중국 최대 해커조직인 홍커연맹이 고고도미사일방어체계(사드, THAAD) 구축을 위한 롯데의 부지 제공문제로 인해서 롯데관련 웹사이트와 한국 기관 및 기업사이트를 대상으로 무차별적인 해킹 공격을 3월 28일 부터 시작할 것으로 알려져 개인정보 유출 사고 등의 보안 사고가 우려되고 있습니다.
[고고도미사일방어체계(사드, THAAD)]
중국의 해커조직인 홍커연맹은 온라인을 통해서 한국 웹사이트를 공격하기 위한 해커들을 모집하는 글을 올렸습니다. 중국 최대 포털사이트인 바이두에 공격 툴을 업로드하고 총 공격 준비를 하고 있는 것으로 나타났습니다. 공격 기간은 28일부터 31일까지로 예상되고 있으며, 대상은 정부부처, 공공기관, 일부 한국 기업 들이 표적이 될 것으로 예상하고 있습니다.
[홍커연맹]
올해 3월 초에 발생한 방법과 같이 웹사이트의 취약점을 공격하여 화면 변조 및 디도스 공격을 통한 웹사이트 접속 마비, 개인정보 유출 및 탈취 등의 공격이 주를 이룰 것으로 예상됩니다.
SQL 인젝션 공격 등을 통해 개인정보를 유출하여 블랙마켓에서 몰래 거래를 할 가능성도 높은 것으로 나타나 기업 및 기관의 보안담당자, 책임자는 반드시 이에 대한 대비를 하여야 합니다.
이에 대비하기 위해서는 SQL 인젝션 공격을 막기 위한 보안 코딩 등이 잘 이루어 졌는지 확인이 필요하고 보안가이드를 준수하였는지 점검해야 합니다. 또한, 한국인터넷진흥원(KISA)에서는 웹취약점을 점검하는 서비스도 신청 받고 있기 때문에 관련하여 컨설팅을 받아 안전한 보안환경을 구축할 수 있습니다.
이러한 1차적인 방어 뿐만 아니라 해커들이 서버에 침투하였을 때를 대비해야 합니다. 이번 해킹은 정치적인 보복 목적이 강하지만, 이를 틈타 데이터베이스 서버에서 개인정보를 탈취하려는 상업적인 해킹도 반드시 있기 마련입니다.
결론적으로 이러한 해킹에 완벽하게 100% 대응하기는 어렵습니다. 현 시점에서 가장 좋은 보안은 이러한 해커들의 먹잇감을 무용지물로 만드는 수 밖에 없습니다. 해커들에게서 개인정보를 안전하게 보호하기 위해서는 반드시 암호화 처리하여 보관하고 복호화를 할 수 있는 암호키는 DB 서버와는 별도의 안전한 공간에서 관리되어야 합니다.
[암호 키 보관/관리가 가능한 전용장비 HSM]
개인정보유출사고는 지속적인 개정으로 보호 요건이 강화되고 범위가 확대되고 있습니다. 또한, 처벌의 강도도 더욱 높아짐에 따라서 DB암호화는 필수 불가결한 요소가 되고 있습니다.
암호화 적용 대상: 데이터베이스 뿐만 아니라 저장되는 모든 개인정보암호화 필요
- 제21조의 2(주민등록번호 암호화 적용 대상 등)
① 개인정보처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는
법 제24조의2제2항에 따라 암호화 조치를 하여야 한다.
* 즉, DBMS 뿐만 아니라 로그, 이미지, 녹취 등 비정형으로 저장되는 주민등록번호도 암호화 필수
암호화 적용 시기: 보유 주민등록번호 수에 따라 적용 시기 적용
- ② 법 제24조의2제2항 후단에 따른 암호화 적용시기는 다음 각 호와 같다.
1. 100만명 미만의 주민등록번호 보관 : 2017년 1월 1일
2. 100만명 이상의 주민등록번호 보관 : 2018년 1월 1일
추가로 금융권 기업의 경우에는 아래의 내용도 추가로 준수하여야 합니다.
2. 개인정보보호법 제24조의2 제2항 및 동법 시행령 제21조의2(’16.1.1. 시행)에 따라 금융회사 등은 전자적인 방법으로 보관하는 주민등록번호에 대해 암호화 조치를 하여야 합니다.
* 주민등록번호 보유량에 따라 100만명 미만은 ’16.12.31, 100만명 이상은 ’17.12.31까지 조치 필요
3. 이와 관련하여 각 권역 별 금융회사를 선정하여 주민등록번호 암호화 진행 상황 등을 조사한 결과, 일부 금융회사에서 다음과 같이 주민등록번호 암호화에 대해 오인하는 사례가 있었습니다.
가. 로그관리 솔루션에서 제공하는 접근제어 방식을 암호화 조치로 오인
나. 별도 개발한 뷰어로만 볼 수 있는 이미지, 녹취 및 영상 등에 암호화 조치된 것으로 오인
4. 위 사항을 유의하시어 개인정보보호법에서 정하고 있는 기간 내에 주민등록번호 암호화를 안정적으로 완료할 수 있도록 하여 주시기 바랍니다.
주민번호가 포함된 로그, 이미지, 녹취, 동영상 등 비정형 데이터까지 암호화 작업 필수
아이마켓코리아에서는 정형적인 DB정보와 최근 많아지고 있는 비정형데이터를 암호화 할 수 있으며, 암호 키까지 안전하게 관리할 수 있는 DB보안 솔루션을 공급하고 있습니다. 글로벌 기업의 솔루션으로 국내 개인정보보호법을 준수하면서 FIPS-140-2 의 보안 요건을 만족하고 있습니다.
DB암호화 솔루션으로는 보메트릭 트랜스페어런트 인크립션 제품이 있습니다. 안전행정부의 개인정보암호화 조치 안내서에 기술되어 있는 커널 레벨의 파일 단위 암호화 방식을 지원하며, 대용량의 암호화 처리에도 성능저하가 거의 없는 최적화 암호화 성능을 보여주고 있습니다.
암호화 키 관리로는 방위산업 기업으로 유명한 Thales e-security의 내장형 하드웨어암호화 모듈(HSM)인 nShield Solo 제품이 있습니다. HSM을 통해서 암호화 키를 DB서버와는 물리적으로 분리된 별도의 저장장소에 저장하고 관리함으로써 복호화 키가 해커에게 탈취 당해서 암호화데이터가 복호화 되는 일을 막아줍니다.
아이마켓코리아에서는 개인정보유출사고를 대비하기 위한 DB암호화 보안 솔루션으로 2가지 솔루션을 제안합니다.
|
|
보메트릭 트랜스페어런트 인크립션 (VTE) |
탈레스 nShield HSM Solo |
- 커널 레벨의 파일 단위 암호화 솔루션 - 비정형데이터 암호화 (이미지, 동영상, 음성, 로그 등) - 관리자 권한 관리 및 분리 - FIPS 140-2 인증 - CC 인증 - 성능 저하 없는 안전한 암호화 처리 (7% 이하) |
- 서버 PCIe 슬롯에 장착되는 내장형 암호화 모듈 - HSM 장비 내에서 암호화 처리 가능 - 물리적으로 별도 공간에서 암호 키 생성/관리 가능 - 관리자 권한 관리 및 분리 가능 - FIPS 140-2 인증 - CC 인증 - 마이크로소프트 및 오라클에 대한 높은 호환성 |
완벽한 DB 암호화 환경을 구축하여 데이터유출시에도 고객의 정보를 안전하게 보호하고 국내 개인정보보호법을 준수하여 과징금과 처벌을 방지하시기 바랍니다.
김 경 일
과장 │ IT 솔루션 영업팀
TEL : 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090
'보메트릭 암호화 솔루션' 카테고리의 다른 글
| 보메트릭 시큐리티 인텔리전스 및 라이브 데이터 트랜스 포메이션 소개 (0) | 2017.06.23 |
|---|---|
| 보메트릭(Vormetric) 솔루션을 통해 적합한 기업 암호화 방식 적용 (0) | 2017.06.22 |
| 보메트릭 데이터 시큐리티 솔루션으로 보호할 수 있는 시스템은? (0) | 2017.05.15 |
| O2O 숙박 어플 '여기어때' 해킹, 개인정보 유출사고 발생 (0) | 2017.04.28 |
| [빅데이터 보안 솔루션] 보메트릭 데이터 시큐리티 플랫폼 (0) | 2017.04.14 |
| 개인정보보호법 준수 가이드라인 (정보통신망법, 신용정보의 이용 및 보호에 관한 법률) (0) | 2017.02.24 |
| 아시아나 항공, 홈페이지 해킹사고 발생 (0) | 2017.02.20 |
| 데이터 침해, 유출 방지 - 보메트릭 데이터 시큐리티 (0) | 2017.02.09 |
| 보메트릭 데이터 시큐리티 플랫폼이란? (0) | 2017.02.06 |
| 보메트릭, 데이터 시큐리티 플랫폼 기능 업그레이드 발표 (0) | 2017.02.01 |
