오늘 20일, 국내에서 가장 유명한 항공사 중 하나인 아시나아 항공 홈페이지가 핵티비즘으로 추정되는 공격을 받아서 홈페이지가 다운되는 현상이 발생하였습니다. 특정 해킹 단체의 공격으로 발생한 이번 사고는 세르비아와 알바니아 분쟁에 관련된 정치적 이슈를 담은 글로 아시아나 홈페이지 내용을 덮어 씌웠습니다.
이로 인하여 아시아나 홈페이지를 이용하는 고객들이 접속 불가 현상들의 불편을 겪었습니다. 호스팅 업체에선은 4시간이 지난 후 서버를 다운시켰으며 해킹 후 6시간이 지나서 홈페이지가 복구 되었습니다. 이번 공격으로는 아시아나 항공은 개인정보 유출이 없었다고 답변하고 있습니다.
아시아나 홈페이지 변조 공격에 사용된 기법은 ARP 스푸핑 공격 기법으로 알려져 있습니다. 개인정보 유출에 대한 내용은 없었으나 작년에 발생한 개인정보 유출사고로 방송통신위원회로 부터 과징금과 시정명령을 받은 전력이 있습니다.
작년 중순경에 발생한 아시아나 항공 홈페이지 해킹사고는 고객의 개인정보가 4만여건 이상 유출되는 대형사고 였습니다. 특히, 항공사의 경우에는 주민등록증과 여권, 가족관계증명서, 전자항공권 사본 등 개인의 신분을 정확히 특정할 수 있는 중요한 정보가 기록되어 있기에 피해가 컸습니다.
이는, 기존의 정형화된 데이터 뿐만 아니라 각종 신분증과 증명서 스캔본과 같은 비정형데이터에도 개인정보가 많이 기록되어 있기에 해당 데이터에 대한 관리 부실이 일으킨 사고라고 할 수 있습니다.
그 당시의 개인정보 유출사고는 고객센터 FAQ에 등록되어 있으며, 고객 들의 문의시에 업로드하였던 첨부파일 URL이 그대로 노출되면서 발생한 사고로 드러났습니다. 당시, 아시아나 항공측은 아시아나클럽 전체 회원의 정보가 누출된 것은 아니라고 해명하였습니다.
홈페이지의 취약점 노출보다 더 중요한 문제는 해당 중요 개인정보 파일들이 암호화를 거치지 않고 웹상에 첨부파일 형태로 올라가 있었다는 점입니다. 이로써 아시아나 항공은 고객의 중요 개인정보를 스캔한 이미지 정보를 암호화 조치 등을 하지 않은 상태로 웹상에 보관하였다는 비난을 받을 수 밖에 없는 상황이 되었습니다.
위의 사례에서 보듯이, 1차적 보안으로는 해킹 공격이나 개인정보 유출사고에서 자유로울 수 없습니다. 언제나 고객의 정보나 중요 데이터가 해킹 공격으로 탈취 당하였을 때까지 고려한 정보보안 조치가 매우 중요합니다.
결과적으로 가장 안전한 정보보안 방법은 중요 데이터 암호화입니다. 1차적인 보안 조치와 더불어 개인정보 암호화로써 해킹사고로 데이터 유출 이후에도 고객의 데이터를 안전하게 보호할 수 있습니다. 기존의 정형데이터 암호화 뿐만 아니라 이미지, 로그, 동영상, 파일 까지 안전하게 암호화 할 수 있는 암호화 솔루션을 도입하여야 합니다.
개인정보 보호 요구 사항
1. 데이터베이스 암호화 의무화 (정보통신망법, 개인정보보호법)
- 개인정보 보호법 개정안 (2014년 3월 24일 신설된 조항)
- 모든 주민등록번호에 대해서 2016.01.01 부터 암호화 적용
2. 데이터 중심의 보안 체계가 필요
- 중요 정보가 포함된 비정형데이터 암호화
- 로그파일, 이미지파일, 문서파일, 이메일 등 적용
※ 법원은 개인정보 보호를 위한 개인정보처리시스템을 DB서버로만 한정 짓지 않고 중계서버, 어플리케이션 등에서도 기술적인 보호조치를 취할 것을 요구 (KT 보안사고 판례 - 2012가합83365)
Vormetric Transparent Encrpytion은 커널 레벨 파일 단위의 암호화 솔루션으로 Oracle DBMS와 같은 정영데이터는 물론, 이미지, 동영상, PDF 파일 등의 비정형 데이터도 안전하게 암호화 할 수 있습니다.
그 뿐만 아니라, Hadoop과 같은 빅데이터 로그 데이터도 암복호화 적용이 가능하여, 보메트릭 솔루션을 통해 어떠한 형태의 데이터로 안전하게 저장할 수 있는 환경을 구축할 수 있습니다.
초기 마이그레이션 유틸리티 DataXform을 통해서 암호화 영역으로 설정된 디렉터리 및 폴더 내의 파일에 Multi-Thread 방식으로 암호화를 적용할 수 있습니다. 파일 시스템의 평문 데이터 불럭을 메모리에 읽어서 암호화 후 동일 위치에 다시 저장하는 방식으로 구현합니다.
암호화에서 가장 큰 이슈 중에 하나는 바로 암복호화 적용시 걸리는 부하로 인한 서버의 전체적인 성능 저하 문제입니다. 보메트릭 암호화 솔루션은 이를 최소화 하였으며 암호화시에도 70%시에 2%의 오버헤드만이 발생하였으며 100% 적용시에도 오버로드는 고작 4%에 불과하기 때문에 암복호화 도입시에도 성능 저하의 차이는 거의 없습니다.
보메트릭은 국가사이버안전센터 암호모듈 검증필 모듈을 탑재하였으며 3DES, AES 128/256, ARIA 128/256 등의 암호화 알고리즘을 지원합니다.
안전한 암호화 이후에는 복호화 키를 안전하게 관리할 수 있어야 합니다. 아무리 강력한 암호화라도 암호 키가 유출된다면, 데이터를 암호화한 것 행위자체가 무용지물이 될 수 있습니다. 암호 키는 안전하게 관리, 저장할 수 있는 Vormetric Key Management을 통해 안전하게 보호할 수 있습니다.
[보메트릭 솔루션을 통한 비정형데이터 암호화 시스템 구축 사례]
정형 및 비정형데이터 암호화, 암호 키 관련 솔루션에 대해서 더 궁금한 점이 있으시면 아이마켓코리아 담당자에게 연락주시기 바랍니다.
윤 용 비
대리 │ IT 솔루션 영업팀
TEL : 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090
'보메트릭 암호화 솔루션' 카테고리의 다른 글
보메트릭 데이터 시큐리티 솔루션으로 보호할 수 있는 시스템은? (0) | 2017.05.15 |
---|---|
O2O 숙박 어플 '여기어때' 해킹, 개인정보 유출사고 발생 (0) | 2017.04.28 |
[빅데이터 보안 솔루션] 보메트릭 데이터 시큐리티 플랫폼 (0) | 2017.04.14 |
중국 최대 해커조직 홍커연맹(紅客·Red Hacker), 한국 웹사이트 해킹 공격 선포 (0) | 2017.03.24 |
개인정보보호법 준수 가이드라인 (정보통신망법, 신용정보의 이용 및 보호에 관한 법률) (0) | 2017.02.24 |
데이터 침해, 유출 방지 - 보메트릭 데이터 시큐리티 (0) | 2017.02.09 |
보메트릭 데이터 시큐리티 플랫폼이란? (0) | 2017.02.06 |
보메트릭, 데이터 시큐리티 플랫폼 기능 업그레이드 발표 (0) | 2017.02.01 |
비정형데이터 및 애플리케이션 보호 솔루션 보메트릭(Vormetric) (0) | 2017.01.12 |
CCTV 및 동영상 개인영상정보, 비정형데이터 암호화 필수 (0) | 2016.12.30 |