▲세계 UTM벤더 매출 랭킹 탑10 (단위: 100만 달러), 출처: 가트너 2012 세계 UTM 시장점유율 보고서

Posted by secu153

댓글을 달아 주세요

 

개인정보보호책임자는 무엇을 해야 하나?

개인정보보호책임자는 개인정보보호법에 명시된 다음과 같은 임무수행을 통해 기관이나 기업의 개인정보처리 전반에 대한 감독과 관리를 책임진다.


1. 개인정보보호 계획의 수립과 시행

갈수록 다양화되고 지능화되는 해킹사고를 막기 위해서는 침해예방을 위한 정책도 보다 체계적으로 수행되어야 한다. 전사적인 개인정보보호 계획을 수립하여 시행하는 것은 체계적인 침해예방을 위한 가장 중요한 업무로 볼 수 있다. 개인정보보호 계획은 개인정보 취급자들의 자격과 권한, 업무처리절차, 보호조치 강화대책, 관리감독 및 교육 등을 포함하는 여러 가지 문서로 수립될 수 있다. 중앙부처에서는 개인정보보호 기본계획과 시행계획을 수립·시행해야 하며, 그 외의 기관이나 기업들도 내부관리계획, 개인정보처리방침, 개인정보취급자에 대한 교육계획 등을 수립·시행해야 한다.


특히, 내부관리계획은 개인정보를 안전하게 관리하고 처리하기 위한 각종 보호조치와 업무처리절차를 이행하기 위한 계획으로 상시근무자 5인 이상의 모든 기업에서 의무적으로 수립·시행해야 한다. 아울러 보유하고 있는 개인정보파일에 대한 처리목적, 항목, 보유기간, 처리방법 등을 정의한 개인정보처리방침도 반드시 수립·공개해야 하는 의무사항이다.


2. 개인정보 처리실태 조사 및 관리감독

개인정보를 이용하는 다양한 서비스들이 계속 개발·확산되고 있기 때문에 기관이나 기업에서 개인정보를 취급하는 부서나 담당자의 수와 역할도 점차 확대되고 있다. 이에 따라 개인정보보호책임자의 책임범위도 고객부서나 정보보호부서 뿐 아니라 전사적인 차원에서 모든 직원들을 관리·감독해야 하는 수준으로 확대됐다.


개인정보 취급자들이 정당한 절차 없이 개인정보를 열람하거나 임의로 개인 PC에 저장하여 다른 목적에 이용하는 것은 중요한 침해행위에 해당되므로 이를 예방하기 위해 개인정보보호책임자가 정기적으로 업무처리 실태를 점검하고 개인 PC에 저장된 자료들도 검사해야 한다. 또한, 개인정보를 삭제하는데 소극적인 기존의 관행을 개선하여 처리목적이 달성된 개인정보를 즉시 삭제하도록 개선하는 것도 개인정보보호책임자가 중점을 두어 관리해야 할 사항이다.


3. 개인정보 침해예방 및 민원처리

개인정보보호책임자는 개인정보가 유출되거나 오남용되지 않도록 내부통제 시스템을 갖추어야 한다. 내부 직원에 의한 개인정보 유출이나 목적외 이용은 개인정보 침해신고센터로 접수되는 대표적인 침해유형으로 이를 방지하기 위해서는 개인정보보호책임자가 취급자별로 권한을 제한하고 열람기록에 대한 정기적인 감사를 통해 불법적인 개인정보 열람을 방지해야 한다. 이외에도 개인정보처리시스템의 보호를 위해 방화벽, 백신, 접근통제 시스템을 구축하고 취급자별 시스템 접근 기록을 6개월 이상 보존하는 등 기술적인 조치도 점검해야 할 사항이다.


개인정보보호책임자에게는 침해예방뿐 아니라 정보주체의 권리를 보장하고 구제하는 책임도 부여되어 있다. 우선 정보주체의 열람·정정·삭제·처리정지 등의 요구를 이행하기 위해 담당자를 지정하고 관련서식 및 업무처리절차를 정립하는 등의 조치를 마련해야 한다. 또한, 개인정보보호법 시행으로 유출사고가 발생했음을 인지하면 2차 피해가 발생하지 않도록 즉시 정보주체에게 메일이나 전화 등으로 고지해야 하며, 1만건 이상의 정보가 유출되었을 때는 행정안전부나 전문기관에 신고도 해야 한다.


이렇게 침해사고가 발생했을 때 의무적으로 조치해야 할 사항들을 법에서 정한 기한 내에 이행하기 위해서는 개인정보보호책임자가 주관하여 침해대응절차를 마련하고 담당자들에 대한 교육을 실시할 필요가 있다.


지금까지 살펴본 개인정보보호책임자의 역할 중에서도 현장에서 특히 중점을 두고 확인해야 할 사항들을 뽑아보면 다음과 같다. 먼저, 조직 내에서 주민등록번호를 수집하여 처리하는 업무들에 대한 분석과 개인정보 수집서식의 검토를 통해 주민등록번호의 이용을 제한하고 개인정보의 수집을 최소한으로 줄여가는 노력을 계속해야 한다. 둘째, CCTV를 통해 촬영되는 영상정보도 개인정보이므로 CCTV의 설치목적을 점검하고 영상정보의 열람·보관에 대한 관리감독도 철저히 해야 한다.


마지막으로 개인정보 처리를 위탁하여 운영하는 과정에서 개인정보 침해가 발생할 경우 판례에 의해 수탁 받은 회사를 위탁한 회사의 개인정보 취급자로 보고 있으므로 위탁회사에 대한 관리감독을 강화해야 한다. 개인정보를 외부업체에 위탁할 때는 계약서에 처리절차와 책임을 명시하고 위탁업체 담당자에 대한 충분한 교육을 실시해야 하며, 위탁사실을 홈페이지 등을 통해 정보주체에게 알리는 것도 누락되지 않도록 주의해야 한다.


충분한 역량과 의지를 갖춘 사람을 개인정보보호책임자로 임명해야

개인정보보호책임자의 역할과 책임이 강화되고 중요해진 만큼 충분한 역량과 자세를 갖춘 사람을 개인정보보호책임자로 임명하는 것도 중요해졌다.


그동안은 개인정보보호책임자가 책임만 있는 형식적인 역할로 인식되어 기업의 임원들 간에 개인정보보호책임자가 되지 않기 위해 서로 미루는 모습을 보이기도 했다. 그러나 개인정보 유출이 발생한 기업들의 예에서 보면 개인정보보호가 기업의 이미지는 물론 경영성과에까지 영향을 미치고 있기 때문에 이제 개인정보보호책임자는 기업의 가장 중요한 역할을 수행하는 자리가 되었다.


이러한 개인정보보호책임자에게 필요한 역량으로 먼저 전사적인 개인정보보호 계획을 수립하여 추진할 수 있는 충분한 지식과 소양을 들 수 있다. 정보주체에 대한 권리를 우선시하는 개인정보보호의 취지와 원칙, 개인정보보호 관련법령의 주요내용, 조직 내의 개인정보 처리업무 현황, 조직의 업무 수행에 필요한 법률지식 등에 대한 소양과 잘못된 부분을 찾아내 개선할 수 있는 역량을 갖추어야 한다.


개인정보보호책임자에게 추가로 필요한 것은 조직의 개인정보보호 수준을 향상시키고자 하는 적극적인 자세와 의지다. 흔히 개인정보보호가 특정 시스템을 도입하거나 서식을 만드는 등의 조치만으로 완성된다고 오해하는 경우가 많다. 그러나 조직 내의 모든 개인정보 취급자들의 업무처리 형태를 분석하고 잘못된 관행을 개선하면서 다양화되고 전문화되는 해킹기술에 대응하여 각종 보호조치를 취하는 것은 여간 어려운 문제가 아니다. 이 때문에 개인정보보호책임자의 적극적인 관리감독과 전반적으로 보호 수준을 높여가겠다는 의지가 있어야만 현장에서 개인정보보호가 정착될 수 있다.


개인정보보호는 조직의 가장 큰 리스크를 관리하는 필수활동

대부분의 공공기관과 기업들이 고객을 가장 중요한 가치로 정의하고 고객만족을 위한 노력을 기울이고 있다. 특히, 고객들이 믿고 맡긴 개인정보를 안전하게 관리하는 것은 기업의 기본 책무이다.

개인정보보호가 제대로 이루어지지 않는다면 고객에 대한 기본 신뢰가 무너지는 것이고 조직 경영의 큰 리스크가 된다. 관리자가 가져야할 기본 책무로 리스크 매니지먼트를 꼽는다. 각각의 업무 프로세스, 비즈니스 서비스 단계별로 조직에서 고객 신뢰를 잃고 경영위기를 초래하는 리스크가 무엇인지 챙기는 노력이 절실하다.


그런 의미에서 개인정보보호는 조직의 가장 큰 리스크를 관리하는 중요한 활동으로 조직 경영의 필수요소라고 할 수 있다. 개인정보보호책임자는 조직에서 가장 필수적인 경영전략을 책임지고 있음을 스스로 인식하여 법에 의해 부여된 역할을 차질 없이 수행하고 조직의 개인정보보호 수준 향상을 위한 적극적인 노력을 기울여야 한다.


개인정보를 처리하는 공공기관과 사업자는 개인정보보호책임자의 역할을 존중하고 전사적인 개인정보보호 활동이 이루어질 수 있도록 지원을 아끼지 않아야 한다. 이와 함께 개인정보보호책임자들이 맡은 바 책임을 다함으로써 개인정보보호 문화의 확산과 개인정보보호법의 조기 정착이 이루어질 수 있을 것으로 기대한다.

Posted by secu153

댓글을 달아 주세요

국제정보보안센터 발견해 보고서 전달...최신 버전 업데이트 필요!    

[보안뉴스 호애진] 국내 유명 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard)에서 XSS 취약점이 발견돼 사용자의 주의가 요구된다.


국제정보보안센터가 발견한 이 취약점은 해당 애플리케이션에 적용된 보안 필터링을 역이용해 XSS 공격을 할 수 있는 것으로 알려졌다.  

 

▲취약한 필터링 소스

 

취약 버전의 그누보드에서 쓰이는 보안 소스에서 게시물에 입력된 내용에서는 preg_replace 함수를 통해 “< (공백) xml” 문자열이 있을 경우 공백으로 치환하는 기능을 하고 있다.


▲스크립트 삽입의 예

 

해당 문자열의 검사는 중요 보안 필터링에 대한 동작 이후에 실행이 돼 이외의 중요 보안 필터링에 대해 우회가 가능한 것으로 확인됐다.

▲스크립트 동작

이번 취약점을 발견한 국제정보보안교육센터(i2sec) 강우석씨는 “필터링 보안정책의 경우 항상 우회를 염두에 두고, 적절한 검토를 통해 적용해야 한다”고  강조하면서 “이와 같이 XSS 공격이 가능할 경우 바이러스 유포, CSRF 공격, 쿠키 하이재킹 등으로 악용될 수 있기 때문에 사용자들은 보안 패치를 항상 최신 버전으로 업데이트를 하는 것이 중요하다”고 당부했다.

취약점이 발견된 버전은 4.36.00이며, 그누보드 측은 국제정보보안교육센터에서 보고서를 전달받은 뒤 취약점이 보안 패치된 4.36.01 버전을 배포중이라고 밝혔다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

Posted by secu153

댓글을 달아 주세요

잉카인터넷, 2012년 상반기 보안이슈 결산 및 TOP10 선정


[보안뉴스 호애진] 올 상반기에는 온라인게임 계정 탈취 목적의 악성파일이 기승을 부린 것으로 나타났다. 또 지능형지속위협(APT: Advanced Persistant Threat) 공격이 지속적으로 발견됐다.


잉카인터넷(대표 주영흠)은 ISARC 대응팀을 통해 2012년 상반기 보안이슈 결산 및 TOP10을 선정해 4일 발표했다.


선정된 10대 보안 이슈는 △온라인게임 계정 탈취 악성파일 기승 △APT 공격 지속적 발견 △안드로이드 기반 악성파일 국내 자료실에서 유포 △SNS를 이용한 악성파일 지속적 유포 △HWP 문서 취약점 증가 △인터넷 뱅킹 사용자 대상 보안위협 다수 발생 △북한 핵실험 및 핵안보 정상회의와 관련된 정치적 악성파일 등장 등이다.


이번 보고서 발간은 2012년 상반기에 출현했던 대표적인 보안 위협들을 되짚어보고, 하반기에 출현 가능한 위협 요소들을 예측해 사전에 대처할 수 있는 기초 자료로 활용하는데 그 취지가 있으며, 각계 보안의식 제고에 대한 공감대 형성을 이루는데 그 주 목적이 있다고 잉카인터넷 측은 설명했다.  


한편, 잉카인터넷은 올 하반기에도 사회공학적 기법과 취약점 관련 악성파일이 기승을 부릴 것으로 예상했다. 또 악의적 목적을 가지는 스마트 기기용 애플리케이션 등장 이외에도 SNS를 매개체로 한 악성파일 유포가 다양한 기법으로 출현할 수 있을 것으로 보고 있다.


이와 함께 DDoS 공격이나 유명 온라인 게임 계정 탈취를 위한 특정 악성파일 유포 기법이 지속적으로 출현하고, 국가기관이나 기업, 특정 인물들을 타깃으로 하는 APT 공격이 보다 고도화, 지능화돼 발생할 것으로 전망했다.


문종현 잉카인터넷 ISARC 대응팀 팀장은 “개인 및 단체, 기관, 기업 담당자들은 각종 취약점에 대한 검토를 진행해야 하며, 이러한 위협에 대비하기 위한 메뉴얼을 수립하는 등 세부적인 보안의식 함양 노력이 필요하다”면서 “특히, 내부 직원의 보안 교육을 강화해 외부로부터의 은밀한 공격에 쉽게 노출됨으로써 기업 내부의 중요 정보가 외부로 유출되는 사고가 발생되지 않도록 하는 대비가 요구된다”고 강조했다.


2012년 상반기 보안이슈 결산 및 TOP10


1. 온라인게임 계정 탈취 목적의 악성파일 기승

유명 온라인 게임 사용자들의 개인정보(아이디, 암호 등)를 불법적으로 탈취한 후 해당 정보를 도용해 금전적인 수익을 챙기는 사이버 범죄가 끊이지 않고 있으며, 이 과정에서 윈도우 운영체제의 정상 시스템파일을 변조 또는 악성파일로 교체하는 악성파일 유포가 연일 기승을 부리고 있다.


2012년 상반기 중에는 ws2help.dll, version.dll 등 각종 윈도우 운영체제의 정상 시스템파일을 변조(Patched/Forwarded) 또는 악성파일로 교체해 일반인들이나 안티바이러스 제품들이 치료하기 불편하게 방해하는 기법도 꾸준히 성행하고 있다.

 

▲윈도우 운영체제 정상 시스템파일을 변조 또는 악성파일로 교체

 

2. 지능형지속위협(APT: Advanced Persistent Threat) 공격 지속적 발견

일본 국토교통부 산하 국토지리원을 표적으로 한 공격, 3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 등 지능화된 표적 공격이 지속적으로 발견되고 있다. 지능형지속위협(APT: Advanced Persistent Threat)은 감염 사실을 인지하기가 어렵고, 해당 기관이나 기업이 공식적인 피해 사실을 파악해 공개하는 경우는 매우 희박하기 때문에 공격자로 하여금 꾸준한 공격 가능 환경을 제공하고 있는 상황이기도 하다.

 

▲APT 공격 순서

 

3. 안드로이드 기반 악성파일 국내 자료실에서 유포

스마트폰 사용자를 대상으로 한 안드로이드 기반 악성파일이 계속적으로 발견되고 있는 가운데, 2012년 상반기에는 국내 유명 공개자료실에서 개인정보 유출 시도형 안드로이드 기반 악성파일이 배포되고 있는 것이 발견됐다.


안드로이드 기반 악성파일은 대체로 중국, 러시아, 일본 등의 블랙마켓 등에서 무단 배포되는 안드로이드 악성파일이 주류를 이루고 있었으나, 국내 유명 공개 자료실에서 발견된 사례는 최초라고 할 수 있다.


nProtect Mobile for Android 제품에는 2012년 01월부터 06월까지 상반기 동안만 약 9,700여개의 새로운 안드로이드 기반 악성파일의 진단/치료 기능을 추가한 상태다. 이는 2011년 한해 동안 업데이트 된 약 4,000여개의 두배 이상으로 증가한 수치다.


4. 소셜네트워크서비스(SNS)를 이용한 악성파일 지속적 유포

전세계적으로 트위터(Twitter), 페이스북(Facebook) 이용자가 꾸준히 증가 유지되고, 스마트폰 활성화 등과 연계돼 악성파일 유포자들은 이를 역이용한 유포수법을 비례적으로 끈질기게 악용하고 있다.


트위터, 페이스북 친구 요청 이메일로 사칭해 악성파일에 감염되도록 유혹하기도 하며, 단축URL 주소 서비스를 이용해 악의적인 웹사이트로 연결을 유도하거나, 페이스북의 채팅창을 통해서 자동으로 악의적 URL 주소를 클릭하게 만드는 등의 사례가 다수 발견됐다.


5. 한글 사용자를 주요 위협 대상으로 삼고 있는 HWP 문서 취약점 증가

2012년 상반기 중에도 다수의 HWP 문서 취약점을 악용한 악성파일이 발견돼 HWP를 이용하고 있는 사용자들에게 새로운 위협요소로 작용했다.


근래에는 국내 유명기업이나 정부기관, 정치권 등을 겨냥하는 지능형지속위협(APT) 공격에 특화화 된 HWP 문서 취약점을 은밀하게 악용하고 있기 때문에 HWP 문서를 사용하는 기업이나 기관의 경우 이러한 악성파일에 각별한 주의가 필요하다.


6. 인터넷 뱅킹 사용자를 위협대상으로 삼는 보안위협 다수 발생

2012년 상반기는 보이스 피싱이 한 단계 진화한 문자(SMS) 피싱이 극성을 부렸으며, 이후 문자 피싱은 악성파일과 추가 결합한 형태로 또 다시 발전을 거듭하고 있다.

 

특히, ‘보안승급서비스’라는 문자(SMS)를 보내 사용자들을 현혹해 인터넷뱅킹에 필요한 대부분의 개인정보를 사용자 스스로 직접 입력하도록 유도하는 형태도 다수 발견됐고, 악성파일 배포에 해킹과 정상프로그램 변조 등 고도화된 기법이 복합적으로 사용돼 이슈화 됐다.


7. 북한 핵실험 및 핵안보 정상회의와 관련된 정치적 악성파일 등장

북한의 광명성 3호 발사와 3차 핵실험 강행 위협 등 국재 안보 정세에 다소 위협적인 북한의 입장 표명을 이용하는 사회적으로 이슈화 되고 있는 내용들을 통해서 악성파일이 유포되는 사례가 발견됐다.


북한과 관련된 키워드나 특정 문구 등을 이용해서 인터넷 사용자들을 현혹시켜 악성파일에 감염되도록 만드는 수법은 예전부터 꾸준히 사용되고 있으므로, 유사한 내용에 각별히 주의하는 노력이 필요하다.


8. 성인동영상과 함께 유포되는 악성파일 변종 출현

신종 악성파일 유포를 국지적으로 보다 쉽고 빨리 진행하기 위한 방식이 다각적으로 시도됐는데, 그 중 2012년 상반기에는 성인동영상을 통한 악성파일 유포가 특징이라 말할 수 있다.


악성파일 유포자는 다운로드 증가를 유도하기 위해 조회수가 상대적으로 많은 음란 성인동영상에 악성파일을 교묘하게 포함시켜 유포하고 있으며, 사용자가 해당 대용량 파일을 다운로드하고 실행 시 성인용 동영상파일이 별도로 생성되고 재생도 정상적으로 가능하도록 조작해 만들었다.


9. 정상프로그램을 불법 해킹/변조한 피해 증가

웹 사이트에서 배포되는 정상 동영상 플레이어 설치파일이나 각종 애플리케이션을 불법적으로 해킹, 변조해 악성파일을 배포하는 행동도 포착된 바 있다.


악성파일 자체를 정상파일처럼 보이도록 조작하는 방식이 대부분이었으나, 실제 정상 프로그램을 위변조해 악성파일이 함께 설치되도록 하는 경우는 매우 드문 경우였다.

 

▲정상설치프로그램과 위변조된 악성설치프로그램

 

10. 사회기반시설을 표적으로 삼는 악성파일 변종 플레임(Flame) 

특정 국가의 사회기반시실(발전소, 교통 등)의 정상적인 사용을 방해하고 국가 내부 중요시설 정보를 은밀히 수집하기 위한 목적 등으로 개발된 스턱스넷(Stuxnet), 듀큐(Duqu)의 또 다른 변종인 플레임(Flame)이라는 악성파일이 발견됐다.


해당 악성파일은 2010년 이전부터 활동한 것으로 추정되며, 컴퓨터 화면 기록, 특정대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화내용 녹취 등 각종 기밀 정보를 탈취하도록 설계돼 있다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

Posted by secu153

댓글을 달아 주세요