검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'결혼정보업체'통합검색 결과 입니다. (2건)

영역
기간
- 3개월
- 1년
- 1년 이전

재검색

[방은주의 보안산책] 잇달은 보안 사고 왜?

개인정보보호위원회(위원장 고학수)가 지난 26일 개인정보보호 법규를 위반한 2개 사업자(비즈니스온커뮤니케이션과 엔에이치엔위투)에게 총 1억 9810만 원의 과징금 (비즈니스온 1억 3700만원, 엔에이치엔위투 6110만원)과 1230만 원의 과태료(비즈니스온 270만원, 엔에이치엔위투 960만원) 를 부과했습니다. 시정명령과 공표명령도 함께 내렸죠. 과징금과 과태료의 차이를 아시나요? 과징금은 법을 위반한 행위를 제제, 벌금을 물리는 겁니다. 반면 과태료는 주정차위반과 불법현수막 게시 같은 사회 질서를 지키지 않았을 때 내리는 행정상의 처분입니다. 특히 과징금은 불법 행위에 따른 이익 환수 목적도 포함돼 있어 액수가 과태료보다 훨씬 큽니다. 과징금을 받은 기업 비즈니스온커뮤니케이션은 온라인 전자세금계산서 서비스 '스마트빌'을 운영하고 있습니다. 해커의 에스큐엘(SQL) 인젝션 공격을 받아 회원정보 17만9386건이 유출됐죠. 엔에이치엔위투 역시 해커에게 SQL 인젝션(SQL Injection) 공격을 받았습니다. 이 회사는 패션 분야 오픈마켓 '가방팝'을 운영하고 있는데요, '가방팝' 쇼핑몰에 입점한 판매자를 위한 전산시스템이 SQL 인젝션 공격을 받아 53만4903건의 판매자 및 고객의 개인정보가 털렸습니다. 유출 정보 중에는 회원의 주민등록번호도 포함됐구요. AI분야에선 데이터를 석유라고 합니다. 그만큼 중요하죠. 하지만 데이터는 유출되면 독이 되기도 합니다. 그러니 고객 데이터는 더 신중히 '보호'해야겠죠. 두 회사를 해킹한 SQL 인젝션은 어떤 기술일까요? 최신 해킹 기술이 아닙니다. 비교적 오래된 기술입니다. 1990년대 후반 나왔습니다. 응용 프로그램의 보안 허점을 악용해 악의적인 SQL문을 실행하게 함으로써 데이터베이스(DB)를 비정상적으로 조작하는 코드 삽입(인젝션) 공격 방법이죠. 특수문자 몇 자로도 쉽게 해킹을 할 수 있는 쉬운기술이죠. 반면 큰 피해를 초래할 수 있어 정보보안 분야의 대표적 해킹으로 거론되곤 합니다. SQL은 Structured Query Language의 약어입니다. 우리말로 하면 구조화 질의어 정도 되죠. 관계형 데이터베이스관리시스템(RDBMS)에 저장한 정보를 관리하고 처리하기 위한 프로그래밍 언어입니다. RDBMS 분야 세계 1위 기업은 미국 오라클이고, 마이크로소프트(MS)도 세계적 강자죠. 두 회사가 당한 SQL 인젝션 공격은 앞으로 또 나올 가능성이 높습니다. 사업자(기업)들, 특히 톱레벨 경영자들이 앞으로 보안에 보다 큰 관심을 기울여야 예방할 수 있습니다. 개인정보위는 SQL 인젝션 공격을 예방하기 위한 방법도 제시했습니다. 한국인터넷진흥원(KISA)에서 제공하는 '소프트웨어 보안약점 진단 가이드라인'을 참고할 것을 권고했죠. 권고안에 따르면 첫째, 웹 애플리케이션 방화벽(WAF)을 도입하고 둘째, 데이터베이스(DB) 접근권한을 최소화하고, 셋째, 코드 검토, 보안 취약성 스캔, 및 실제 시스템에 대한 모의해킹을 통해 보안 취약점을 식별하고 강화할 것을 주문하고 있습니다. WAF 솔루션 도입 외 나머지는 상식 수준입니다. 상식이 통하지 않은 거죠. 지난 한 주에도 공공과 민간기업에서 개인정보가 외부로 무단 유출되는 보안 사고들이 터졌습니다. 편의점·홈쇼핑 등을 거느린 대형 유통회사 GS리테일의 홈쇼핑 업체 GS샵에서 고객 개인정보 약 158만건이 유출되는 사고가 발생했고, 회원 수 3만명이 넘는 결혼정보업체 듀오도 해킹 당해 다량의 회원 개인정보가 빼돌려졌습니다. 한국지능정보사회진흥원(NIA)도 지난달 27일 자체 감사 결과 자문위원 등 6500여명의 개인정보가 외부로 무단 유출됐다고 자사 홈페이지에 고시했구요. 왜 이런 보안 사고가 잇달을까요? 디지털 시대의 가장 큰 무기는 정보입니다. 가장 큰 취약점이 되기도 하죠. 보안은 한 순간의 선택이 아니라 평생의 습관이라는 말이 있습니다. 비밀번호는 칫솔과 같다, 다른 사람과 공유하지 말고 자주 바꿔라는 말도 있구요. 소비자들 입장에선 이들 말을 실천한다는게 여간 번거러운게 아닙니다. 그래도 해야 합니다. 안전한 보안을 위해서죠. 하나를 얻으면 하나를 잃는게 세상사고, 이게 상식이죠. 개인 각자가 보안에 노력을 기울이는 것과 함께 기업도 고객 정보 관리에 보다 만전을 기해야 합니다. 이 역시 상식입니다. 보안이 상식이 되는 날, 대한민국의 보안 수준은 몇 단계 더 점프해 있을 겁니다.

2025.03.03 21:04방은주

"이렇게 하면 털린다"···GS리테일·듀오 해킹 사건 보니

최근 편의점·홈쇼핑 등을 거느린 대형 유통회사 GS리테일의 홈쇼핑 업체 GS샵에서 고객 개인정보 약 158만건이 유출되는 사고가 발생했다. 이보다 며칠 앞서 회원 수 3만명이 넘는 결혼정보업체 듀오에서도 해킹으로 회원 개인정보가 유출됐다. 유출 규모는 파악되지 않았지만, 업계 특성상 다양한 개인정보를 지니고 있을 것으로 추정된다. 잇달은 개인정보 유출과 해킹에 대해 1일 정보보호(보안) 전문가들은 "계정 비밀번호를 자주 바꾸는 한편 아이디·비밀번호 말고도 문자메시지(SMS)나 이중 인증 앱으로 한 번 더 까다롭게 해야 피해를 막을 수 있다"고 조언한다. GS샵의 경우, 지난해 6월 21일부터 이달 13일까지 웹사이트 해킹 공격으로 고객 개인정보가 유출된 정황을 확인했다고 회사는 밝혔다. 홈쇼핑 웹사이트를 통해 유출됐다고 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 총 10개 항목이다. 각자 입력한 정보에 따라 일부는 포함되지 않았을 수도 있고, 멤버십 포인트와 결제 수단 등 금융 정보는 유출되지 않았다. 특히 GS샵 해킹은 앞서 지난달 편의점 GS25를 통해 GS리테일 회원 9만여명의 개인정보 유출이 드러난 지 한 달여 만에 추가로 확인, 사태 심각성을 더 했다. GS리테일의 경우 지난해 12월 27일부터 지난달 4일까지 웹사이트 해킹 공격으로 이름, 성별, 생년월일, 주소, 연락처, 아이디, 이메일 등 7개 항목이 유출됐다. GS리테일의 경우 개인정보위원회 조사를 거쳐 추후 과징금 규모 등이 결정될 예정인데, 개인정보보호법에 따르면 같은 위반 행위 재발 시 가중 조항이 있다. 이정은 개인정보위 조사2과장은 "GS리테일의 경우가 가중에 해당하는 지는 조사해봐야 한다"고 말했다. GS리테일은 고객 정보 유출과 관련, 사실 인지 후 해킹을 시도한 인터넷프로토콜(IP)과 공격 패턴을 차단하고, GS홈쇼핑 사이트 계정에 로그인할 수 없게 잠금 처리했다. 또 최고 경영진이 참여하는 정보보호대책위원회를 꾸리겠다고 약속하는 한편 최신 정보보호 기술을 도입하고 보안 인력을 늘리겠다고 밝혔다. 듀오의 경우, 지난달 설 연휴 해킹 사고로 일부 고객의 개인정보가 유출됐음을 알아챘고, 유출 경위와 규모를 파악하고 있다. 듀오 회원은 3만5천340명이다. 결혼정보회사인 만큼 회원 ▲이름 ▲연락처 ▲주소 말고도 ▲소득 ▲자산 ▲가족 사항 등을 저장하고 있었을 가능성이 크다. 듀오는 홈페이지에 사과문을 올리고 전문 기관 도움을 받아 기술 조치를 취했다고 밝혔다. 또 주요 개인정보를 암호화해 보관하고 있었다며, 고객에게 안심하라고 일렀다. 이어 비슷한 사고가 다시 일어나지 않게 보안 상태와 시스템 취약점을 점검해 개선하겠다고 밝혔다. GS리테일은 해킹 기법 중 하나인 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받았고, 듀오의 경우 해킹 기법이 알려지지 않았다. 보안 분야에서 25년 이상 일하고 있는 윤두식 이로운앤컴퍼니 대표는 두 회사 해킹에 대해 “아직 직접적인 원인이 밝혀지지 않은 상황이라 함부로 판단하기 어렵다”면서도 “듀오는 시스템이 해킹돼 개인정보가 유출됐을 가능성이 있다”고 말했다. 이로운앤컴퍼니는 인공지능(AI) 보안 수준을 높이는 서비스를 제공하는 회사다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “GS리테일이 다른 사이트에서 유출된 아이디와 비밀번호를 이용하는 크리덴셜 스터핑 공격을 받은 것 같다”며 “해커는 보안이 취약한 사이트의 아이디와 비밀번호로 다른 사이트를 로그인하는 데 쓴다”고 설명했다. 크리덴셜 스터핑은 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 것을 노린 해킹 기법이다. 보안 전문가들은 "매우 단순한 공격 방식이지만 해킹 효과가 커 해커들이 자주 사용하는 방법"이라고 전한다. 공격자는 다크웹에서 계정 정보를 많이 확보한 뒤 반복해 대입을 시도한다. 다른 사이트에서 이미 흘러 나간 아이디와 비밀번호가 악용된 만큼 비밀번호에만 의존해서는 위험하다고 전문가들은 지적했다. 염 교수는 “피싱·파밍 공격을 막을 수 있는 패스워드리스(Passwordless) 방식과 2개 이상 인증 요소를 동시에 사용하는 게 필요하다”며 “예를 들어 아이디·비밀번호와 문자메시지 인증을 동시에 적용하는 것”이라고 설명했다. 윤 대표도 “이중 인증을 지원하는 사이트에서는 반드시 이중 인증을 활성화해야 한다. 이 경우 해커가 내 아이디와 비밀번호로 로그인을 시도하더라도 이중 인증을 못해 정보를 빼낼 수 없다”고 밝혔다. 이어 “기업은 이중 인증을 도입하는 한편 이상 로그인 시도나 비정상적인 접근을 실시간으로 감지하고 대응하는 시스템을 구축해야 한다”며 “정기적으로 교육해 직원의 보안 의식을 높이고 사회공학적인 해킹 기법에 대비하는 능력을 키워야 한다”고 덧붙였다. 전문가들은 "원론적이지만 사용자는 번거롭더라도 사이트마다 비밀번호를 다르게 정하고, 주기적으로 비밀번호를 바꾸는 게 좋다"고 이구동성으로 지적하며 "IP 보안이나 2차 비밀번호 등의 보안 정책을 도입할 것을 기업에 권고하고 있지만, 사용자의 편리성 등 때문에 잘 안 이뤄지고 있다"고 짚었다. 실제 크리덴셜 스터핑을 예방하려면 비밀번호는 최소 8자리 이상으로, 또 영어와 특수문자, 숫자 등 3종류 이상 조합으로 만드는 게 좋다. 여기에 나만의 비밀번호 작성 규칙을 만들고 오랫동안 방문하지 않은 사이트는 탈퇴해야 한다. 듀오는 피해를 방지하기 위해 발신자를 알 수 없는 이메일이나 메시지 링크를 열지 말고 지우는 한편 로그인 비밀번호를 바꾸라고 고객에게 권했다. GS리테일도 비밀번호를 변경하라고 당부했다. 개인통관고유부호 유출이 의심되면 관세청 개인통관고유부호 발급 사이트에서 개인통관고유부호 사용 정지를 요청하거나 재발급 받을 수 있다고 안내했다. 관세청 홈페이지에 도용 신고할 수도 있다. 개인정보가 유출돼 손해 입었다면 개인정보분쟁조정위원회에 분쟁 조정을 신청할 수 있다.

2025.03.01 13:24유혜진