.gif)
해커, 개인정보를 가치 있는 정보로 가공하고 만들어 악위적인 용도로 활용 및 거래
개인정보 위탁 등 대상기업에 대한 보안성 고려, Context와 Sequence 분석 필요
암호화된 개인정보도 풀릴 수 있어...2차 공격 시나리오 공지하고 비밀번호 강제화해야
[보안뉴스 기획취재팀] “문자 발신용 개인정보 1건당 가치는 40원입니다. 하지만 ‘실직한 세 아이의 아빠, 최근 대출심사에서 떨어져 2억 원의 급전이 필요한 A씨의 정보’는 순식간에 5백만원 이상의 가치로 높아집니다. 한 사람의 경제적 환경, 그 사람의 상황 등 아이덴티티가 쌓여지는 순간 개인정보의 가치는 확연히 달라지게 됩니다.”
▲스틸리언 신동휘 CTO가 2일 ‘PIS FAIR 2022’에서 해커조직의 개인정보 탈취수법과 피해사례에 대해 설명하고 있다[사진=보안뉴스]
스틸리언 신동휘 CTO는 2일 개최된 ‘PIS FAIR 2022’에서 개인정보의 가치가 어떻게 달라지는지 설명하며 공격자가 왜 개인정보를 노리는지, 그리고 이를 어떻게 인식하고 대응해야 하는지에 대해 강연했다.
과거에는 공격자가 1개의 정보를 탈취하는 것으로 끝났지만 이제는 가치 있는 정보로 가공하거나 만들어 악의적인 용도로 활용한다. 이제는 개인정보가 단순히 노출에서 끝나는 게 아니라 개인정보를 사고 파는 시장이 형성돼 있고, 개인정보를 잘 관리하고 있는지 여부와 상관없이 내 개인정보가 누군가에 의해 활용 및 거래되고 있다는 게 신 CTO의 설명이다.
특히, 구글과 페이스북 등 SNS 계정은 쉽게 다른 서비스를 이용할 수 있는 환경으로 구성돼 있는 만큼 공격자가 눈독을 들이는 곳이다. SNS는 한 개인이 누구와 친한지, 어떤 환경인지, 어떤 삶을 살고 있는지 등 한 사람의 개인정보가 모아져 있기 때문이다.
신동휘 CTO는 “공격자는 특정 시나리오와 철저한 계획 하에 준비하고 공격하는 게 아니라 단순히 공격자의 눈에 빨리 보이는 것, 빨리 개인정보를 탈취할 수 있는 곳을 노린다. 여기 갔더니 이런 정보가 있네, 여기 가야지 등 가기에 좋고 편한 길을 따라 개인정보를 탈취한다. 그들은 공격 계획보단 이득을 취하기 위한 목적에 따라 행동할 뿐”이라고 분석했다. 즉, 공격자에게 중요한 것은 정보일 뿐, 정보수집 대상과 정보수집 방법이 아니라는 얘기다.
이에 따른 대응방안으로 신동휘 CTO는 “온라인 환경에서 Identity 정의에 활용 가능한 모든 정보는 앞으로도 계속 공격자가 노리는 중요한 대상”이라고 지목하며, “여러 공간에 펼쳐진 정보를 얼마나 잘 관리하고 통제하는지가 중요하다. 공격자의 즉흥적 행위들과 개방적 생각들을 역지사지로 고민해보고 대응해야 한다. 정보는 무궁무진하게 널려 있다. 다른 곳에서 문제가 됐던 사고 사례를 꾸준히 살펴보고 해당 사고가 우리 회사에 미치는 영향은 없는지 신중하게 검토해서 대응해야 한다”고 강조했다.
기술적 측면으로는 △개인정보 위탁/제3자 제공 대상 기업에 대한 보안성도 함께 고려해야 하고, △공격자가 다수의 개인정보를 수집하기 위해 고전적인 SQL-Injection과 같은 방법을 사용하기도 하지만 최근에는 공격으로 식별할 수 없는 정상적인 요청으로 정보를 탈취하고 있으므로 Context와 Sequence에 대한 분석이 필요하다는 의견을 제시했다.
또한, 암호화된 개인정보의 유출과 관련해 신동휘 CTO는 “개인정보가 암호화 처리돼 있어도 언제든 풀릴 수 있다. Key, 알고리즘, 기타 정보가 잘 보호되고 있는지, 얼마나 잘 풀릴 수 있는지 따져봐야 한다”며, “만약 암호화된 정보가 나갔을 경우에도 비밀번호 변경을 강제해야 하고, 2차 피해에 대비해 임직원들에게 공격 시나리오 정보 공지 등이 필요하다”고 말했다.
[기획취재팀(boan3@boannews.com)]
개인정보 위탁 등 대상기업에 대한 보안성 고려, Context와 Sequence 분석 필요
암호화된 개인정보도 풀릴 수 있어...2차 공격 시나리오 공지하고 비밀번호 강제화해야
[보안뉴스 기획취재팀] “문자 발신용 개인정보 1건당 가치는 40원입니다. 하지만 ‘실직한 세 아이의 아빠, 최근 대출심사에서 떨어져 2억 원의 급전이 필요한 A씨의 정보’는 순식간에 5백만원 이상의 가치로 높아집니다. 한 사람의 경제적 환경, 그 사람의 상황 등 아이덴티티가 쌓여지는 순간 개인정보의 가치는 확연히 달라지게 됩니다.”
▲스틸리언 신동휘 CTO가 2일 ‘PIS FAIR 2022’에서 해커조직의 개인정보 탈취수법과 피해사례에 대해 설명하고 있다[사진=보안뉴스]
스틸리언 신동휘 CTO는 2일 개최된 ‘PIS FAIR 2022’에서 개인정보의 가치가 어떻게 달라지는지 설명하며 공격자가 왜 개인정보를 노리는지, 그리고 이를 어떻게 인식하고 대응해야 하는지에 대해 강연했다.
과거에는 공격자가 1개의 정보를 탈취하는 것으로 끝났지만 이제는 가치 있는 정보로 가공하거나 만들어 악의적인 용도로 활용한다. 이제는 개인정보가 단순히 노출에서 끝나는 게 아니라 개인정보를 사고 파는 시장이 형성돼 있고, 개인정보를 잘 관리하고 있는지 여부와 상관없이 내 개인정보가 누군가에 의해 활용 및 거래되고 있다는 게 신 CTO의 설명이다.
특히, 구글과 페이스북 등 SNS 계정은 쉽게 다른 서비스를 이용할 수 있는 환경으로 구성돼 있는 만큼 공격자가 눈독을 들이는 곳이다. SNS는 한 개인이 누구와 친한지, 어떤 환경인지, 어떤 삶을 살고 있는지 등 한 사람의 개인정보가 모아져 있기 때문이다.
신동휘 CTO는 “공격자는 특정 시나리오와 철저한 계획 하에 준비하고 공격하는 게 아니라 단순히 공격자의 눈에 빨리 보이는 것, 빨리 개인정보를 탈취할 수 있는 곳을 노린다. 여기 갔더니 이런 정보가 있네, 여기 가야지 등 가기에 좋고 편한 길을 따라 개인정보를 탈취한다. 그들은 공격 계획보단 이득을 취하기 위한 목적에 따라 행동할 뿐”이라고 분석했다. 즉, 공격자에게 중요한 것은 정보일 뿐, 정보수집 대상과 정보수집 방법이 아니라는 얘기다.
이에 따른 대응방안으로 신동휘 CTO는 “온라인 환경에서 Identity 정의에 활용 가능한 모든 정보는 앞으로도 계속 공격자가 노리는 중요한 대상”이라고 지목하며, “여러 공간에 펼쳐진 정보를 얼마나 잘 관리하고 통제하는지가 중요하다. 공격자의 즉흥적 행위들과 개방적 생각들을 역지사지로 고민해보고 대응해야 한다. 정보는 무궁무진하게 널려 있다. 다른 곳에서 문제가 됐던 사고 사례를 꾸준히 살펴보고 해당 사고가 우리 회사에 미치는 영향은 없는지 신중하게 검토해서 대응해야 한다”고 강조했다.
기술적 측면으로는 △개인정보 위탁/제3자 제공 대상 기업에 대한 보안성도 함께 고려해야 하고, △공격자가 다수의 개인정보를 수집하기 위해 고전적인 SQL-Injection과 같은 방법을 사용하기도 하지만 최근에는 공격으로 식별할 수 없는 정상적인 요청으로 정보를 탈취하고 있으므로 Context와 Sequence에 대한 분석이 필요하다는 의견을 제시했다.
또한, 암호화된 개인정보의 유출과 관련해 신동휘 CTO는 “개인정보가 암호화 처리돼 있어도 언제든 풀릴 수 있다. Key, 알고리즘, 기타 정보가 잘 보호되고 있는지, 얼마나 잘 풀릴 수 있는지 따져봐야 한다”며, “만약 암호화된 정보가 나갔을 경우에도 비밀번호 변경을 강제해야 하고, 2차 피해에 대비해 임직원들에게 공격 시나리오 정보 공지 등이 필요하다”고 말했다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
