개인정보 유출 대부분 ‘외부 공격자 해킹’으로 시작
주요 사건 사례를 통해 공격자 최초 침입 방법과 내부망 장악 수법 소개
개인정보보호 해답도 ‘제로트러스트’, ‘PIS FAIR 2023’서 시사점·대응책 제시
[보안뉴스 이소미 기자] “개인정보보호 측면에서 신뢰란 ‘믿고 맡겨 편안하다’는 의미로 해석할 수 있습니다. 개인정보 침해는 신뢰가 무너지는 것으로 정보주체도 모르게 개인정보가 유통·판매되고, 이에 따른 피해를 입게 됩니다. 개인정보 유출은 마지막이 아닌 또 다른 범죄의 시작입니다.”
▲경찰청 이승운 사이버테러수사대장이 8일 ‘PIS FAIR 2023’에서 개인정보 타깃 해킹 공격 실태와 시사점을 설명하고 있다[사진=보안뉴스]
경찰청 이승운 사이버테러수사대장은 8일 개최된 ‘PIS FAIR 2023’에서 최근 발생한 개인정보유출 사건의 동향 및 사례 소개와 이에 따른 주요 공격 수법과 대응책에 대해 강연했다.
2000년대 중반부터 발생한 주요 개인정보 유출사건들 가운데 2008년도 ‘외부인 해킹’에 의한 A쇼핑몰과 ‘내부자 소행’의 G정유사 유출 사건을 꼽았다. 그 외 2013년 ‘공급망 공격 방식’에 의한 포털사이트 S기업, 북한이 H발전사, I쇼핑몰, S대형병원에 침입해 개인정보를 유출한 사건들을 언급했다. 이 사이버테러수사대장은 “언급한 주요 사건 외에도 대규모 개인정보 유출 사건은 매년 지속적으로 발생하고 있다”고 말했다.
특히, 대규모 개인정보 유출 사건의 경우 2000년대 중반까지는 고의적인 내부자 소행이 상당수 였으나 최근에는 외부 공격자 해킹에 의한 유출이 대부분이다. 또한, 공격 대상도 확대됐는데, 과거에는 인터넷쇼핑몰·커뮤니티 등의 인터넷 콘텐츠 업체가 주 타깃이었다면 이후 금융·통신·방송사·정당으로, 2015년부터는 사회기반시설·병원·교육기관 등으로 확대됐다. 이에 따라 유출되는 정보 역시 기존 아이디·비밀번호와 같은 계정·인적사항에서 금융결제정보, 진료정보, 성적정보 등 보다 다양화되고 있다.
이 사이버테러수사대장은 “개인정보를 보유하고 있는 곳이라면 업종을 가리지 않고 공격 대상이 되고 어느 기관·업체든지 유출 사고에서 자유롭지 못하다”며 “공격자들이 과거에는 일반적인 개인정보를 주 타깃으로 삼았다면 최근에는 정치성향, 건강, 성적 등 사생활을 현저히 침해할 수 있는 민감정보까지 손을 뻗치고 있다”고 우려했다. 이어 “최근 개인정보 유출 타깃은 서버 뿐만 아니라 단말기로 확대되면서 파일형, 스마트폰, 월패드 등 영상 기능 기기로까지 확대되고 있는 실정”이라고 전했다.
그는 이어 “언론보도와 수사경험 토대로 유출된 개인정보 거래 건당 금액을 산출해 보면, 미가공된 인적사항은 1원 내지 10원, 지역·성별 등으로 가공된 인적사항은 100원 내지 500원, 정보주체의 관심사별로 분류된 인적사항은 5,000원 상당인 것으로 보인다”면서, “관심사별 인적사항이 비싼 이유는 대출권유나 주식리딩방 홍보 등 맞춤형 광고를 할 수 있기 때문에 고가에 거래되고 있는 것”이라고 덧붙였다.
공격자들의 개인정보 탈취 목적은 단연 금전적 목적이 가장 우선적인 것으로 나타났고, 제2의 범죄에 이용되거나 실력과시, 핵티비즘 등 다양한 양상을 보였다. 특히, 제2의 범죄 악용 사례로 △부정 결제 △불륜 언급 공갈·협박 △보이스피싱·몸캠피싱 △도용 스마트폰 개통 △도용 클라우드 서비스 개설 △비트코인 탈취 등이 있었다.
이어 공격자들의 주요 수법인 ‘최초 침입 방법’과 ‘내부망 장악 수법’에 대해 소개했다. ‘최초 침입 방법’으로 △변경되지 않은 디폴트 계정을 이용한 부정 접속 △보안 미설정 및 업로드 취약점 △파라미터 변조(URL 일련번호나 웹프록시 프로그램 악용한 킷값 변경) △입력값 미검증 악용한 계정 권한 상승 △SQL Injection △세션 하이잭킹 △공급망 공격 등에 해당하는 사례들을 소개했다. ‘내부망 장악 수법’은 △웹서버 업로드 취약점 △오픈 서버 탐색 관리자 계정 정보 탈취 △스피어피싱(지인 사칭 악성메일 배포) 등을 통한 사례를 공유했다.
이와 관련 이 사이버테러수사대장은 “저는 ‘내부망 장악 수법’이 사내 네트워크 침입을 위한 방법으로 ‘끝판왕’이라고 생각한다. 이 방식은 사내 시스템을 관제하는 중앙관리서버나 PC 등 단말기기 설치 프로그램의 업데이트 서버를 침입해 악성코드를 내부망에 유포한다”며, “이러한 경우 고객사 네트워크나 해당 프로그램을 사용하는 PC를 장악할 수 있어 매우 위험성이 큰 공격으로 평가받고 있다”고 덧붙였다.
경찰청 이승운 사이버테러수사대장은 개인정보 보유 기관·업체는 늘 ‘침입’ 상황을 가정한 보안정책 및 모델 마련을 위한 대응책을 마련해 두어야 한다고 강조했다. 그의 실제 수사 경험으로 비춰볼 때 ‘과도한 신뢰’가 그동안 발생한 피해에 ‘한 몫’을 했다는 것이다.
그는 이를 위해 4가지 시사점과 대응책을 제시했다. △첫째, ‘침입’에 대한 대응 관점 확대를 통해 가장 기초적이고 기본적인 부분의 재점검 △둘째, 내부망 보안정책 마련(제로 트러스트)이다. 내부망에 대한 지나친 신뢰가 문제가 될 수 있다고 지적하며 이에 따른 접근 성공·실패 등에 대한 중요 이벤트 발생 탐지 및 스마트폰 실시간 알림 등이 필요성을 언급했다. △셋째, 공급망·중앙관리서버 등의 보안 조치를 위해 공급망 업체는 인가된 관리자만 업데이트를 실시할 수 있는 절차 확충과 업데이트 파일에 대한 무결성 검증, 고객사와의 주기적 연결 방식에 대한 대책 등을 제시했다. △넷째, 유출사고 대응 준비의 중요성으로 유출 사고 발생 이후 피해기관 입장에서 가장 신속하게 해야할 것은 ‘유출 원인 파악’과 ‘피해 규모 확인’이라면서 이를 위해 상세한 로그를 기록하고 적정기간 보존할 수 있도록 해야 한다고 강조했다.
[이소미 기자(boan4@boannews.com)]
주요 사건 사례를 통해 공격자 최초 침입 방법과 내부망 장악 수법 소개
개인정보보호 해답도 ‘제로트러스트’, ‘PIS FAIR 2023’서 시사점·대응책 제시
[보안뉴스 이소미 기자] “개인정보보호 측면에서 신뢰란 ‘믿고 맡겨 편안하다’는 의미로 해석할 수 있습니다. 개인정보 침해는 신뢰가 무너지는 것으로 정보주체도 모르게 개인정보가 유통·판매되고, 이에 따른 피해를 입게 됩니다. 개인정보 유출은 마지막이 아닌 또 다른 범죄의 시작입니다.”
▲경찰청 이승운 사이버테러수사대장이 8일 ‘PIS FAIR 2023’에서 개인정보 타깃 해킹 공격 실태와 시사점을 설명하고 있다[사진=보안뉴스]
경찰청 이승운 사이버테러수사대장은 8일 개최된 ‘PIS FAIR 2023’에서 최근 발생한 개인정보유출 사건의 동향 및 사례 소개와 이에 따른 주요 공격 수법과 대응책에 대해 강연했다.
2000년대 중반부터 발생한 주요 개인정보 유출사건들 가운데 2008년도 ‘외부인 해킹’에 의한 A쇼핑몰과 ‘내부자 소행’의 G정유사 유출 사건을 꼽았다. 그 외 2013년 ‘공급망 공격 방식’에 의한 포털사이트 S기업, 북한이 H발전사, I쇼핑몰, S대형병원에 침입해 개인정보를 유출한 사건들을 언급했다. 이 사이버테러수사대장은 “언급한 주요 사건 외에도 대규모 개인정보 유출 사건은 매년 지속적으로 발생하고 있다”고 말했다.
특히, 대규모 개인정보 유출 사건의 경우 2000년대 중반까지는 고의적인 내부자 소행이 상당수 였으나 최근에는 외부 공격자 해킹에 의한 유출이 대부분이다. 또한, 공격 대상도 확대됐는데, 과거에는 인터넷쇼핑몰·커뮤니티 등의 인터넷 콘텐츠 업체가 주 타깃이었다면 이후 금융·통신·방송사·정당으로, 2015년부터는 사회기반시설·병원·교육기관 등으로 확대됐다. 이에 따라 유출되는 정보 역시 기존 아이디·비밀번호와 같은 계정·인적사항에서 금융결제정보, 진료정보, 성적정보 등 보다 다양화되고 있다.
이 사이버테러수사대장은 “개인정보를 보유하고 있는 곳이라면 업종을 가리지 않고 공격 대상이 되고 어느 기관·업체든지 유출 사고에서 자유롭지 못하다”며 “공격자들이 과거에는 일반적인 개인정보를 주 타깃으로 삼았다면 최근에는 정치성향, 건강, 성적 등 사생활을 현저히 침해할 수 있는 민감정보까지 손을 뻗치고 있다”고 우려했다. 이어 “최근 개인정보 유출 타깃은 서버 뿐만 아니라 단말기로 확대되면서 파일형, 스마트폰, 월패드 등 영상 기능 기기로까지 확대되고 있는 실정”이라고 전했다.
그는 이어 “언론보도와 수사경험 토대로 유출된 개인정보 거래 건당 금액을 산출해 보면, 미가공된 인적사항은 1원 내지 10원, 지역·성별 등으로 가공된 인적사항은 100원 내지 500원, 정보주체의 관심사별로 분류된 인적사항은 5,000원 상당인 것으로 보인다”면서, “관심사별 인적사항이 비싼 이유는 대출권유나 주식리딩방 홍보 등 맞춤형 광고를 할 수 있기 때문에 고가에 거래되고 있는 것”이라고 덧붙였다.
공격자들의 개인정보 탈취 목적은 단연 금전적 목적이 가장 우선적인 것으로 나타났고, 제2의 범죄에 이용되거나 실력과시, 핵티비즘 등 다양한 양상을 보였다. 특히, 제2의 범죄 악용 사례로 △부정 결제 △불륜 언급 공갈·협박 △보이스피싱·몸캠피싱 △도용 스마트폰 개통 △도용 클라우드 서비스 개설 △비트코인 탈취 등이 있었다.
이어 공격자들의 주요 수법인 ‘최초 침입 방법’과 ‘내부망 장악 수법’에 대해 소개했다. ‘최초 침입 방법’으로 △변경되지 않은 디폴트 계정을 이용한 부정 접속 △보안 미설정 및 업로드 취약점 △파라미터 변조(URL 일련번호나 웹프록시 프로그램 악용한 킷값 변경) △입력값 미검증 악용한 계정 권한 상승 △SQL Injection △세션 하이잭킹 △공급망 공격 등에 해당하는 사례들을 소개했다. ‘내부망 장악 수법’은 △웹서버 업로드 취약점 △오픈 서버 탐색 관리자 계정 정보 탈취 △스피어피싱(지인 사칭 악성메일 배포) 등을 통한 사례를 공유했다.
이와 관련 이 사이버테러수사대장은 “저는 ‘내부망 장악 수법’이 사내 네트워크 침입을 위한 방법으로 ‘끝판왕’이라고 생각한다. 이 방식은 사내 시스템을 관제하는 중앙관리서버나 PC 등 단말기기 설치 프로그램의 업데이트 서버를 침입해 악성코드를 내부망에 유포한다”며, “이러한 경우 고객사 네트워크나 해당 프로그램을 사용하는 PC를 장악할 수 있어 매우 위험성이 큰 공격으로 평가받고 있다”고 덧붙였다.
경찰청 이승운 사이버테러수사대장은 개인정보 보유 기관·업체는 늘 ‘침입’ 상황을 가정한 보안정책 및 모델 마련을 위한 대응책을 마련해 두어야 한다고 강조했다. 그의 실제 수사 경험으로 비춰볼 때 ‘과도한 신뢰’가 그동안 발생한 피해에 ‘한 몫’을 했다는 것이다.
그는 이를 위해 4가지 시사점과 대응책을 제시했다. △첫째, ‘침입’에 대한 대응 관점 확대를 통해 가장 기초적이고 기본적인 부분의 재점검 △둘째, 내부망 보안정책 마련(제로 트러스트)이다. 내부망에 대한 지나친 신뢰가 문제가 될 수 있다고 지적하며 이에 따른 접근 성공·실패 등에 대한 중요 이벤트 발생 탐지 및 스마트폰 실시간 알림 등이 필요성을 언급했다. △셋째, 공급망·중앙관리서버 등의 보안 조치를 위해 공급망 업체는 인가된 관리자만 업데이트를 실시할 수 있는 절차 확충과 업데이트 파일에 대한 무결성 검증, 고객사와의 주기적 연결 방식에 대한 대책 등을 제시했다. △넷째, 유출사고 대응 준비의 중요성으로 유출 사고 발생 이후 피해기관 입장에서 가장 신속하게 해야할 것은 ‘유출 원인 파악’과 ‘피해 규모 확인’이라면서 이를 위해 상세한 로그를 기록하고 적정기간 보존할 수 있도록 해야 한다고 강조했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
-1.png)
.jpg)
.jpg)
_m.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
