카드 3사 유출사고, 대형 포털사이트 유출사고 이후에도 개인정보 유출사고는 계속해서 일어나고 있습니다. 최근에는 국내에서 온라인 커머스 관련 커뮤니티로 가장 큰 규모를 자랑하는 '뽐뿌(http://ppomppu.co.kr)'가 지난달 11일 해킹으로 인해서 많은 회원 정보가 유출되는 사고가 발생하였습니다.
다행히도 뽐뿌는 주민등록번호를 저장하고 있지 않기 때문에 주민등록번호는 유출되지 않았지만, 회원 전원의 ID와 비밀번호, 생년월인, 메일 주소, 접속 포인트 등이 유출되었습니다. 그 숫자는 무려 190만여건에 달하는 피해로 결코 적지 않은 피해규모입니다.
뽐뿌에서 유출된 아이디 비밀번호는 복호화 되었을 시에는 타 사이트에서도 동일한 아이디와 비밀번호를 쓰는 경우가 많이 때문에 연쇄적인 피해가 우려되고 있습니다.
뽐뿌의 회원들의 비밀번호는 암호화 과정을 거쳐서 보관되지만, 해킹 범들이 암호화 알고리즘의 취약점을 이용해서 단순하게 설정된 암호들은 해독해낸 것으로 보고 있습니다. 뽐뿌는 서비스 10년만에 가장 큰 위기를 맞고 있다고 보고 있으며, 일부 유저들은 해킹 사건으로 인한 개인정보 유출은 뽐뿌 측이 회원들의 정보보호에 대한 기술적인 조치와 사후 대책이 부족하다고 비판하며, 집단 소송을 준비 할 것이라고 알려졌습니다.
추가로 개인정보 유출 이후에도 뽐뿌 웹사이트에서는 악성코드까지 유포가 되고, 서버가 다운 되는 등 사이트를 이용하는 유저는 많은 불편을 겪어야 했습니다. 조사는 미래부 공무원 및 민간 전문가로 구성된 민관 합동조사 본부가 진행하였습니다.
이달 중순쯤에 '뽐뿌' 해킹사건 조사를 위한 미래부-방통위 합동조사단의 수사 결과가 발표되며, 현재 마무리 조사단계입니다. 미래부 관계자는 이번 뽐뿌 해킹과정에서 이용된 해킹 기법과 과정에 대한 조사를 거의 다 끝냈으며, 조사결과를 곧 발표하겠다고 하였습니다.
뽐뿌는 현재까지 조사결과로 기본적으로 암호화 등의 방식으로 조치를 취해야 하는 개인정보 보호 시스템이 미비했하여 정보통신망법상 의무를 지키지 않았다고 설명했습니다. 법상으로 개인정보보호 조치에 미흡했다면 1,000만원 내외의 과태료가 부과될 가능성이 크며, 이전에 뽐뿌와 유사한 개인정보 유출사고로 CJ 헬로비전 개인정보 유출사고(약 23만건) 의 경우에도 1,000만원 내외의 과태료가 부과되었습니다.
이 처럼 개인정보 유출사고시 핵심은 바로 개인정보 보호조치에 있습니다. 특히 개인정보 보호조치에서 가장 중요한 것은 바로 개인정보 암호화 같은 기술적인 조치입니다. 고객의 데이터베이스는 안전한 암호화 알고리즘으로 암호화되어야 하며, 암호화 키는 물리적으로 안전한 장소에 보관되어야 합니다.
데이터베이스를 암호화하는 가장 안전한 방법으로 HSM 장비를 도입하는 방법이 있습니다. HSM은 Hardware Security Module의 약자로 하드웨어 암호화 모듈장비입니다.
HSM은 안전하게 고객의 정보를 암호화할 뿐만 아니라 암호화로 인한 자원을 HSM이 직접 처리함으로써 서버의 리소스 부담을 경감시키고, 물리적으로 같은 장소에 저장되어 해킹시에 암호화키 탈취로 인한 위험성을 방지할 수 있습니다. 이는 물리적으로 분리된 HSM 장비 내에 암호화 키를 보관함으로써 보안의 이점을 가져갈 수 있습니다. 또한, 관리자별 권한 분리를 함으로써 체계적으로 암/복호화에 대한 권한을 관리할 수 있습니다.
아이마켓코리아에서는 전세계 HSM 점유율 1위를 자랑하는 Thales와 제휴하여 Thales e-security의 우수한 HSM장비를 공급하고 있습니다. 기업 서버용 DB 암호화를 위한 내장형, 접속형 HSM 부터, 온라인 신용카드 결제시 암호화할 수 있는 HSM, 물리적인 네트워크 단의 암호화를 할 수 있는 HSM 까지 다양하게 구비하고 있습니다. 아래에 링크에서 제품에 대한 자세한 정보를 알 수 있습니다.
http://it.imarketkorea.com/hsm.php
Thales HSM은 FIPS 140-2 인증을 받은 제품으로 안전성을 입증 받았으며 PCI DSS 규격을 준수합니다. 또한 Thales HSM은 Oracle, MS Server 공식 파트너로써 호환성도 뛰어난 제품입니다.
Thales HSM 제품 문의는 하단의 아이마켓코리아 보안 담당자에게 연락주시기 바랍니다.
김 경 일
대리 │ IT 솔루션 영업팀
TEL : +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
DB암호화의 핵심은 암호 키 관리, HSM으로 해결! (0) | 2015.12.11 |
---|---|
개인정보유출사고 과징금, 최대 수천억원까지 나온다. (0) | 2015.12.10 |
[특가 프로모션] DB 암호화 키 관리용 Thales HSM (0) | 2015.11.27 |
1금융권(은행권), DB암호화 사업 열풍 (0) | 2015.11.03 |
뽐뿌, 196만명 개인정보유출 해킹 사고로 과징금 (0) | 2015.10.20 |
암호화 보다 더 중요한 암호키 관리 (0) | 2015.09.21 |
개인정보보호법 시행령 일부개정령 입법예고, DB암호화 필수 (0) | 2015.07.31 |
보안법률 속 DB암호화 관련 법안 (개인정보보호법, 정보통신망법) (0) | 2015.07.03 |
지불결제보안표준 PCI DSS v3.0을 준수하는 방법, 탈레스 HSM (0) | 2015.07.02 |
개인정보보호, DB암호화 솔루션 - Thales HSM (0) | 2015.06.25 |