Monthly Archives: January 2015

You are browsing the site archives by month.

디지털 포렌식 기반 개인정보보호 관리 실태 점검

최근 개인정보 유출 사고가 연이어 발생하고 있다. 이제 몇 백 만건, 몇 천만건 유출되었다는 뉴스를 접해도 아무런 느낌이 없다. 카드사 1 400만건 유출 때문인 듯 하다

기업은 보다 적극적인 방법으로 기업의 중요정보(개인정보, 영업비밀 등) 유출에 대한 많은 관심과 투자가 필요하다. 자산규모가 크다고 해서 작다고 해서 정보유출에 심혈을 기울이지 않는다면 그 기업은 짧게는 몇 달 길게는 몇 년 동안 언론의 비난을 피하기 어려울 것이다. 수년에 걸쳐 쌓아왔던 기업 이미지 어떻게 회복 할 수 있겠는가?

감당 할 수 있는 리스크라면 수용하면 된다. 그렇지 않다면 지금부터라도 적절한 대응책을 마련하고 준비해야한다.

TV 뉴스, 신문, 매거진 등을 통해서 이미 잘 알 알고 있겠지만, 최근 카드 3사의 유출사고의 원인은 협력업체의 직원으로부터 시작되었다. 그리고 외부 해킹을 통한 유출도 위험하지만 개인정보 유출 건수로만 봤을때 직원(협력업체 포함)에 의한 유출이 더 위험하다는 것을 아래 표를 보면 알 수 있다.

개인정보유출현황

대부분의 기업들은 여러가지 많은 프로젝트를 협력업체와 같이 수행을 하게 되는데, 특히 개인정보를 취급처리하는 협력업체의 경우에는 내부통제를 보다 강화해야 한다.

특히, “갑”의 사업장에 들어와서 프로젝트를 수행하는 경우에는 내부통제 우회가 있는지 정기적으로 모나터링 해야한다. 외주업체가 개발관련 프로젝트를 진행할때 데이터베이스(개발DB, 백업DB, 운영DB )에 접근해서 프로젝트를 할때가 있다. 아니 거의 대부분의 프로젝트들은 데이터베이스와 민감하게 관련되어 있다.

데이터베이스 접근 솔루션이 있다 하더라도 Operation Error 또는 인지하지 못한 홀(Hole)들이 숨어 있어 위험에 상시 노출되어 있다.

국내 임직원에의한 개인정보 유출 경로를 살펴보면 아래와 같다.

유출경로

이번 유출 사건과 관련없는 다른 회사들은 유출된건이 없다고 하였지만, “과연 그럴까? 확신할 수 있을까? 검증 방법이 신뢰성이 있을까?” 내부 통제정책이 완벽했다고 해서 가지고갈 놈이 못가져 갔을까? 현업에 근무를 해보면 알겠지만 마음먹고 작정하면 다 가져 갈수 있다고 말을 한다.

고객정보를 취급 처리하고 있는 기업의 대표가 관리 비용이 아깝다고 생각하면, 집으로 가야할 것이다. 아니 집으로 간다. 지금 당장은 아니겠지만

그러면, 이번 사건의 Fact 만을 보았을때, 무엇이 문제이고 어떻게 해결해야 할것인가?

예방이 그 무엇보다 우선이다. Prevention cost. 즉 예방비용을 늘려야한다. 그리고 detection 해야한다. 금융권과 달리 제조 업체에서는 제품의 품질을 높이기위해 prevention cost, appraisal cost 에 많은 시간과 자원을 투자하고 있다 그렇다면 예방을 위해서 무엇을 해야할까?

첫째, 내부통제 시스템 모니터링을 해야한다.

보안 정책이 회사 규정에 맞게 설정되고 운영되고 있는지 누군가는 모니터링 해야된다. 권한이 부여되지 않았는데 민감한 시스템에 접속을 한다던지, 우회 프로 그램을 사용하여 보안정책을 우회하는지 등등 발생 가능한 리스크를 정리하고 상시 모니터링해야한다

둘째, 전 직원을 모니터링하는데는 한계가 있다. 그래서 디지털 포렌식 기반으로 주기적 또는 비주기적 불시 점검을 수행해야한다.

디지털 포렌식 기반, 즉 임직원의 PC의 하드디스크를 정밀 분석하여 개인정보 보유 실태, 오남용 여부를 깊이 있게 분석할 수 있다. 수사기관에서는 압수수색 영장을 가지고 디지털 기기등을 압수수색 할 수 있는데 기업에서는 어떻게 디지털 포렌식 포렌식을 할 수 있을까?

실제 해보면 어렵지 않은데, 시도하지 않아서 어렵게 생각할지도 모르겠다. 기업에서는 임직원 동동의서에부터 시작할 수 있다.

 

점검절차

개인정보 관리실태 점검 절차는, 고위험 직군 식별, HDD 이미징 및 포렌식 분석, 추적조사, 대응방안 수립 4단계로 개인정보 관리실태를 점검할 수 있다.

고위험직군

 

개인정보 유출 사고 발생 이전에 주기적 또는 불시 점검을 수행하였더라면아니.. 불시 점검, 주기적 점검을 한다는 것을 협력 업체 직원들에게 미리 알렸더라면.. 이런 사태가 발생하지 않았을 것이다.

 

셋째, 여기서 끝나면 안된다. 프로젝트가 완료되면 유지보수 계약을 하거나 또는 계약 종료가 된다.

즉 개인정보 취급처리 위탁업체에 대해서는 체계적인 관리 시스템을 마련하여 관리해야한다. 위탁업체로 개인정보가 어떻게 흘러가서 수집,이용,처리,보관되고 파기되는지 확인해야하는데, 단순히 업체 담당자 인터뷰, 업체에서 보내준 자료를 통해서 확인하면 절대 안된다. 왜냐하면 실질과 다르기 때문이다.

어떻게 실질과 다른지를 알아내는 방법이 바로 디지털 포렌식이다. , 현재 시점(점검 시점)에는 잘되어 있는데 어제까지는 아니였기 때문이다.

유지보수를 하고 있다면 주기적, 불시 점검을 해야하며, 계약 종료 업체에 대해서도 마찬가지로 점검해야 한다.

불과 몇개월전 계약이 종료된 개인정보 처리 위탁업로 부터 개인정보 파기확인서를 징구 했다.

최근에 협력업체에 방문해서 파기점검을 했더니 이 협력업체는 여전히의 고객정보를 보유 및 이용하고 있었다.

그렇기 때문에 기업의 내부든 협력업체든 임직원의 PC 분석을 통해 과건와 현재를 알고, 미래 대대응방안 마련하는 것이 필요하다.