우키의 보안이야기

  노트북에 중요 데이타를 보관하고 있는 경우  이 노트북이 분실될 경우 매우 곤란해질수있습니다.  개인적인 중요데이타 일수도 있고  기업의 중요파일일수도 있을텐데요..  이런경우  TrueCrypt를 통해  안전하게 정보를 지킬수가 있습니다. TrueCrypt 는 무료라서 사용하는데도 제한이 없어서 매우 추전합니다.  무료인 암호화프로그램중에서 가장 추천할만 하여 소개합니다.

  최근 LG칼텍스건때문에  개인정보,고객정보를 암호화하지않고 PC에 보관하는것에 대한  회사차원에서의 감사를 실시하려고 생각중인데요..  법률적으로  고객정보를 암호화하지않은채로 PC에 보관하고 있다면  감사 시 문제가 될수 있고  또 정보유출사고가 생겼을때 큰 책임을 져야 한다는 것이죠..  ^^

  TrueCrypt는 파일 또는 파티션을 암호화해서  가상드라이브에 마운트하여 사용하는 형태의 PC암호화 프로그램입니다. 그래서 이 암호화된 드라이브에 중요 정보들을 보관하면  설령 노트북을 도난당한다 할지라도 안심할수 있습니다.  중요정보 (개인정보,고객정보)를 노트북에 꼭 보관해야 하시는 분들은 TrueCrypt를 사용하시길 권해드립니다. 사용법이 간단할 뿐 아니라  여러가지 설정으로 더욱 안전하게 암호화를 사용할수있게 해줍니다.

▶ TrueCrypt 의 장점
  – 윈도우, Mac OS X, 리눅스(우분투, OpenSuse)를 지원
  – real time 암호화 지원 (가상 암호화 드라이브 를 통한.. )   
  – 파일/ 파티션/ 디바이스 단위로 암호화 가능
  – OS가 인스톨된 파티션/드라이브도 암호화 가능
  – Dismount의 자동화옵션으로 보안속성 강화 가능
  – Hidden volume 사용가능 (보안강화 가능)
  – 다양한 암호화 알고리즘 지원

▶ 저의 암호화된 TrueCrypt 가상드라이브입니다. ^^
  저는 F:\sfolder\wistaf.tc 라는 파일을 생성하였으며  20글자 이상의 Pass phrase를 이용하여 AES-Twofish 암호화했습니다.  그리고 이것을 암호화 가상드라이브인 Q드라이브로 마운트하였습니다.  


▶ TrueCrypt로 암호화 가상드라이브 만들기.
  백문이 불여일견!   보안드라이브를 하나 만들어 보도록 하겠습니다.  어렵지않으니 잠시 들여다 봐주세요.. ^^
    1. TrueCrypt Volume Creation Wizard (암호화를 위한 Volume을 준비합니다.)
       저는 여기서 암호화를 위한 파일을 생성해보려고 합니다.

       2. Volume type을 설정합니다. 저는 standard로 …
       3. Volume 위치를 설정합니다.  select File 아이콘을 클릭해서 할수도 있지만
          그냥 디렉토리및 파일명을 바로 입력했습니다. 지정된 파일이 자동으로 생성됩니다..

       4. 암호화 옵션을 설정합니다. 저는 AES-Twofish로 설정했습니다.. ..
       5. Volume size을 설정합니다.  (가상 파일의 크기가 여기서 결정되죠)
       6. Volume password를 설정합니다. 20글자이상으로 하는 것을 권장합니다.
           key file를 지정해주어도 됩니다. 하지만 파일이 없어지거나 하면 다시는 암호화 파일을 열수없게되므로
           제가 개인적으로 보았을때는 비추천입니다. 암호는 없어질수 없지만 파일은 …. 
       7. Volume 을 포맷합니다.  Random pool이 계속 변화하는것이 보입니다. 아래쪽의 포맷버튼을 클릭하면
           포맷이 진행되고  이것이 끝나면 암호화파일 준비가 모두 끝나게됩니다.

▶ TrueCrypt 보안드라이브 마운트하기
  암호화된 파일을 이용하여 보안드라이브를 마운트해보겠습니다.  ^^  
     1. 먼저 사용할 드라이브를 선택해줍니다.
     2. 미리 만들어 둔 암호화 파일의 경로및 파일이름을 적어줍니다.
     3. Mount버튼을 클릭합니다.
     4. 패스워드를 물어보는데  미리 지정한 패스워드를 입력하고 OK버튼을 클릭합니다.
        key files를 사용했다면 아래쪽의 use key files를 선택해줍니다.


▶ TrueCrypt의 보안설정하기
  저는 보안드라이브를 꼭 필요할때만 사용하기위해  필요할때만 수동으로 사용하기로 하였습니다.
- Actions to perform upon log on to windows:
  윈도우 부팅시 TrueCrypt를 자동으로 실행하게 할수있습니다. (저는 사용하지않기로 했습니다.)
- Auto-Dismout :
  저는 로그오프 또는 전원절약모드에 들어갔을때 자동으로 Dismount되도록 설정했습니다.
  그리고 사용하지않는 시간이 30분이상이되었을때 자동으로 Dismount되도록 설정했습니다.
  자리를 비웠을때 자동으로 암호화된 드라이브가 사라지게 함으로서 보안수준을 높일수있습니다.
- Password cache:
  TrueCrypt를 나갈때 cache된 패스워드를 지우도록 설정하였습니다.

제작사 사이트: http://www.truecrypt.org/ 
다운로드 사이트: http://www.truecrypt.org/downloads.php

  미국 공화당의 부통령 후보인 페일린의 e메일 계정이 해킹당하는 사건이 발생했습니다. 해커들이 그녀의 야후 메일 계정에 접근해 정보를 빼냈는데  이를 통해 페일린의 사진과 연락망 목록 등을 한 웹사이트에 올리기 까지 했다고 합니다.

  유출된 정보 가운데 페일린이 알래스카주 지사로 행한 공적인 업무에 대한 것들도 있어서   보안이 요구되는 공무를 민간웹사이트의 사적인 이메일로 처리한것에  대해 비판을 받고 있습니다.  시민운동가인 안드레아 맥리오드라는 “해킹 가능성이 있는 개인이메일을 부주의하게 사용하는 사람이 어떻게 국가 안보를 다룰 수 있을지 의심된다”면서 공무내용을 공객할 것을 주장했다고 합니다.

  많은 사람이 사용하는 상용 이메일은 해커들의 입장에서 좋은 먹이감에 해당합니다.  서버 해킹에 성공하면 엄청난 많은 사람들의 정보에 접근하는 것이 가능해지니까요.. 그리고 그것은 많은 돈을 벌수있는 기회를 가져다 주곤합니다.   해킹엔 많은 노력과 시간이 소요되는데 이때  투여된 자원(시간,노력)대비 이익의 크기가 크다면 해커의 목표가 되는것이죠..  특정기업의 메일은 더 보안이 잘 되어있다고 꼭 볼수없지만 더 안전하다고 볼수있는 것은  해커의 입장에서 노력대비 이익이 매우 적기 때문입니다.  

  ▶기업의 보안관리자는  기업의 임직원에게 다음을 필히 교육해야 합니다.
1. 개인의 외부 이메일을 통해  기업업무와 연관된 자료를 전송하지 말것
2. 회사메일을 통해서만 업무내역을 주고 받을 것
3. 고객정보/중요업무파일등은 암호화해서 전송하여 유출되어도 읽을수없게 할것
4. 외부 이메일은 안전하지 않다.

    ▶ 외부 이메일의 안전성을 점검해 보라
1. 패스워드 리셋하는 질문과 답변이 안전한 지 점검하라.
  페일린 이메일을 해킹했다고 주장하는 rubico에 따르면 패스워드를 잊어버렸을때 본인확인 용도로 사용되는 개인적인 질문을 통해 계정해킹에 성공했다고 합니다. 인터넷상에서 얻어낸 여러가지 정보를 이용하여 패스워드를 리셋했다고 합니다.
  특히 우리의 경우 개인정보 (특히 주민등록번호)를 이용하여 리셋하는 경우가 많은 데 아시다시피 주민번호등의 개인정보가 많이 새어나간 이 시점에서는 더욱 취약하다고 할수있습니다.
  질문에 대한 답변으로   다른 사람이 도저히 예상할 수 없는 엉뚱한 것을  선택하는것도 좋을 듯합니다.
2. 특히 외부의 공적인 장소에 설치된 PC에서 이메일 로그인하지 말라.
   키로거등을 통해 계정정보가  유출 될 수 있습니다. 안전하지 않은 PC에서 개인정보를 사용하거나 계정에 로그인하는 행위는  나를 해킹해달라고 소리치는것과 같습니다.
3. 정기적으로, 또는 안전하지 않다고 느껴지면 즉시 패스워드를 변경하라
  외부 공공장소에서 피치못하게 계정로그인을 했다면 안전한 장소의 PC에 돌아와서 자신의 패스워드를 변경하는것이 좋습니다.

 

▶ 누가  대형유통업체의 매출정보를 빼내갔나?
  롯데와 현대, 신세계, 갤러리아 등 대형 백화점과 이마트 등이 공정거래위원회로부터 총 13억7000만원의 과징금을 부과받았습니다.  거래하는 납품업체를 통해서 경쟁 유통업체의 매출 정보를 빼내는 등 불공정거래 행위를 해온것이 드러났기 때문입니다.     롯데백화점은 경쟁사 매출정보 부당 취득과 입점방해 행위로 7억2800만원의 과징금을, 현대백화점과 신세계백화점은 경쟁 백화점 매출정보 부당 취득 행위로 각각 3억2000만원의 과징금을 내게 됐다.

▶ 어떻게  매출정보를 빼내갔나?
  공정위가 전한 바에 따르면 롯데와 현대, 신세계는 납품업체로부터 계정과 패스워드를 얻어 경쟁 백화점의 전자상거래시스템 전산망에 침입, 하루 판매량과 팬매금액, 할인행사 실적 등 경쟁사의 각종 매출정보를 무단으로 빼냈다고 합니다.

▶ 각 기업에 주는 시사점은 무엇인가?
  1. 업체 관리감독의 강화
  유통업체가 아니라 하더라도 모든 산업분야에 이런 사례를 좋은 경계가 된다고 생각됩니다.  아웃소싱을 통해 좀더 효율적인 경영을 하고자 하는 기업들이 많기 때문에  협렵업체 또는 거래업체들에게 일정부분 기업의 정보와 네트워크를 오픈할수 밖에 없는 현실입니다. 이들 업체를 어떻게 관리감독할 것인가 하는것은 중요한 문제로 대두되었습니다.
    아래의 요소들이 필요할 것으로 보여집니다.
   – 업무상 취득한 정보를 다른곳에 유출하지 않도록 보안서약서를 쓰게 하는것
   – 관계 업체들에 대한 관리감독 책임을 명확하게  담당직원에 부여, 정기 감사를 받게 할 것
   - 관계 업체에 대한 보안교육 강화

  2. 보안 정책의 강화
  도급직원이나 협력업체 직원들에게 계정을 발급하고 일정 데이타에 대한 접근권한을 부여하게 되는데  이것이 잘 관리되어야 합니다.
    이를 위해선 아래의 요소들이 필요할 것 같습니다.
   – 계정관리의 정확성: 계정발급및 폐기절차가 보안요구수준에 부합해야함.  계정유효기간 제한/ 정기 비번변경
   – 권한관리의 적절성:  꼭 필요한 만큼의 최소한의 권한만 부여하는 것이 필요 (Least Privilege)
   – 어플리케이션단의 정확성:  제한된 인터페이스가 제공되어야 함 (Restricted Interface), 권한제어만으로는 부족함.

기사원문: http://www.boannews.com/media/view.asp?page=&gpage=&idx=11244&search=&find=&kind=13

  

   행안부에서 개인정보 다량취급업체를 대상으로한 실태점검을 실시하며 법적 규제 강화할 예정이라고 합니다. 행안부 사이트에 관련 보도자료가 공개되었으며  언론에도 게재된바 있습니다.  보도자료 원문은 HWP파일도 작성되어 있으며  아래의 글은 보도자료를 기초로 해서 정리해본것입니다.
<< 행안부사이트에서 보도자료 보기 >>
행안부 사이트: http://www.mopas.go.kr

▶ 추진 배경
  GS칼텍스 개인정보 유출사고와 관련하여  방송통신위원회, 금융위원회, 지식경재부, 한국정보보호진흥원 등 관계기관 및 정보화 추진 실무위원등 전문가와의 합동회의가 2008년 9월 9일 열렸습니다.  올해들어 굵직굵직한 개인정보 유출사고가 빈발하고 있어서 예견된 일이었다라고 생각이 듭니다.    합동회의 결과  개인정보 다량 취급사업자 개인정보 유출방지 대책을 마련하고 , 신속히 추진하기로 하였다고 합니다.  이번에 문제가 발생한 GS칼텍스의 경우는 개인정보보호 관련 법령을 적용받지 아니하는 업체라는 점에서 개인정보 보호에 관한 법적 관리체계의 정비가 필요했다는 것이죠..

▶ 대책 개요
  개인정보를 다량 취급하는 업체에 대한 지도점검과 개인정보 보호 교육, 법/제도 개선방안등 제안하였습니다.

▶ 대책 세부 내용 (보도문에 있던것을 정리하였습니다.)
  1. 범부처적인 개인정보 개인정보 실태점검을 추진한다.
     -  10월까지 현행 정보통신망법, 신용정보보호법등 개인정보보호 관련 개별 법률을 적용받고있는 사업자에 대하여 소관부처에서 개인정보관리 실태 전반을 점검 
     -  법 위반 사업자에 대해서는 시정명령, 과태료, 형사고발 추진 등 행정제재와 함께 위반사실을 언론등에 공개한다.  (형사고발도 그렇지만…  언론에 공개하는것이 가장 무서울듯하군요… 요즘 워낙 민감한지라… 아래 사업자군에 해당되신 분들은  대책을 세우셔야 할듯 싶습니다.)
     – 정보통신망법에 포함되는 사업자군:
        유/무선 통신사, 초고속인터넷업체, 포털등 정보통신사업자, 여행업, 호텔업, 항공사, 학원, 교습소, 휴양콘도미니엄업, 할인점,백화점, 쇼핑센타, 체인사업자등 준용사업자  (안들어가는게 별로 없군여…^^)
     – 신용정보의 이용및 보호에 관한 법률에 포한되는 사업자군: 은행, 보험사,증권사

  2. 사업자의 인식제고를 위한 교육을 실시한다.
    – 9월중 관련 사업자 협회등과 연계하여 개인정보보호 교육을 실시하고  개인정보보호 메뉴얼을 제작 배포

  3.  정보통신망법 적용 대상 업체를 확대하여 법적 관리체계를 강화한다.
    – 다량의 개인정보를 취급하고 있으면서 개인정보보호 관련 법령을 적용받지 아니하는 업체 (정유업체, 결혼중개업체, 대형서점) 등에 대하여는  관계부처와 협의를 거쳐 정보통신망법상 개인정보보호 의무를 따르도록(준용사업자) 시행규칙을 개정하여 개인정보보호법 제정 전까지는 정보통신망법상 개인정보의 수집ㆍ이용ㆍ제공 시 동의, 개인정보시스템에 대한 접근권한통제 등 개인정보보호 의무를 적용

   4.  개인정보 보호법 연내 개정을 적극 추진한다.
    – 공공ㆍ민간의 모든 개인정보처리자에 대하여 개인정보 수집ㆍ이용ㆍ제공 등 단계별 보호기준을 제시하고, 개인정보 보호를 위한 관리적ㆍ기술적 보호조치 의무를 적용토록 할 계획이다.
    -  동법에 따라 개인정보의 제3자 불법 매매, 무단 유출 시 형사처벌을 강화하고, 개인정보처리 위탁시 수탁업체의 자격ㆍ기준, 관리ㆍ감독, 유출 시 배상책임을 엄격히 규정할 계획이다

▶  행안부의 중점 강조 사항
    1. 대량 개인정보 유출의 재발방지를 위해서는 기업CEO차원의 적극적 관심과 의지가 절대 필요하다.
    2. 개인정보를 다량관리하고 있는 업체는 다음의 사항을 점검및 관리/감독해야 한다.
       -  개인정보의 암호화 여부
       -  DB에 대한 접근 권한
       -  제반 보안조치를 전면 재점검
       -  개인정보처리 위탁하고있는 수탁업체의 적격정 확인,  관리/감독 강화

내 컴퓨터에서 중요 보안패치가 다 설치되어 있는지 가장 쉽게 확인할수있는 방법을 소개합니다.
바로 보호나라 사이트 ( http://www.boho.or.kr )를 통해서 내 PC의 취약점을 제거할 수 가 있다는 것입니다.
이 사이트는 정보보호 진흥원과  Microsoft가 공동으로 제공하는 곳으로서 안전한 곳입니다.

  물론 Microsoft의 윈도우즈업데이트 사이트를 통해서 보안업데이트가 가능하긴 합니다만….   정품이 아닌 윈도우를 사용하시는 경우   보안패치를 할수 없는  발생하곤 합니다.  ^^   보호나라에서 제공하는 PC자동보안업데이트를 사용하면   가장 손쉽게 자신의 윈도우 시스템을  안전하게 만들 수 있습니다. 

   PC자동보안 업데이트는 윈도우PC에 필요한 중요보안패치가 있는지 확인하여  자동으로 설치해주는 프로그램입니다.  중요 보안패치가 모두 설치되어 있다면 보안패치를 추가로 다운로드 받지 않습니다.
사이트에 들어가기만 하면 ActiveX방식으로  PC자동보안 업데이트가 설치됩니다. (물론 물어보죠)

 자동으로 activeX가 설치되지 않는 경우도 있는데…   아래 프로그램 링크를 통해서 설치프로그램을 다운로드 받을 수 있습니다.  
http://download.pcsmile.co.kr/pcsmile/PCSmileInstaller.exe 

요즘 인터넷을 하다 보면 나도 모르게 설치되는 프로그램이 많습니다.
무단 설치되는 이들 프로그램은 개인PC의 정보를 빼갈수도 있으며 
컴퓨터의 성능을 많이 떨어뜨릴수도 있습니다.

WInpatrol은  이런 프로그램이 설치되는 것을 통지해주고  다시 쉽게 삭제할수있게 가이드해줍니다.
윈도우가 부팅될때부터  셧다운될때까지 항상 시스템에 상주하면서  어떤 프로그램이 설치되는지 감시해주고
이미 설치된 프로그램들을 검사해서 불필요한 프로그램들을 골라서 삭제할수있도록 도와줍니다.

아래 그림은 winpatrol을 실행한 화면입니다. 특히 ActiveX 들은 사용자의 의사와 상관없이 설치된 것들이 많습니다.  언제 winpatrol이 그 프로그램을 발견했는지 시간정보도 나오며  유용한 정보를 보여줍니다.
주로 보실것은 ActiveX 와 Startup Porgrams 라고 보여지는에 이곳에서 손쉽게  불필요한 프로그램들을 골라낼수있게 도와줍니다.

아래 탭에 보시면 PLUS란 탭이 보이실텐데 그건 유료버전에서 지원이 되는 메뉴입니다.
검출된 수상한 프로세스등을 파악하는데 도움이 되는 서비스인데요… 사실상 인터넷에서는
이런류의 서비스를 기존에 제공하는 것들이 있으니  그것을 참조하시면 되겠습니다.
아래 사이트는 잘 모르는 프로세스들을 확인하는데 사용할수있는 좋은 곳입니다.
http://www.liutilities.com/products/wintaskspro/processlibrary

아래 화면은 새로 프로그램이 설치된 것을 Find해서 알려주는 것을 캡춰한 것입니다.
문서보안 에이전트 프로그램을 설치했더니 아래와 같이 새로운 윈도우서비스가 발견되었다며 통지해주더군여


제작사 사이트: http://www.winpatrol.com/
프로그램 다운로드: Free Download – Install WinPatrol 2008

  ‘인터넷 윤리’를 초ㆍ중ㆍ고교 정규 교과과목으로 반영하는 방안을 방송통신위원회와 교육과학기술부가 함께 추진한다고 합니다.  인터넷을 통한 음란물 유통과 명예훼손 등이 갈수록 심각해짐에 따라 이를 제도권 교육을 통해 바로잡는다는 취지에서라고 합니다.

  예전에 제가 LG 텔레콤 고객정보 유출사고 기사를 보면서  포스팅한 글dl 생각이 나더군요..   인터넷 윤리의식이란 것이 매우 부족한 현실에  학교교과 과정에 인터넷 윤리과목이 들어가야 한다고  주장(?) 했더랬는데…  실제로 추진되고 있더군요..  저로서는 매우 반가운 소식이었습니다.  오프라인 못지 않게 온라인에서도 책임감을 느끼고 윤리의식을 느끼는 것이 꼭 필요하다고 봅니다.
  예전에 포스팅한 글:   http://w-security.net/entry/lgtel-info-ethics 

▶ 방송통신위원회에서 초/중/고  인터넷 윤리과목 반영 계획
  10일 방송통신위원회는 국회 문화체육관광방송통신위원회 업무보고에서 “초ㆍ중ㆍ고교 청소년을 대상으로 인터넷 윤리특강 등 교육을 실시하고 교과부 등과 협의해 정규 교과과정으로 반영될 수 있도록 추진하겠다”고 밝혔습니다. 

▶ 초/중/고 교사 대상 인터넷 윤리특강 실시하다
  방통위는 지난달 한국인터넷진흥원과 함께 초ㆍ중ㆍ고 교사를 대상으로 인터넷 윤리특강을 두 차례 실시했습니다. 교사들이 인터넷 윤리에 대한 기본적인 정보를 얻어 이를 현실 교육에 반영하기 위해서라고 합니다.

▶ 초/중/고 청소년대상으로 인터넷 윤리특강 확대 예정
  방통위는 다음달부터 인터넷 윤리특강 대상을 교사에서 초ㆍ중ㆍ고 청소년으로 확대해 이들에게 직접 윤리교육을 할 계획입니다.  파일럿 성격의 교육이라고 볼 수 있을 것 같구요.  이런 과정을 거쳐서 정규과정으로 자리잡도록 할 계획인듯합니다.

  교과과정에 들어간다고 해서 바로 뭐가 나아지거나 하는 것은 힘들거라 봅니다만  그래도 어떤 계기는 주지 않을까 싶습니다.  사회,문화적으로  이런 인터넷 윤리에 대한 운동들이 필요할 것 같습니다.  그리고  제도적인 지원 또한 필요하구요…

  인터넷의 자유로움을 침해하지 않으면서  인터넷 윤리의식이 잘 자리잡기를 바래봅니다.   남을 배려해주는 것이 바로 나자신을 배려하는 것이라는 것을  잊지 않아야 겠습니다.  

=================================================
이글은 매경의 기사를 바탕으로  정리해본것입니다.
원문링크: http://news.mk.co.kr/outside/view.php?year=2008&no=558997

올해 들어서 발생한 정보유출관련 사건중 최대가 될 이번 사건에 대해 정리해 보았습니다.  여기저기 신문기사를 모조리 집약해서 다시 정리해보니  상황이 조금 보이는듯 합니다.   실제로 유출된 GS칼텍스
고객정보의 내용은, 보너스카드 회원 1,107명의 정보로써
성명, 주민번호, 주소, 회사
전화번호, 이메일 정보라고 합니다.

 

▶  GS칼텍스 고객정보 유출사고의 전모:

  사건의 본질은 
고객DB를
조회할수있는 권한을 지닌 내부 직원이 외부자와 공모해 영리를 목적으로 고객의 DB를 유출한 사건입니다.

 

7월초:
GS넥스테이션의 직원 정모(28)씨는 왕씨(고교동창생), 김씨(후배) 등과 미리
범행을 모의하였음…

         
GS칼텍스 자회사에서 시스템
및 네트워크 관리를 맡고 있던 정모씨(28)는 올해 7월
초 고교동창생 왕모씨(28)에게 업무중 갖고 있던 일부 고객정보를 보여주었습니다.  그들은 이 정보를 이용할 방법을
찾던 중 사진 스튜디오에서 근무하던 사회후배 김모씨(24)를 만나 ‘돈이 될 것 같다’는 얘기를 듣고 정보유출을 본격적으로 모의하게 됩니다.

       

7월 ~8월:  정씨는 한달 여 동안 GS칼텍스 보너스카드 고객 데이터베이스(DB)서버에 접속해 주민등록번호와 성명, 주소, 자택 및 휴대전화번호, 이메일 정보 등
개인정보만 꾸준하게 추출해 냈다고합니다. 이과정에서 상급자의 결재를 받아서  백여차례에 걸쳐서 계획적으로 고객정보를 빼내었습니다.(사무실내 자신의 업무용 PC를 이용하여 수백차례에 걸쳐 복사해 다른 파일로 저장하였다고 합니다. )

     
사건 초기 GS칼텍스 측은 “고객 정보를 다운로드하는 기능 자체가 없어 PC에 데이터를 내려받을 수 없다“고 자체사고 가능성을 부인했지만 
경찰관계자는 “DB를 직접 다운받을 수는 없었지만, 복사라는 간단한 방법으로
데이터를 PC에 내려받을 수 있었다“고 설명했다.

 

8월 29일: 정씨가 빼낸 고객정보를  GS넥스테이션 여직원 배모(30)씨가  엑셀파일 형태로 변환하였고 이를 왕씨와 김씨는
새로운 DVD 6장으로 복사함

8월 29일~9월 1일:  왕씨와
김씨는 고객DB의
판로 모색함

9월 2일:  김씨는 ‘유흥가 뒷 골목에서 DVD를 주웠다’며 3개
언론사 관계자와 접촉하여 제보함.

   정씨 등은 “개인정보 유출 사건이 사회적 이슈로 떠오르면 자신들이 갖고있는 정보의 가치는 더욱 커진다고 판단해
언론사 접촉에 나섰다“고 합니다.

   경찰 관계자는 “여러군데 판로를 모색하다 어렵게 되자 개인정보 유출
문제가 이슈화하면 정보가치가 올라갈 것으로 판단해 언론에 허위 제보한 것으로 보인다”고 말했습니다.  정씨는 고교동창생 왕모(28)씨의 사회후배인 김모(24)씨를 시켜 9월2일 서울 시내 모 식당에서 모 언론사 기자, 방송국 PD, 무가지 신문 기자 등 언론인 3명을 만나 DVD를 건네주며
“강남 역삼동 유흥가 골목 쓰레기 더미에서 주웠다“는 내용의 허위제보를
전달했다고 주장하고 있습니다.

   결국 9월5일 모 언론사를 통해 보도된 DVD의 존재는 경찰수사의 출발점이 되었습니다.   경찰은 고객 정보가 내부 직원을 통해 유출됐을 가능성이 크다고 보고 DB 접근 권한을 가진 직원을 상대로 수사를 벌이다 정씨의 PC 하드디스크가
기사가 나간 당일 교체된 점 등을 의심해 집중 수사를 벌였다고 하구요.  사건 초기 정씨는 혐의를 부인했지만
경찰이 자신의 컴퓨터 하드디스크가 교체됐고 유출 CD 정보구조와 그가 사용하는 데이터구조가 동일한 점
등 물적 증거를 들이대자 범행을 털어놨다고 합니다.  정씨는 현재 이들 외에 추가 유출은 없다고 진술하고
있으나 경찰은 액면 그대로 받아들이기 힘들다는 입장입니다.  유출시점이 다소 지난 점, 범행 은폐를 시도한 점, 동기가 돈이 목적이었던 점 등으로 미뤄
어떤 식으로든 이미 유출이 이뤄졌을 가능성도 배제할 수는 없다는 뜻입니다.  검찰은 이에 따라
이들의 여죄와 추가 공범을 캐는 동시에 피해를 최소화하기 위한 작업을 벌이고 있다고 합니다.

 

 

▶ 고객들에게 주는 영향

  경찰은 이들이 빼낸 정보가 시중에 유통됐을 가능성에
대해서도 수사를 벌이고 있습니다. 이들이 정보를 유통했을 경우 명의도용이나 금융사기 등 범죄에 이용될 가능성도
커 대규모 2차 피해도 우려됩니다. 

▶ 개인정보 유출 확인 페이지

  GS칼텍스 측은 이날 오후 3시30분부터
회사홈페이지(www.gscaltex.co.kr)
및 마케팅사이트(www.kixx.co.kr)에서
본인의 정보유출 여부를 확인할 수 있도록 했습니다.

 

▶ 관계자 처벌 현황

N사 대표: 형사입건,  

시스템/네트웍담당직원 정모씨, 왕모씨 (정모씨 친구),  김모씨 (왕모씨 후배): 검거 (구속영장신청) 

N사 여직원: 불구속

 

  현행 정보통신망보호법은 이용자의 개인정보를 취급하고
있거나 취급했던 자는 직무상 알게 된 개인 정보를 누설해서는 안 되며 알면서도 이를 영리 또는 부정한 목적으로 제공받을 경우 5년 이하의 징역이나 5000만원 이하의 벌금에 처하도록 규정하고
있다

 

▶ GS칼텍스에 미치게 될 영향
1. 소송으로 인한 배상금 지급

   현재 인터넷카페를 중심으로 단체소송이 준비되고 있습니다.

네이버 카페 (종합법률사무소
백로):  지난 4월 포털사이트 네이버에 옥션 개인정보
유출 사건 관련 카페를 개설, 집단소송 활동을 진행해 온 ‘종합법률사무소 백로’의 백승우 변호사는 카페 공지사항을 통해 “7일 오후 2시 (GS칼텍스 고객정보 유출 사건 관련) 경찰의 중간수사결과 발표 역시
내부자 소행으로 밝혀졌다”며
“GS칼텍스
또는 GS칼텍스로부터 고객정보를 관리 위탁받은 자회사 중 적어도 한 회사는 이번 1100만명 개인정보 유출 피해에 대한 책임을 지게 됨이 명백해졌다”고 집단소송에 나설 것임을 분명히 밝혔습니다.  소송 청구금액은 1인당
100만원으로 책정해 소송을 제기하되 향후 수사결과나 증거조사 결과 밝혀지는 유출의 과정이나 경위 등을 살펴 증액하는 방안도 고려
중에 있다고 밝혔습니다.

 

다음 카페 (법률사무소
동국):  이뿐만 아니라 ‘법률사무소 東國’의 이동국 대표 변호사 역시 7일 포털사이트 다음 카페를 통해 GS칼텍스 관련 집단소송 인단을
모집하기 시작했습니다.

이 변호사는 공지사항을 통해 “과거 정보유출 사건과 관련해 리니지 사건 10만 원, 국민은행 사건 20만
원, LG 사건은 70만 원을 각각 배상하라는 확정 판결이
있었다”며
“금번 GS칼텍스 사건은 직원이 불법으로 개인정보를 CD에 복사해 유출한
것으로, 발견된 CD뿐만 아니라 다량의 CD가 있을 것으로 판단되므로 회원들의 피해 가능성이 농후하고 소송에서 승소할 가능성이 매우 크며 다른 사건들보다
배상액수도 더 많을 것으로 보고 있다”고 밝혔습니다.  이 변호사는 진행상황에 따라
약간의 변동은 있겠지만, 개인당 청구금액을 1인당 200만 원으로 생각하고 있다고 밝혔습니다.

 

1100만명이 전부 소송에 참여하고 승소하여   100만원씩 배상을 받게 될 경우 회사측은 11조원의
배상금과  소송비용을 지불해야 합니다.

2. 회사의 브랜드 가치 하락과 회원탈퇴및 매출 감소

  사실 이것이 가장 무서운 것이라고 생각됩니다. 고객정보 유출의 경우 대외적인 회사의 신뢰도를 크게 떨어뜨리며 다수 회원의 탈퇴및 매출하락으로 이어집니다.  특히 온라인 사업을 하는 경우엔 회사의 존속에 위협을 줄 수 있는 정도의 타격이 예상됩니다.

 

GS칼텍스의 현 보안수준:

1.
DB조회 권한제한및 보안절차: 최소한의 업무담당자만 정보에 접촉권한을 가짐, 조회로그를 남기고  검색이 가능했음 (권한자
12명으로 제한되어 있었음)

2. 부족한 관리자/사용자 교육:  비밀
유지서약서를 받는 등의 비교적 평범한 보안 수준

3. 모니터링 및  감사활동 부족:  회사
직원이 두 달 동안 수십 차례에 걸쳐 개인 컴퓨터에 고객 정보를 내려 받았고  USB나 CD롬에 담아 외부로 빼냈지만, 회사는 이를 눈치 채지 못했습니다.

4. 암호화 미도입: 고객
정보가 암호화되지도 않아, 특별한 기술이 없이도 손쉽게 손에 넣을 수 있었습니다. 

 

GS칼텍스측의 대책발표

1. 데이터베이스 암호화
10월말까지 완성

2. 보안USB 도입

3. 회사 및 자회사에 대한 보안교육 강화

타 기업에 주는 보안 의미및 대책

1. 보안절차가 정리되어 있다하더라도 모니터링/ 감사 되어 지지 않으면 의미가 없다.

2. 로그를 잘 보관하고  근거를 남기는 것으로는 불충분 하다. 중요 길목은 차단해야 한다. 일단 유출되고 나면  이미 심대한 타격을 입었다. 데이타는 복구가능할지 모르나  기업의 가치는 복구하기가 심히 힘들다. PC에 내려받은 데이타의 외부 유출 통로를 제거해야 한다. (CD/USB/웹하드/메일등을 차단)
3. 보안에 대한 책임소재를 분명히 하고 실재로 책임을 지는 시스템이 필요하다.
4. 가장 좋은 보안 교육은  모니터링되어진 내용을  사용자들에게 피드백해주는 것이다.
5. 고객DB를 조회하는 모든 시도는 로그로 남겨야 하고  최소한의 인원으로 제한해야 하며 정기 감사가 필요하다.
6. 고객정보를 PC에 보관할수 없도록 교육하며 실제 감사활동으로 고객정보가 PC에 보관된 것을 적발하여 처벌할 필요가 있다. (고객데이타의 패턴을 검색하여  감사해주는 솔루션 도입할 필요가 있음.
 

  어제와 그제 (9월 1,2일)에 ISEC2008행사에 참석을 했더랬습니다. 작년도에도 ISEC2007행사에 참석한바 있어서  기대감을 가지고 참여했구요.   국제적인 행사로서 치르기위해 보안뉴스측에서 여러모로 애쓴듯하더군요..    참석자는 꽤 많은 편이었습니다. 코엑스 그랜드 볼륨을 꽉메운 사람들을 볼때  높아진 보안에 대한 관심을 느낄수있었습니다.  정말 많았습니다.    주최측의 말에 의한 올해 코엑스에서 치러진 행사규모중 TOP10에 들어간다고 하더군요..

  이틀씩이나 할애해서 참석을 했는데  내용면에서 다소 부족한 감이 있었습니다.  일부 강사의 경우  자사 제품설명만으로 거의 대부분의 강의시간을 보낸 경우도 있었습니다. 보안에 관심이 있는 많은 사람들에게 이정표를 제시하기 보다는 제품을 제안하는데 중점이 있는듯 했습니다.  물론 보안업체의 다양한 보안솔루션을 알게되는것도 의미가 있기는 하지만 말이죠..   보안에 대한 전반적인 지식과 현 실태, 당면한 보안상의 문제를 풀어나가기 위한 고민들, 그리고 어떤 방법론을 가지고 해결해갈지에 관한 공감에서 출발해야 된다는 생각이 듭니다. 아무래도 보안담당자와 보안솔루션공급자와의 만남에 더욱 초점이 있지않았나 싶습니다.  사실 이런 공급업체들에서 무료참가초청메일을 받아서 저도 간것이긴 하지만 말이죠..  ^^;   다음번 행사때에는 많은 보안관리자들의 가려운 부분을 구석구석 조망해주는 것이 좀더 비중있게 다루어지길  바래봅니다.

  물론 그래도 많은 도움이 되기는 했습니다.   많은 이야기를 들었습니다만  결국은 시스템 도입으로 얻을수 있는 효과는 한계가 있으며  가장 효과적인 것은 직원들에 대한 보안인식교육이라는데 다수의 강사들의 결론이 모아지더군요…   그리고 보안관리자로서  사용자 눈 높이에 맞춰서 생각하고 설명할줄 알아야한다는 한 강사의 설명엔
고개가 끄덕여졌구요..  특히 보안관리자는 친화력이 높아야 한다고 하는 부분에선 그동안의  제 부족함을 고민해보는 시간을 가져보기도 했답니다. 

   Attack and Defence라는 주제를 가지고 컨퍼런스가 진행되었는데 attack에 대해서 심도가 떨어졌다는 생각이 듭니다. ARP 스푸핑을 이용한  해킹 공격을 시연하기도 했는데 매우 버벅거리더군요.. 준비를 많이 했다고 하더니 현장에선 전혀 작동하지 않아서 노트북을 껐다 켰다를 반복하다  결국은 동영상으로 시연(?)하고 말았다는 일화도 있답니다.  ^^.  웹해킹도  제로보드에 한해서 시연되었구요…  공격에 대해 취약한 현 상황을 공감하기엔 내용도 부족하고 설명도 부족하지 않았느냐는 생각이 들었습니다.

  여러모로 아쉬움이 많이 남는  국제컨퍼런스였습니다.  국제컨퍼런스 다워지려면 시간이 좀더 걸릴듯합니다.
제 핸드폰으로 몇장 사진을 찍어보았습니다.  컨퍼런스 현장은 조명이 어두운 관계로 찍지 않았구요.. 로비의 부스 장면과  건물외부에 나가서 몇장 찍은 것을 올려보았습니다.   ^^ 점심후 짬을 내서 근처의 사찰도 구경갔답니다. 

  콜드부트 공격이라는 PC암호프로그램을 뚫을 수 있는 새로운 해킹기법이 등장했다고 합니다.

   이 기법을 발표한 곳은 프린스턴 대학의 일렉트로닉 프론티어재단(EFF)으로서  20일 뉴욕에서 열린 ‘지구상의 해커들(HOPE)’ 콘퍼런스에서 콜드부트 공격에 대해서 소개했다고 하는군요..

  콜드부트 공격이란 컴퓨터 전원을 끈 직후 메모리를  직접 해킹하는  방법을 말합니다. 
흔히들 컴퓨터의 전원을 끄면 메모리의 내용이 전부 삭제되는 것으로 알고있는 상황에서
이것이 정말 가능한 것인지 의아한 생각이 들었답니다.

  하지만  실제로 컴퓨터 전원을 끌 경우 전원이 꺼진 후에도 메모리에 데이터가 일정 시간 저장된다고 합니다.  암호화프로그램이 종료된다고 해도  메모리엔 암호화가 해독된 상태로 데이타가 남아있기 때문에   여타의 보안프로그램이 설치되어 있다고 하더라도 이런 보안프로그램을 우회해서 암호화된 데이타를 볼수가 있게되는 것이죠.. MS의 비트라커, 애플의 파일볼트등 모든 보안프로그램에서 공통적으로 나타날수 있을 것 같습니다.

 물론 이 방법은  암호화된 노트북이  전원이 켜진 상태에서 해커에 의해 도난 당해야 합니다.  ^^   해커는 노트북 전원을 끄고   즉시 메모리에 남아있는 암호화키를 메모리 분석프로그램으로 알아 내게 됩니다. 그리고 나면  시스템 내부에 있는 암호화된 데이터를 빼낼 수 있게 되는 것입니다.

  EFF는 “해커가 메모리의 데이터를 좀 더 오래 유지하기 위해 액체질소를 이용한 냉각 스프레이 등을 이용해 메모리 칩을 ‘차게’ 유지할 수 있다”며 “영하 50도로 메모리의 온도를 낮출 경우 10분이 지나도 대부분의 데이터가 메모리에 유지되며 이 칩을 빼내 다른 컴퓨터에 끼울 수도 있다”고 덧붙였다고 합니다.

참조한 기사 원문 링크: << 파이낸셜 뉴스    >>