Monthly Archives: February 2013

You are browsing the site archives by month.

MS Office 문서파일(워드, 엑셀 등) 분석을 통한 부정행위 찾기

우리가 자주 사용하는 MS Office 문서에서 어떠한 정보들을 얻을 수 있을까? 엑셀파일의 생성일자. 수정일자, 접근일자, 생성자, 수정자, 접근자에 대한 정보를 어떻게 하면 좀더 게확하게 알아낼수 있을까?

보통 엑셀파일을 이동식저장장치(USB 등)에서 컴퓨터로 복사하게 되면 시간정보가 변경된다. 변경되는 이유에대해서는 윈도우즈 파일 시스템을 살펴보기를 바란다.

그런데, 파일이 복사되더라도 고유한 값을 확인할 수 있는 방법이 있다. 확인하는 방법은 다음과 같다.

두개의 날짜 필드를 이용한 샘플링 기법

다음과 같은 두개의 날짜 필드가 있다.

“계약일자”, “종료일자”

업종마다 다를 수는 있겠지만, 위 두개의 날짜 필드로 얻을 수 있는 정보들은 무엇이 있을까?

  • 년도별 / 월별 / 분기별 / 반기별 / 계절별 통계
  • 월초 / 월말 통계
    1. 예) 월말에 계약건수 증가
    2. 예) 월초에 계약 해지건수 증가
  • 두 날짜간의 일수계산 / 이상 패턴 분석
    1. 예) 100일 경과 후부터 부적절한 업무 패턴 발생
  • 특정월에 이상 데이터 확인
    1. 예) 특정월에 급격한 영업 매출 증가(이벤트 실시 등)

의료기관에서의 환자관련 정보 유출 사례

환자 진료정보가 포함된 출력물 분실(Massachusetts General Hospital)

  • 병원 직원이 192명의 HIV/AIDS 환자의 외래 일정이 포함된 출력물을 지하철에 놓고 내림
  • 출력물에 포함된 정보
    * 생년월일, 건강보험회사, 진단명, Health Care Provider의 이름
  • 100만달러(약 10억원) 벌금
  • Action Plan과 Semi-Annual Report를 3년동안 HHS에 제출

내부 직원의 무단 열람

  • 2004~2006년 동안 환자의 개인정보를 무단으로 열람한 의료기관 내부 직원이 무련 120명이 넘음
  • 2005~2009년 사이 병원 관계자 몇 명이 유명인사의 의료기록을 무단 열람으로 해고
  • 2011년 유명인사 두명이 의료기록을 무단 열람해 86만5,500달러(약 9억 2,200만원)의 벌금
  • Health System의 준거성에 대한 독립적인 기구의 평가와 향후 3년간 관련 계획 제출

내부 직원의 개인건강정보 유출

  • 유명 연애인, 운동선수, 정치가 등 유명인사 및 지인의 진료기록/진료내용 누설
  • 환자의 별도 동의 없이 연구, 교육, 수련 등 진료외 목적으로 환자의 개인건강정보를 제 3자에게 제공
  • 직원의 개인정보를 업무 외 목적으로 이용 및 제3자 제공

의료정보

환자 진료정보의 인터넷 게시(Stanford Hospital)

  • 20,000명의 응급환자의 건강정보가 포함되어 있는 스프레드쉬트를 암호화하지 않은 상태로 웹사이트에 1년동안 게시함
  • 스프레드쉬트에 포함된 정보
    * 환자이름, 진단코드, 입퇴원일자, 청구금액
  • 관련있는 환자에게 정보유출에 대한 메일 발송
  • 연방/주 정부에 즉시 신고

의료장비에서의 환자 진료정보 유출(Beth Israel Deaconess Medical Center)

  • Radiology workstation COmputer 에서 2,021 Radiology  환자의 개인건강정보가 인터넷을 통해 알지 못하는 장소에 전송
  • 장비업체에서 유지보수 후 보안 설정을 하지 않음으로 발생
  • Workstation에 포함된 정보
    * 환자이름, 성별, 생년월일, 병원등록번호, 영상의학검사 시행일자
  • 환자에게 고지, Radiology Workstation의 인터넷 연결 차단 및 최신의 Anti-Virus Software 설치

[칼럼] 개인정보보호를 위한 디지털 포렌식 도입의 필요성

잇따른 개인정보 유출사고로 인하여 수많은 고객들이 스팸 전화, 스팸문자 등으로 피해를 받고 있다. 고객마다 정도의 차이는 있겠지만 피해를 받았다는 사실에 불쾌감을 느낄것이다. 잊을만하면 번번히 해킹사고가 터져서 몇백만건 유출, 몇만건 유출등의 기사를 심심치 않게 접할수 있다.

개인정보는 크게 두가지 경로를 통해서 유출이되고 있다.

첫째, 내부자의 유출

둘째, 외부자에 의한 유출. 예로서, 해킹이 있다.

이번 칼럼에서는 내부자에 의한 개인정보 유출에 대해서 생각해보겠다. 회사는 직원을 믿고, 또한 직원은 당연히 회사의 업무목적외에 개인정보를 오남용 하거나 외부로 유출할수 없다. 대부분의 회사들의 직원들은 이 사실을 알고있다.

그럼에도 불구하고, 개인정보 유출사고는 끊임없이 발생되고 있는것인가?

결론부터 말하자면, “내부 통제 시스템의  부재 또는 관리 미흡” 이라는 취약점이 있기때문이다.

회사 내부 정책, 지침, 절차 등으로 통제를 하는것이 아니라. 실질적인, 효과성있는 통제를 말한다. 즉, 적절하고 효율적인 시스템적인 통제가 필요한것이다.
내부자 정보유출 방지를 위해서 기업마다 다르겠지만 많게는 한달에 1번 분기에 1번 개인정보보호 교육, 정보보안교육 등을 실시한다. 그리고 내부 정보보안 정책, 규정, 지침 등 에 위 내용들을 언급하고 있으며, 비밀유지서약서를 받고 각종 동의서를 받고 있다. 관리적인 측면에서는 완벽에 가까울정도로 많은 부분을 체계화 했다.

하지만, 개인정보유출은 발생한다. 내부에 불만을 품은 직원, 가정상의 어려움을 겪고 있는 직원, 주변에서의 유혹 등, 이들은 개인정보를 판매하여 이득을 얻기 위해 또는 회사에 해를 끼치기 위해서 불법적인 행위들을 한다.

그래서, 시스템적으로 통제할수 있는 장치를 마련하고 또한 포렌식 기법을 적용하여 정기적으로 내부감사를 수행해야한다.
기본적으로 시스템적인 통제를 한다면 대부분의 직원들은 개인 정보유출을 할수 없구나 불가능하구나라는 생각을 갖게된다. 그러나 정말로 정보유출을 하고 싶어하는 직원의 경우에는 갖가지 방법을 동원하여 유출 시도를 할것이다. 이런한 유출시도를 탐지하는 것이 중요하다.

포렌식 방법론을 적용했을때 회사에 어떠한 긍정적인 효과가 있는지 살펴보겠다.
1. 포렌식 방법론을 적용하게되면 과거의 개인정보보관 실태를 점검할수 있다.
2. 정보유출방지솔루션을 우회하여 고객정보를 유출한 흔적 유무를 확인 할수 있다.
3. 고객정보 뿐만아니라 회사 내부 기밀정보의 유출까지 점검이 가능하다.
4. 정기적인 점검을 통하여 회사 내부직원들에게 정보유출 시도조차 하면 안되겠구나 하는 인식을 심어 줄수 있다.
5. 포렌식 점검을 통하여 개인정보 뿐만아니라 다양한 업무에 적용하여 회사 내부의 부정부패척결에 한발짝 더 나아갈수 있게 된다.
6. 개인정보 유출사고 발생시 유출관련한 증거를 법적인 증거로 활용 할 수 있다.
7. 끝으로, 정보보안에 대한 취약점까지 점검이 가능하다. 외부 해킹이 있었는지 내부적으로 취약점이 있는건 아닌지 등등 확인이 가능하다.

이에, 현 시점에 포렌식기반의 개인정보보호 실태 진단이 필요하다.