컴트루테크놀로지, 14일 개인정보보호 행사 개최
방화벽있어도 뚫린다…웹쉘 주의!
개인정보영향평가 잘 알아보고 대처해야
개인정보보호법의 9월 30일 시행을 앞두고 보안업체와 보안관련 기관들의 개인정보보호법 대응 관련 행사들이 줄을 잇고 있다. ‘개인정보보호법’이라는 키워드가 포함되지 않는 행사가 거의 없을 정도다. 14일 보안기업 컴트루테크놀로지가 ‘개인정보보호 및 내부정보유출방지 컨퍼런스’를 한국과학기술회관에서 열었다.방화벽있어도 뚫린다…웹쉘 주의!
개인정보영향평가 잘 알아보고 대처해야
300석 규모에 400여 명이 참석한 대박 행사였다. 박노현 컴트루테크놀로지 대표는 “경품도 없고 발표자료집도 없고 점심 식사도 제공하지 않는 행사에 이렇게 많이 와주신 것은 개인정보보호법에 대한 고객들의 니즈가 그만큼 강하기 때문”이라고 설명했다. 또 이 기업은 6월에만 자체 행사를 비롯해 두 언론사가 개최하는 개인정보보호법 관련 행사에 참가한다고 한다.
◇어떤 보안솔루션 도입해야 하나=박 대표는 발표자리에서 “구글이나 중국 바이두 사이트 등을 이용하면 아직도 한국인 주민등록번호를 어렵지 않게 찾아 낼 수 있다”며 실제 찾는 방법을 시연을 통해 보여줬다.
또 그는 “개인정보보호법은 개인정보를 보유하고 있지 말라는 법이다. 하지만 기업들이 고객정보를 활용할 수 밖에 없기 때문에 우리 기업에 개인정보가 얼마나 있고 조직내 누가 개인정보를 보유하고 있는지 명확하게 통제하고 관리해야 한다”고 말하고 “임시로 보유하고 있어야 하는 개인정보는 인증받은 제품으로 암호화해야 하며 사용이 끝나면 영구히 완전 삭제해야 한다. 기업들은 이 과정에서 필요한 보안제품들을 준비해야 한다”고 설명했다.
◇자나깨나 웹쉘 주의=이날 컨퍼런스에서는 관심을 끌만한 해킹시연도 준비했다. 싸이버원(구 인젠시큐리티) 모의해킹전문가는 “개인정보 관리자들은 항상 긴장해야 한다. 해커들은 우회공격 기법을 너무도 잘 알고 있고 이를 통해 하나의 웹서버에 침투하면 주변 모든 웹서버를 장악할 수 있다”며 “특히 중국 해커들은 웹쉘을 통한 공격을 주로 하기 때문에 웹쉘에 대한 대비를 철저히 해야 할 것”이라고 강조했다.
웹쉘에 대해 잠시 살펴보자. 웹쉘이란 원격에서 공격을 수행할 수 있도록 작성된 스크립트 파일이다. 악성해커가 웹쉘을 타깃 웹서버에 업로드를 성공하게 되면 그때부터 일이 커진다. 해커는 웹쉘을 이용해 웹서버에 명령을 실행하게 되고 이를 통해 관리자 권한을 획득한 후 웹 페이지 소스코드 열람, 서버내 개인정보 유출, 백도어 프로그램 설치 등 원하는 공격을 할 수 있게 된다. 이를 예방하기 위해서는 웹 서버의 파일 업로드 취약점을 제거하고 파일 업로드 폴더의 실행 제한과 SQL인젝션 방지에 노력해야 한다.
해킹 시연자는 직접 해커가 방화벽을 뚫고 내부에 침투하는 과정을 중국 해커들이 주로 사용하는간단한 웹쉘 툴을 사용해 보여줬다. 즉 방화벽이 보호하고 있다고 안심해서는 안된다는 것이다. 또 시연자는 “공개된 해킹툴이 너무 많기 때문에 크래커(악성 해커)들이 마음만 먹으면 쉽게 공격할 수 있다는 것은 이제 식상한 이야기다. 하지만 식상하지만 여전히 공격에 성공을 하고 있다는 것은 우리가 대비를 제대로 안하고 있기 때문”이라고 강조했다.
또 최근 중국 해커들이 OS운영체제의 취약점을 이용하기 보다는 PDF나 워드 파일의 취약점을 이용해 주로 공격한다는 것이다. 이 또한 시연을 통해 PDF 문서를 열어만 봐도 악성코드가 다운로드 되는 장면을 보여줬다. 이렇게 되면 소위 말해 좀비 PC가 되는 것이다. 따라서 윈도우 보안업데이트 뿐만 아니라 PDF나 워드파일에 대한 보안업데이트도 최신으로 유지하는 습관을 길러야 할 것으로 보인다.
◇개인정보영향평가란=이경호 시큐베이스 대표는 “개인정보 영향평가는 글로벌 제도다. 영향평가의 취지는 개인정보보호법 시행을 앞두고 개인 이용자들에게 불편을 주지 않으면서도 정보유출이 발생하지 않도록 미리 예방하자는 것”이라며 “우선 우리 기업이 영향평가 대상이 되는지 명확하게 인지해야 하고 실용적이고 효과적인 개인정보보호 방안을 사전에 마련하기 위해 지속적으로 영향평가를 받아야 한다”고 설명했다.
실제로 이번에 새롭게 개인정보보호법 준수 대상이 된 준용사업자들은 이를 제대로 이행하지 않을 경우 최고 3,000만원의 과태료부과와 분실, 도난, 유출, 변경 사고 발생시 2년 이하의 징역 또는 1,000만원 이하의 벌금이 부과될 수 있다. 수동적인 자세보다는 보다 적극적으로 개인정보보호법 준수를 위해 기업이 나서야 할 것으로 보인다. 영향평가 서비스에 대해 보다 자세한 정보는 관련 웹사이트(www.pisonline.co.kr)를 통해 알아보면 된다.
기업들은 얼마 남지 않은 개인정보보호법 시행에 맞춰 관련 보안솔루션 도입을 서둘러야 할 것이며 영향평가도 받아야 한다. 또 CPO도 내정해야 하고 보안팀을 구축해야 하는 기업도 생길 것이다. 하지만 가장 중요한 것은 경영진의 개인정보보호 의지일 것이다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지