지난달 190만건의 회원정보가 유출된 국내 최대 커머스 관련 커뮤니티인 뽐뿌에 정부가 과징금을 물게할 전망입니다. 정부는 저번달부터 시작된 민관합동조사단의 조사결과를 오늘 20일 발표하였습니다.
뽐뿌는 9월 11일 오전 1시에 해킹 공격을 받아서 총 196만명의 개인정보가 유출되었습니다. 회원 ID, 암호화된 비밀번호, 닉네임, 생년월일, 암호화된 장터의 비밀번호 등의 정보가 유출되었습니다.
<뽐뿌 공격방식 설명>
출처 : 미래창조과학부 홈페이지
SQL인젝션 공격으로 해킹을 한 것으로 알려져 있으며, SQL인젝션 공격은 데이터베이스에 대한 질의를 조작해서 정상적인 자료의외에 결과값을 탈취하는 방법입니다.
결론적으로 이에 대한 대비책이 부족해서 생긴 결과로 해킹 공격을 당한 것으로 밝혀졌으며, 이제 중요한 부분은 DB접근제어에 대한 통제대책이 확실하게 되었는지 개인정보 유출의 범위와 피해 규모 등을 집중적으로 조사할 예정입니다. 이에 따라서 뽐뿌 운영진에게 개인정보 보호조치 위반 사항에 따라 과징금과 행정처분, 과태료 등이 부과가 됩니다.
이에 대한 처벌 결과는 올해 말 결론지어질 예정으로 처벌과 과징금이 어느정도 부과될지에 대해서 관심이 쏠리고 있습니다. 그 밖에, 뽐뿌 운영진은 해당 결과에 대해서 인정하고 있으며 정부 및 민관합동조사 본부의 조사에 성실하게 임하겠다고 밝혔습니다.
이토록 웹페이지 같은 경우는 SQL인젝션, 파일 업로드 공격 등의 해커 공격에 무방비로 노출되어 있습니다. 홈페이지 취약점 보다 가장 중요한 것은 위에서도 보았 듯이 바로 DB에 대한 보호조치 입니다. 어느정도의 유출규모인지, 암호화는 잘되어 있는지, 접근제어는 잘 통제가 되어있느지 등을 보게 됩니다.
웹사이트 보안은 안전하지 않습니다. 최고의 보안은 바로 DB보안입니다. DB에 대한 데이터 접근제어와 DB 암호화 및 복호화 성능, 그리고 이에 따른 서버 리소스 유지, 암호화 키 관리 등 DB보안에 있어서 고려해야할 요소는 많습니다.
DB보안에 있어서 가장 안전한 방법은 바로 HSM(하드웨어 암호화 모듈)을 통해서 고객의 DB를 안전하게 암호화하고 서버와 물리적으로 독립적인 장소에 암호화 키를 안전하게 보관하여 고객의 데이터를 복호화할 수 있는 암호화 키를 권한분리를 확실하게 하는 방법입니다.
상용화된 강력한 알고리즘인 AES-256으로 암호화가 정상적으로 되었다면, 이를 복호화 하는 암호화 키만 탈취 당하지 않는다면, 데이터는 안전한 상태가 됩니다. HSM는 물리적으로 암호화 키가 별도의 장소에 보관되기 때문에 서버에 해킹 공격이 들어와도 암호화 키를 안전하게 지킬 수 있습니다. 또한 서버에 있는 데이터는 강력한 암호화가 되어 있기 때문에 복호화 할 수 없습니다.
Thales e-security는 세계 HSM 점유율 1위를 자랑하는 글로벌 정보보안 업체로써 아이마켓코리아는 Thales e-security와 제휴를 맺고 최고성능 HSM을 국내에 유통하고 있습니다.
Thales의 HSM인 nCipher (nShield)는 최상의 보안 표준인 FIPS-140 인증을 받은 제품으로 CC EAL4+인증을 진행 중인 제품입니다. 위에 인증이 입증 하듯 어렵고 까다로운 보안 환경에서도 중요한 데이터를 안전하게 보호할 수 있습니다.
1. 고도의 보안 환경에서 입증 - 공공분야 및 보안에 민감한 조직에 적합한 제품
2. 전문가의 검증 - 법규 및 규제를 준수해야 하는 조직에 적합
Thales HSM의 주요 기능으로 접근제어가 있습니다. Thales nCipher HSM은 보안 운영자의 관리자의 역할을 구분할 수 있고 이에 따라 정책을 다르게 지정할 수 있습니다. Oracle 서버의 데이터베이스 보호를 위해서 아래의 기능들을 지원합니다.
1. 하드웨어 키 보호 - TDE의 마스터 키의 복제 방지를 위하여 변경이 불가능한 환경에서 안전하게 저장
2. 철저한 키 관리 - 스마트 카드 인증으로 키의 접근을 철저하게 통제
3. 안전한 관리 - 다양한 위협에 취약한 서버 관리자들에 대한 의존성을 제거
Thales HSM은 Microsoft의 Windows, Oracle, Sun Solaris, HP-UX, IBM AIX, Linux로 운영되는 서버의 암호화 서비스를 제공합니다.
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
헌법재판소, 2018년부터 주민등록번호 변경 허용 (0) | 2015.12.24 |
---|---|
DB암호화의 핵심은 암호 키 관리, HSM으로 해결! (0) | 2015.12.11 |
개인정보유출사고 과징금, 최대 수천억원까지 나온다. (0) | 2015.12.10 |
[특가 프로모션] DB 암호화 키 관리용 Thales HSM (0) | 2015.11.27 |
1금융권(은행권), DB암호화 사업 열풍 (0) | 2015.11.03 |
국내 대형 커뮤니티 뽐뿌, 해킹으로 개인정보 유출사고 발생 (0) | 2015.10.08 |
암호화 보다 더 중요한 암호키 관리 (0) | 2015.09.21 |
개인정보보호법 시행령 일부개정령 입법예고, DB암호화 필수 (0) | 2015.07.31 |
보안법률 속 DB암호화 관련 법안 (개인정보보호법, 정보통신망법) (0) | 2015.07.03 |
지불결제보안표준 PCI DSS v3.0을 준수하는 방법, 탈레스 HSM (0) | 2015.07.02 |