어플리케이션 경유한 개인정보조회 이상징후분석

 

 

2012년 보안사고 중에는 ‘웹어플리케이션을 통해서 개인정보를 한번에 한건씩 지속적으로 조회하여 결국 몇 백만 건을 유출한 사고’가 있었습니다.
 
이는 2012년에 새롭게 등장한 유출시나리오입니다. 이 시나리오에는 두가지 강렬함이 있습니다. 첫째, 정당한 어플리케이션을 위장해서 들어오는 고도로 지능적인 방법을 취했습니다. 업무를 위해서 개인정보를 요청할 권리가 있는 합법적 어플리케이션의 동작을 그대로 모방했기 때문에 전통적인 DB방화벽(DB접근통제)와 DB암호화로 막을 수 없었습니다.
 
비권한자의 접근을 막는 보안, 비권한자가 암호화되지 않은 개인정보를 조회하는 것을 막는 보안, 외부에서 DB서버로 직접 접속하는 것을 차단하는 보안은 이번 유출사고에서는 큰 역할을 수행할 수가 없었습니다.
 
둘째, 개인정보를 1, 2건 단위로 소량씩 가져갔습니다. 수백건, 수천건씩 조회했다면 바로 보안시스템에 걸렸을 텐데 한 두건씩 가져가서, 보안시스템의 예봉을 피한 것입니다. 2008년 이전에는 한번에 개인정보 수십만건을 가져가도 통제가 되지 않았으나, 이후에는 대량의 개인정보를 한꺼번에 조회하면 바로 경보가 울리게 됩니다.
 
한두건씩 조회하면 실시간통제는 불가능하며, 장기간 누적된 개인정보유출패턴을 분석해야만 경보가 가능하게 됩니다. 특히 지점, 대리점 형태로 데이터베이스에 접속할 수 있는 어플리케이션 위치가 분산되어있을 경우에는 어느 곳에서 유출이 발생하고 있는지 식별해내야 합니다.
 
이런 유출시나리오를 막기 위한 새로운 기술적 보호조치가 어플리케이션을 경유한 개인정보조회이상징후분석입니다. 어플리케이션을 경유한 개인정보조회 이상징후분석은 개인정보보호법고시 “개인정보의 안전성 확보조치 기준’ 4조(접근권한의 관리)와 6조(접근통제시스템 설치 및 운영)를 준수하기 위해서도 필요합니다.
 
개인정보처리시스템(데이터베이스)에 접속하는 경로가 내부 PC든, 웹어플리케이션이든 법은 구분하지 않습니다.
 
따라서 어플리케이션을 통한 데이터베이스 접속내역을 모두 기록하고 주기적으로 분석하여 불법적 유출시도를 탐지하는 것은 법적으로도 꼭 필요한 조치라고 할 수 있습니다.
 
이는 악성코드에 감염된 PC에도 적용될 수 있습니다. 2011년에 악성코드에 감염된 PC가 좀비화되어 데이터베이스에 접근하여 개인정보를 유출한 사고가 발생하였습니다.
 
기존 접근통제방법으로는 개인정보접근권한이 있는 사용자의 PC가 좀비화되어 접근하면 구별해낼 수가 없습니다. 권한있는 접근자라 할지라도 접근내역을 장기간 기록하고 주기적으로 분석하여 정상적 패턴에 부합하는지 여부를 확인해야만 악성코드 감염으로 인한 개인정보유출을 식별해낼 수 있습니다.
 
돌이켜보면 2009년, 7.7디도스 공격, 2011년 금융전산망 해킹사태 등 2년마다 대형사고가 터져왔습니다. 2013년에도 새로운 보안사고가 발생할 우려가 있습니다.
 
위협과 보안은 창과 방패의 관계인만큼 새로운 위협에 대응하여 보안수준도 향상되었습니다. 2013년 올해는 새로운 위협에 대처하는 새로운 보안방법으로 만반의 준비를 해야 하겠습니다.
 
[글. 소만사 대표이사 김대환 kdh@somansa.com] 

[저작권자 ⓒ데일리시큐 무단 전재-재배포 금지]

 

출처 : http://dailysecu.com/news_view.php?article_id=3601