱 황당하다는 얘기다. 최근 4~5년간 유출된 개인정보로만 따진다면 대한민국 국민의 80% 이상의 개인정보가 유출되어 돌아다니고 있지 않을까 하는 생각이 든다. 누구 얘기로 이제 대한민국 국민의 주민등록번호는 공공재냐라는 말이 나와도 할 말이 없을 정도니 말이다.
이번에 KT에서 유출된 850여만건의 개인정보 유출은 5개월동안 조금씩 이뤄졌다고 한다. 마치 협력업체에서 가입자 정보를 조회하는 것처럼 내용을 가져갔다는 얘기다. KT측의 변명은 대량의 트래픽이 일어난 것이 아닌 소량의 트래픽의 이동으로 인한 상황이었기 때문에 감지가 어려웠다고 하는 것이다. 현재 네트워크 보안이나 컨텐츠 보안, 시스템 보안 등 이른바 보안이라는 것이 대용량 트래픽 유발로 인한 시스템 다운이나 관리자 권한 획득에 대부분 맞춰져있기 때문에 이런 보안에는 취약하다고 오해할 수 있을만한 상황이다(하지만 보안이라는 분야가, 그것도 특히 대한민국의 보안 분야가 그렇게 편협하고 취약할까?). 하기사 시스템만으로의 보안으로는 어려우니 보안 관계자가 주기적으로 체크를 해야 하는데(그래서 보안 관제라는 것이 필요한 것이고) 그 부분이 취약해서 그럴 수는 있지 않을까 싶다.
뭐 아래의 내용은 내 개인적인 생각일 뿐이니 참고하길 바라고..
개인정보, 특히 기업의 자산인 고객정보에 접근하는 것은 확실한 신분을 지닌 몇몇 인물에 의해서만 가능해야 하는 것이 원칙이 아닐까 싶다. 물론 고객에 대응해야 하는 고객지원센터의 직원들은 ARS 응대나 직접 방문했을 경우의 응대를 위해, 신원 확인을 위해 고객정보에 접근할 수 있지만 그 접근 방법도 많은 검증이 필요하다는 것이 보안업계에 몸담고 있는 학주니라는 사람이 바라보는 입장이다.
올해말까지 개인정보보호에 관련된 법률로 인해 개인정보가 담겨져 있는 데이터베이스에는 모두 데이터베이스 암호화(이하 DB 암호화)를 진행해야 한다. 물론 외부 장소나 기관에 노출되어야 하는 경우에는 필수고 내부에서만 활용하는 경우에는 권고사항이기는 하다. 하지만 내외부 가릴꺼 없이 DB 암호화는 거의 필수적으로 도입해야 하는 것이 맞을 듯 싶다. 물론 가장 확실한 방법은 문제가 되는 개인정보를 수집하지 않는 것이다. 앞으로는 그렇게 되어야 할 것이다. 하지만 이미 수집되어 개인을 식별하는 체계로 사용하고 있는 경우에는 그 시스템을 완전히 바꾸기까지는 적어도 변경기간동안에는 기존 시스템을 유지해야 하니 수집, 저장되어있는 개인정보에 대한 보안은 필수라고 할 수 있을 것이다.
DB 암호화가 진행되면 암호화된 데이터가 DB에 저장되게 되며 직접 DB에 접근해서는 해당 내용을 볼 수 없다. 암호화가 되어서 저장이 되니까 말이다. 즉, DB암호화가 진행되면 고객DB에 직접 접근해서 데이터를 뽑아오는 방법으로는 개인정보 유출이 일어나지는 않을 듯 싶다(물론 DB암호화 방식에 따라서 DB 내부의 API를 이용해서 복호화해서 꺼내오는 방법이 있기는 하지만서도). DB암호화가 진행되면 DB암호화에 대한 복호화 API를 사용한 어플리케이션에서는 해당 정보를 제대로 볼 수 있다. 그렇게 되면 해당 어플리케이션의 사용에 대한 보안을 확실하게 하면 개인정보 유출을 상당부분 방지할 수 있다는 얘기다.
고객정보와 같은 회사의 자산을 검색하는 어플리케이션은 위에서 얘기했던대로 신원이 확실한, 책임이 분명한 사람들에게만 오픈시켜야 한다. 하지만 국내의 경우 고객센터에서는 고객의 신원확인을 위해 얼마든지 고객센터 직원은 고객의 개인정보을 검색해서 확인할 수 있다. 물론 신원을 확인해야 하는 업무 절차 때문에 당연히 해야 하는 일이기는 하지만 많은 고객정보 검색 어플리케이션들이 검색을 하면 해당 고객의 기본 내용들이 모두 한번에 노출되는 형식으로 되어있기 때문에(편의성때문에 그렇다) 고객센터 직원 PC의 화면은 순싯간에 개인정보 노출이 한꺼번에 이뤄지고 있다고 보면 된다. 해당 고객의 신원확인의 가부만 보여주는 방식을 하게 되면 다른 정보를 입력하기 위해서는 계속 확인절차를 거쳐야 하기 때문에 시간적으로, 또 불편한 부분이 많아서 업무 효율성이 떨어지는 것이 문제가 될 듯 싶다. 늘 얘기하지만 이런저런 얘기를 하다보면 업무 효율성과 보안의 강도는 늘 반비례한다는 생각이 든다.
뭐 이번 KT의 사태를 보면 마치 영업대리점이 고객정보를 조회하는 것처럼 소량으로 5개월간 850만건의 개인정보를 빼내서 유출한 것으로 보이는데 고객정보를 조회하는 것처럼 보였다는 것은 어찌되었던 고객정보를 검색하는 어플리케이션을 이용했다는 것이며 그 부분에 대한 보안이 제대로 이뤄지지 않았다는 것이다. 시스템적으로나, 혹은 그 시스템을 사용하는 사람이 내부 동조자이거나 말이다. 각 이통사의 대리점이 고객정보를 조회하는 방식이 어떤지는 잘 모른다. 하지만 KT든 SKT든 LG U+든 직접 핸들링하는 지점의 직원이나 본사 직원이 아니고 대리점의 직원인 경우에는 직접적으로 고객정보 조회가 어려운 것으로 알고 있다. 직접 조회가 안된다던지(그래서 지점을 통해서만 조회를 하거나 대리점의 경우 해당 대리점의 본사에서만 조회가 가능하던가 하는) 조회가 가능하다고 하더라도 횟수의 제한이나 조회할 수 있는 데이터의 범위가 제한되어 있다던지 하는 경우일 것이다. 즉, 시스템적으로는 어떻게든 나름 잘 보안을 해둔 것이 아닐까 하는 생각은 든다. 그렇다면 내부 동조자가 있어서 해당 해킹 어플리케이션을 내부에 설치해서 조금씩 빼내는 방식을 사용한 것이 아닐까 싶다. 마치 드라마 '유령'에서 내부에 해킹 어플을 심어두고 정보를 빼내오듯 말이다. 물론 드라마와 같은 그런 방식은 어림도 없는 얘기지만 말이다.
아니면 정말로 KT의 개인정보 보안 상태가 개판오분전이라 내부 DB도 다 Plain Text(평문)으로 되어 있어서 DB에만 접근하면 다 뺴올 수 있는 그런 상황이라면 정말로 사태는 심각할 것으로 보인다. 하지만 그래도 KT인데 그정도까지는 아니겠지 하는 생각이 든다. 개인적인 판단은 고객정보에 접근할 수 있는 어플리케이션에 어떤 불법적인 수단으로 접근해서 원격에서 빼오는 방식을 사용하지 않았을까 싶다.
다만 생각해봐야 할 것은 고객정보에 접근하는 어플리케이션은 보안상 다 관리가 되어야 한다. 그리고 관리가 된다. 보통 허용하는 IP와 포트를 설정해서 해당 IP와 포트 사용자만이 고객정보 접근 어플리케이션을 사용하도록 하는 것이 일반적이다. 또한 그런 기밀정보를 다루는 어플리케이션은 해킹의 위협에 늘 노출되어있기 때문에 어플리케이션 자체 검증 시스템도 같이 도입되기 마련이다(고전적인 방식이지만 매번 어플리케이션 실행 전에 어플리케이션의 Hash를 비교하는 방식으로 해당 어플의 해킹 여부를 확인한다던지 하는). 아무래도 이런 작업이 덜되어있지 않겠는가 싶다. KT와 같은 그래도 거대조직이고 수많은 개인정보를 다루는 기업에서 개인정보가 담겨져있는 데이터베이스를 그렇게 허술하게 다룰리는 없을테고 그렇다면 데이터베이스를 사용하는 어플리케이션에 대한 보안이 취약하다는 것밖에 생각할 수 없기 때문에 말이다.
앞서 얘기했다시피 보안의 강도와 업무의 능률은 늘 반비례의 관계를 가져가는 듯 싶다. 보안이 강화될 수록 이런저런 체크가 많이 들어가기 때문에 업무의 효율성은 떨어질 수 밖에 없다. 다루는 사람의 기본적인 마인드가 보안에 잘 맞춰져 있다면 모르겠지만 기본적으로 보안은 모든 사람을 믿을 수 없다라는 것을 전제로 시작하기 때문에 말이다. 보안을 강화하면서 업무 효율성을 극대화 시킨다는 것은 어떻게 보면 꿈같은 일이라고 할 수도 있을 것이다. 다만 최근의 시스템적으로의 보안이 그나마 많이 강화되고 사용자들의 불편한 점을 시스템적으로 많이 보완하고 있는 추세인지라 과거에 비해서 보안의 강도에 대한 업무 효율성이 많이 떨어지고 있지는 않는 듯 싶다. 어찌되었던 기본적으로 이런 보안이 중요한 데이터를 다루는 사람들의 기본 마인드가 보안성적인 부분에서 확실해야 한다는 것은 분명하다(이 부분에 대해서는 나중에 다른 포스트로 얘기를 나눌까 한다). 즉, 업무 효율성이나 이미 다 오픈되어있는데 보안이 무슨 소용이냐라고 말하는 사람들은 기업에서의 입장이 아닌 개인적인 입장을 말하는 것 뿐이라는 생각을 해본다.
어찌되었던 이번 KT의 사태는 어플리케이션의 보안이든 사람에 대한 보안이든 어느 한쪽이, 아니면 양쪽이 모두 문제가 되는 상황이라고 보여진다. 이 사태 때문에라도 개인정보보호에 대한 보안이 많이 강화될 것으로 보이며 보안업계, 특히 개인정보에 대한 보안을 많이 다루는 업체들은 기회다 싶어서 열심히 이쪽에 대한 홍보를 많이 할 것으로 보인다. 정부 역시 계속 문제시 되고 있는 개인정보 유출에 대한 심각성때문에 관련 법규나 법률을 손보지 않을까 싶다. 보안을 다루는 내 입장에서는 할 일은 많아질 듯 싶기도 하고 말이다(그렇지 않아도 일이 많은데 말이지. 회사 입장에서는 더 좋아라 하겠지만서도).
그래도 늘 하는 얘기는 보안은 기업 입장에서, 또 개인 입장에서도 무척이나 중요한 부분이라는 것이다. 어떤 방식으로든 자기가 스스로 노출하지 않는 이상 개인정보는 보호받아야 할 대상임은 분명하다. 이런 것들을 소홀히 다루는 기업들은 그에 합당한 책임을 물어야 하는 것이 맞지 않을까 싶다.
ps. 암만 생각해봐도 5개월동안 850만건의 개인정보가 빠져나갔는데 그것을 눈치채지 못했다는 KT의 변명은 좀 아니다라는 생각이 든다. DDoS 공격이나 루트킷 공격, APT 공격에만 보안관제를 집중했다는 얘기밖에 안된다는 것이다. 물론 소량의 트래픽이며 어플리케이션 해킹으로 인한 부분이라면 감지하기가 어려울 수도 있겠지만 주기적으로 체크를 했더라면 5달이라는 기간은 안걸렸을 듯 싶다.
ps2. KT가 개인정보 유출 관련 확인 페이지에서 나오는 내용 중에 '경찰에 의해 전량회수'되었다는 내용이 나오는데 이에 대해서는 조만간 언급할 일이 있겠지만 디자털 데이터의 전량회수라는 것이 가능할까 하는 부분에 있어서는 말도 안되는 말장난일 뿐이라는 생각밖에 안든다. 파일로 존재할텐데 그 파일이 어떻게 복사되어 나갔을 줄 알고 전량회수가 되었다고 말하는 것일까?
반응형댓글