최근 '네이트 해킹' 등과 같은 개인정보 유출사건이 잇따라 발생하면서 개인정보 보안에 대한 중요성이 대두되고 있다.

특히, 소셜네트워크가 발달하면서 사람들 사이에 정보가 더 빠르게 공유되고 노출되기 때문에 사건·사고의 파급력 또한 높아지고 있다.

이러한 추세에 따라 개인정보를 취급하는 기업들에게는 보안 기술은 물론 법에 대해 적절히 대응하는 것이 중요한 기준이 되고 있다.

기업에게 있어서 개인정보 유출사고는 기업 이미지를 실추시키고, 피해자들의 공동소송으로 이어지는 등 장기적 피해를 발생시키기 때문이다.

안철수연구소는 지난 20일 ISF2011 융합보안전략 세미나를 통해 기업의 법적 보안 대응안에 대해 설명하는 시간을 가졌다.

발표를 맡은 관리컨설팅팀 이장우 이사는 "각종 해킹 위험으로부터 안전한 웹 사이트가 한 곳도 없다"며 "보안 장비를 들여와도 완벽히 세팅해 운영하고 있는 기업이 드물다"고 개인정보 보안 현황에 대해 일침을 가했다.

이장우 이사는 먼저 개인정보 유출 사고의 유형으로 세 가지를 꼽았다.

첫째, 공개된 서비스를 통해 개인정보가 빠져나가는 경우다.

해커가 기업 통합 데이터 서버나 클라우드 서버를 신종 해킹 형태인 APT(Advanced Persistent Threat, 지능형 타깃 위협)처럼 일반적인 보안 시스템에 걸리지 않는 공격으로 장악해 정보를 빼낸다.

둘째, 파일 업로드의 취약점을 이용한 웹쉘 업로드 사례다. 공용 서버에 파일을 업로드할 때, 바이러스 및 악성코드에 대한 검사 체계가 미비하거나 시스템 제한 체계가 허술한 경우에 쓰인다.

셋째, 관리자 페이지에 대한 보안이 미흡하거나 공용 계정을 이용하는 경우로 인해 발생하는 피해다. 이장우 이사는 "심지어 계정 로그인도 없는 관리자 페이지가 허다하다"고 지적했다.

위 사례는 모두 내부인을 통한 정보 유실이라는 공통점을 가졌다. 첫 번째 사례에서 APT의 대상이 되는 것은 중요 정보를 가진 내부인이고, 두 번째와 세 번째에 역시 내부인이 이용하는 경우이기 때문이다.

↑ 정보 노출의 비중이 가장 높다.

따라서 나름대로 최선을 다한 보안 기술을 적용했더라도, 만에 하나를 대비해 법적 요건을 충족하고 있는지 알아봐야 한다.

법에서 요구하는 기본적인 보안 처리는 ▲보안 프로그램 사용 ▲비밀번호 일방향 암호화 ▲고유식별번호 암호화 ▲비권한자 공개 및 유출 방지 ▲접근 통제 시스템 설치 및 운영 등이다.

특히, 외부에서 관리 시스템에 접근할 때는 VPN 전용선을 사용하거나 취급자 및 접속기록을 6개월 이상 보관하는 것이 좋다. 공격자의 침입 루트를 알아내기 위한 단서가 되기 때문.

이밖에 개인정보 취급 담당자는 공유 계정을 사용해서는 안되며 PC에 개인정보파일을 보관을 최소화하는 등 노력을 기울여야 한다. 정보가 포함된 자료를 폐기할 때도 주의해야 한다.

↑ 중요 개인정보가 담긴 서류가 고물상에 버려져 있다.

끝으로 이장우 이사는 "최신 보안 장비를 들여오기 전에 우리 회사의 어떤 부분이 보안을 필요로 하는지 100% 파악하는 것이 중요하다"고 말했다.

[이현 기자 talysa@chosun.com] [game.chosun.com]

◆ 아이온 두번째 3.0 PvP정보유출... 호법성VS검성 영상
◆ 한게임, 위닝과 KUF2 등 대형 타이틀로 지스타에 공략
◆ 게임 카테고리 재개방 임박 "구글 마켓 10월중 열린다"
◆ 디아블로3 한글판 스킬계산기와 최신 뉴스 모았다

※ 도전하세요. Web APP Programming 개발자 과정 교육생 모집

ⓒ기사의 저작권은 게임조선에 있습니다. 허락없이 무단으로 기사 내용 전제 및 다운로드 링크배포를 금지합니다.